关于自建 bitwarden 安全性

2023-11-06 17:05:58 +08:00
 takanashisakura

如题,题主使用家用 nas ,采用开源版本的 vaultwarden/server 的 docker 镜像搭建了 bitwarden 服务。为了方便使用域名访问,是通过有公网 ip 的服务器,采用 nginx 反向代理的模式进行的内网穿透。

公网服务器和内网 nas 之间通过 tailscale 打通的,使用 tailscale 的 acl 限制公网服务器仅可以访问 bitwarden 提供服务的端口,例如映射的 8080,然后再通过公网服务器的 nginx 反向代理把 nas 的服务配置在对应的子域名下。公网服务器前面还有一层 cloudflare 的代理和 ssl 加密,不知道这样是否还存在一些比较大的风险?

网络结构大概这样:

10923 次点击
所在节点    NAS
60 条回复
Noicdi
2023-11-07 09:45:44 +08:00
@YangWaleed #38 这个就纯看个人了,补充的子串可以是个人名字的缩写,或者特殊意义的字符串,或者待登陆网站的域名;位置可以放结尾也能放开头。
这些纯看你怎么舒服怎么来。
况且不是所有账号的密码都这么搞,我只把几个关键账号的密码这么操作了,其他的就直接存 bitwarden 里了
owwo
2023-11-07 09:56:06 +08:00
bitwarden 安卓用不了 还是老老实实 1PASS
mdn
2023-11-07 10:24:45 +08:00
bitwarden 最重要的就是记住账号和主密码
服务器是次要的,数据库中只保存加密数据,拿到数据库也需要账号对应的主密码解密,备份倒是有必要,虽然 ios 客户端在服务器宕掉也能使用和导出,但是可以避免误删数据
传输过程更不用担心,传的都是数据库加密数据,解密是在客户端输入主密码之后完成的
dislazy2023
2023-11-07 10:28:42 +08:00
@owwo 安卓正常用啊 不过我很少用手机来输入账号密码
tyzrj766
2023-11-07 10:31:22 +08:00
我懒,所以只选现成服务省时间。bit 这种自建的,尤其是密码这种极其重要的数据,还得想办法去多份异地备份,服务器也得加强安全防护。
gaodq
2023-11-07 10:35:37 +08:00
@Noicdi 这个方法妙啊
shunia
2023-11-07 10:44:01 +08:00
@owwo #42 什么地方用不了?我用了很久,没发现你说用不了的情况
cnkuner
2023-11-07 11:01:06 +08:00
@Northshad0w 阿里云的云函数跑镜像?能具体说说咋建的吗?
jackmod
2023-11-07 11:01:10 +08:00
如果能连上的话,可以试试 cf 的 zero trust ,直接丢在局域网网段里
maniaccn
2023-11-07 13:44:49 +08:00
cf tunnel +1
YangWaleed
2023-11-07 23:12:45 +08:00
@Noicdi #41 对我个人而言感觉并没有增加太多的安全性,又降低了一些便利性。

如果只有个别网站特殊处理并且每个网站不一样,那就是降低了便利性,提升的是 bitwarden 泄漏后的安全;
如果特殊处理都一样,那便利性和安全性基本没什么变化,和不做特殊处理差不多;

所以我现在就完全只用 1password
iwdmb
2023-11-08 00:46:57 +08:00
Tailscale
body007
2023-11-08 11:05:13 +08:00
@YangWaleed #38 我的规律就是网址中间夹的那部分,例如:www.<pass>.com ,我还会首字母大写,以及太长了只用单词首字母。后缀有年份,每年用的时候发现年份不对就改一次密码。
lm930129
2023-11-08 11:14:46 +08:00
@owwo 估计你安卓是因为证书的问题,安卓要求要有 fullchain 证书,如果在部署的时候,用 nginx ,没生成 fullchain 证书的话,安卓会报错,要求你安装证书。
YangWaleed
2023-11-08 20:26:48 +08:00
@body007 #53 我个人觉得健壮的密码就是单纯的随机,密码管理软件帮助管理这些随机密码。
在这之上增加任何有规律的内容都提升不了太多的安全性。靠人肉记忆的规律内容总会被找到规律。
如果担心密码库泄露,那不如用两个完全隔离的密码管理软件,每个只存半段密码。但这样牺牲的就是便利性了
libook
2023-11-09 16:00:34 +08:00
我是在外面的时候用 vpn 连上家里的网络环境,然后用访问本地局域网的方式访问家里的服务。

除了 vpn 还可以用带认证的代理协议,比如 vmess 、ss 。安卓上可以用 tasker 在连上或者断开家里 wifi 的时候自动开启或关闭 vpn 、代理。

这样我家里所有服务全都隐藏在 nat 里面,除非我 vpn 或路由器被攻破了才会暴露在外面。
libook
2023-11-09 16:02:24 +08:00
我个人觉得 vaultwarden 本身的安全加密已经做得挺好了,这样反而最大的安全问题是数据完整性问题,也就是怎么备份密码数据的问题。
72MpQOSsJhyLs88N
2023-11-10 21:31:58 +08:00
@lekai63 这不是跟只要你家大门比邻居家的结实就行了一样吗?网络上大多都是脚本小子找弱密码的,只要保持最新版本几乎无风险吧。普通人有何德何能值得顶级黑客定向攻击?
benjaminliangcom
2024-01-08 17:16:45 +08:00
@ZhiyuanLin #6 bw 的客户端似乎不支持 mtls https://github.com/dani-garcia/vaultwarden/discussions/2267
ciki
248 天前
我在 nas 上自建的,现在 nas 坏了,一堆设备上的服务全部宕机

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://yangjunhui.monster/t/989195

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX