非Docker安装配置Vaultwarden
自建Vaultwarden可以免费使用Bitwarden的付费功能,在局域网中搭建更快速安全。但Docker镜像由于网络原因经常无法下载,低配置的开发板使用Docker也比较占用资源。本文介绍不使用Docker安装Vaultwarden的方法。
安装Snap包管理软件:
apt install snapd
snap install core
安装Vaultwarden:
snap install vaultwarden
启动Vaultwarden:
snap start vaultwarden
默认访问端口是8000,局域网内访问地址如下:
https://192.168.1.x:8000/
管理员页面地址如下:
https://192.168.1.x:8000/admin
Vaultwarden配置文件路径:
/var/snap/vaultwarden/current/vaultwarden.conf
配置参数参考:配置文件模板
登录管理员页面
如果需要登录管理员页面,必须配置ADMIN_TOKEN。首先生成TOKEN:
openssl rand -base64 48
直接将TOKEN明文保存在配置文件中很不安全,可以使用Argon2加密:
echo -n "TOKEN" | argon2 "$(openssl rand -base64 32)" -e -id -k 65540 -t 3 -p 4
在配置文件中设置ADMIN_TOKEN:
ADMIN_TOKEN='Argon2密文'
注意:这里需要使用单引号,否则无法正常登录。
其实管理员页面没有什么值得配置的内容,如果要禁用管理员页面,可以将ADMIN_TOKEN的值设为空。
配置SSL证书
Bitwarden的客户端要求服务端必须使用安全链接,因此需要启用SSL证书。本地环境安装SSL证书可以参考:
在Vaultwarden配置文件中写入以下内容:
ROCKET_ADDRESS=0.0.0.0
ROCKET_PORT=8000
ROCKET_TLS={certs="/path/to/certs.pem",key="/path/to/key.pem"}
IP地址配置为你的设备IP,端口号可根据喜好设置。TLS证书根据你的证书存储路径填写。
启用YubiKey OTP 安全钥匙两步登录
如果你有Yubikey,推荐开启Yubikey两步登录,而不是使用邮箱。
访问Yubico API密钥获取页面获取API key
在Vaultwarden配置文件中写入如下两行:
YUBICO_CLIENT_ID=10xxxx
YUBICO_SECRET_KEY='xxxxxxxxxxxxxxxxxxxxxxxxxxxx'
Bitwarden使用自托管登录
在Bitwarden客户端登录界面,选择自托管,填写Vaultwarden地址即可,例如:
https://192.168.1.x:8000/