未分類
13 1 月 2021

分享基于 bitwarden 的自建密码管理方案

分享基于 bitwarden 的自建密码管理方案

資深大佬 : mrchi 0

Bitwarden 是一个开源的密码管理器解决方案,拥有多个平台的客户端。它采用的方式是云端数据库、客户端同步和离线使用的模式,类似现在的 1password 。

我的方案采用 bitwarden_rs + HTTPS + Fail2Ban + 坚果云备份的方式,可以参考这篇笔记 https://mrchi.cc/posts/88980/

说一下优点吧:

  • 基于 bitwarden 开源项目,用 ruby 实现的 bitwarden_rs,相比闭源代码,更安全一些,并且支持 docker 部署;
  • HTTPS 保证传输安全,我用的 lets encrypt 自动续签证书;
  • Fail2Ban 保护 bitwarden_rs 服务和 SSH 服务,报错三次即 ban 掉 IP,防止暴力穷举主密码;
  • 根据 bitwarden 的文档,服务端数据是加密后存储的,解密需要用户设置的主密码,即使服务端被攻破,密码不那么容易泄露;
  • 官方开发维护的多平台客户端(包括 Win/Mac/Linux/iOS/Andriod)和常用浏览器扩展,美观和易用性上都有保证;
  • 支持 TOTP 二次认证码保存;
  • 使用坚果云备份(免费额度就够了),不备份也可以,任何一个客户端的数据都可以导出,服务重建后再导入。

再说一下缺点:

  • 浏览器扩展,每次打开浏览器都要重新输入主密码;
  • 密码生成器,不知道为什么,生成的密码比 1password 看着丑了很多,会有重复字符;
  • 浏览器里对域名的匹配不够智能;

以上,笔记就是随手记了一下(懒~)欢迎提问。

大佬有話說 (36)

  • 資深大佬 : fivestrong

    ruby 实现的 bitwarden_rs ?

  • 資深大佬 : neteroster

    也分享一下我的:
    0. 服务端 bitwarden_rs (docker)。
    1. 备份 rclone + OneDrive 每日自动备份密码数据库。
    2. HTTPs: caddy2 自动 Let’s Encrypt + 反代 docker 内 bitwarden 服务。

    优势:部署简单快速,稳定性还不错。

  • 資深大佬 : oott123

    浏览器扩展有 PIN 码可以设置
    域名的匹配可以在保存的时候选择匹配规则

  • 資深大佬 : UUZ

    懒得输入密码可以用 PIN

    没弄 f2b,只是把实例用 ngx 代理到一个复杂的子目录,主机名用一个奇怪的域名

  • 資深大佬 : UUZ

    主密码 64 位,弄成二维码打印出来。放书柜里,平时用 pin

  • 資深大佬 : Tink

    ruby ???

  • 資深大佬 : fantasticliyin

    bitwarden_rs 是基于 rust 实现的。。。

  • 資深大佬 : yyfearth

    我觉得可能 lz 打错了 rust 成 ruby 了

  • 資深大佬 : wd

    二次认证不要和密码放一个地方

  • 資深大佬 : ferock

    下载了数据库的 sqlite 看了一下,大部分字段其实没有加密,虽然我自己也在用,但是搜索效果和加密性,比起 keepass 还是差了一点。好处是浏览器插件,和手机自动填充方便

  • 資深大佬 : NeoChen

    用过 3 年 keepass,6 个月 1p,1 个月 bitwarden,2 年 enpass 。当前用 enpass,不折腾。keepass,免费,强大,灵活,但是 ios 端的支持至少 2 年前实在不行,导致我的密码库文件出现很多问题。最终转移 enpass 阵营,各端统一,各个网站的识别及自动填充都比较优秀。

  • 資深大佬 : iphoneXr

    先回答下你的缺点,或许对主有帮助:
    1 、浏览器插件可以设置,不用每次重启输入主密码,安全与否自己决定
    3 、对于域名的匹配我选的主机域,默认的不太好

  • 資深大佬 : iphoneXr

    再来说说我的方案是 proxmox 虚拟机备份,3+2+1 策略。nginx 基于 geoip 深圳能反正就行了。

  • 資深大佬 : Biggoldfish

    浏览器扩展每次要输入密码这点在这个 PR merge 后应该很快能支持用 Windows Hello/Touch ID 登录了
    https://github.com/bitwarden/desktop/pull/566

  • 資深大佬 : xiaoz

    主用的 MySQL 还是 SQLite ?

  • 資深大佬 : v2lhr

    自建每年大概花费多少钱呢

  • 資深大佬 : Clash

    没有跨平台需求,随便用

  • 資深大佬 : mrchi

    @fivestrong
    @Tink
    @fantasticliyin
    @yyfearth
    sorry,当时可能不太清醒

  • 資深大佬 : mrchi

    @UUZ
    @oott123
    多谢多谢,我试试 PIN 码

  • 資深大佬 : mrchi

    @ferock
    @NeoChen
    我也用过一段时间的 keepass,在 mac 和 Linux 下的体验都感觉不太好,而且同步也比较麻烦。enpass 也用过一段时间,后来感觉开源的会更好一些

  • 資深大佬 : mrchi

    @wd 你说的有道理,但是也可能是觉得现在的实现足够安全吧,为了能同步和自动填充,我还是放一起了。

  • 資深大佬 : mrchi

    @xiaoz 用的默认的,应该是 SQLite

  • 資深大佬 : mrchi

    @v2lhr 费用就只有主机和域名的花销,HTTPS 证书免费,bitwarden 客户端免费,bitwarden_rs 开源不收费,坚果云使用的免费额度。

    主机是国外的 vps,大概 30 刀;域名之前趁着 cc 域名便宜买了 10 年的,大概平均每年几块钱。总花费不到 220 RMB 。

    如果自建麻烦也可以使用 bitwarden 的官方服务(相当于公有云)。

  • 資深大佬 : NeoChen

    @mrchi #20 同步不麻烦,就是一个数据库文件而已,存 onedrive 、坚果云都可以。而且有许多客户端,比较好用的 keepassXC 吧,好看点的可以 keeweb,还可以有很多骚操作,比如通过 keepasshttp,让局域网里的其他电脑也能自动填写密码,比较方便的就是开虚拟机的时候就不用再安装一套客户端就可以方便的填密码登录帐号。
    bitwarden 我记得浏览器插件不支持快捷键打开,不知道现在咋样了

  • 資深大佬 : Tink

    sqlite 的话备份应该很方便,同步数据文件就行了吧

  • 資深大佬 : cm2gseh

    buttercup+坚果云 的路过看看

  • 資深大佬 : Unclev21x

    也想弄个同步的,但是觉得学习成本太高了。于是我这样搞的:1. 网银等重要密码写 txt 里面,然后使用 TrueCrypt 生成一个空白的大文件(可以是任何格式,比如 txt,pdf,bin 等等,可以把这个大文件想象成一个 U 盘,里面可以放其他文件),然后把 txt 放里面。然后设置一个打开密码,每次需要用到的时候,必须用 TrueCrypt 加载这个文件,输入密码。2. 非重要密码,直接保存在 chrome/safari 中了,能开启 2 步验证的网站都开启了。

    不便之处:必须使用电脑,还要安装 TrueCrypt 文件。
    安全性:不了解。自我安慰觉得可以。

    我认为的优点:学习成本低。

  • 資深大佬 : toptyloo

    @Biggoldfish 这个不是桌面 app 么,桌面 app 的话 mac 这边已经可以用 touch is 了,Windows 还没测试。浏览器插件都还没有支持

  • 資深大佬 : bianqurenfm

    并不是每次打开浏览器都要重新输入主密码,Bitwarden 有提供记住主密码的功能只是不推荐,提示该操作容易忘记主密码

  • 資深大佬 : mrchi

    @NeoChen 没有快捷键打开,但是可以快捷键填充

  • 資深大佬 : fatelight

    浏览器扩展,每次打开浏览器都要重新输入主密码;

    可以关闭的

    设置 安全 密码库超时 从不

  • 資深大佬 : CatCode

    @Unclev21x 你这个真的不如 Keepass/KeepassXC

  • 資深大佬 : Unclev21x

    @CatCode

  • 資深大佬 : zyq2280539

    刚好最近也在弄这个密码管理,不过因为不太习惯用 docker, 参考了海运博客这个 https://www.haiyun.me/archives/1360.html

  • 資深大佬 : ryanlid

    我也用了,用的是 MySQL,备份 MySQL 就好了~

  • 資深大佬 : HankAviator

    @Unclev21x 很多像你一样的人采用了类似的方案,他们现在应该后悔的无以复加了吧。那些 U 盘 硬盘上面存储了大量比特币私钥的人们,要么是误操作,删掉了磁盘内容,要么是真的想不起来私钥。如果回到 2013 年,问问他们会不会未来有一天想不起来他们设置的密钥或者存储介质损坏,他们都会信誓旦旦的说不可能,而且就算是发生这种事件,也不会损失什么,一如 IT 从业者不可触碰的骄傲。
    但是多个地方备份的话肯定有安全顾虑,去说服使用非自行管理的在线服务,几乎是不可能的。
    数据无价,谨慎拔插