非Docker安装配置Vaultwarden

自建Vaultwarden可以免费使用Bitwarden的付费功能,在局域网中搭建更快速安全。但Docker镜像由于网络原因经常无法下载,低配置的开发板使用Docker也比较占用资源。本文介绍不使用Docker安装Vaultwarden的方法。

安装Snap包管理软件:

apt install snapd
snap install core

安装Vaultwarden:

snap install vaultwarden

启动Vaultwarden:

snap start vaultwarden

默认访问端口是8000,局域网内访问地址如下:

https://192.168.1.x:8000/

管理员页面地址如下:

https://192.168.1.x:8000/admin

Vaultwarden配置文件路径:

/var/snap/vaultwarden/current/vaultwarden.conf

配置参数参考:配置文件模板

登录管理员页面

如果需要登录管理员页面,必须配置ADMIN_TOKEN。首先生成TOKEN:

openssl rand -base64 48

直接将TOKEN明文保存在配置文件中很不安全,可以使用Argon2加密:

echo -n "TOKEN" | argon2 "$(openssl rand -base64 32)" -e -id -k 65540 -t 3 -p 4

在配置文件中设置ADMIN_TOKEN:

ADMIN_TOKEN='Argon2密文'

注意:这里需要使用单引号,否则无法正常登录。

其实管理员页面没有什么值得配置的内容,如果要禁用管理员页面,可以将ADMIN_TOKEN的值设为空。

配置SSL证书

Bitwarden的客户端要求服务端必须使用安全链接,因此需要启用SSL证书。本地环境安装SSL证书可以参考:

本地调试安装SSL证书启用HTTPS访问

在Vaultwarden配置文件中写入以下内容:

ROCKET_ADDRESS=0.0.0.0
ROCKET_PORT=8000
ROCKET_TLS={certs="/path/to/certs.pem",key="/path/to/key.pem"}

IP地址配置为你的设备IP,端口号可根据喜好设置。TLS证书根据你的证书存储路径填写。

启用YubiKey OTP 安全钥匙两步登录

如果你有Yubikey,推荐开启Yubikey两步登录,而不是使用邮箱。

访问Yubico API密钥获取页面获取API key

在Vaultwarden配置文件中写入如下两行:

YUBICO_CLIENT_ID=10xxxx
YUBICO_SECRET_KEY='xxxxxxxxxxxxxxxxxxxxxxxxxxxx'

Bitwarden使用自托管登录

在Bitwarden客户端登录界面,选择自托管,填写Vaultwarden地址即可,例如:

https://192.168.1.x:8000/
Typora