[TUTO] Installer Bitwarden

[Laurent_8]

il y a 13 minutes, EVOTk a dit :

Non, une fois les nouvelles images téléchargé la fonction effacer, supprimer le conteneur et le reconstruit avec la nouvelle image.

Ah oui donc j'ai fais juste, je pensais pas que c'était si rapide, je vois que je suis passé de la version 2.13.2 à la 2.16.1

Merci pour l'info

[Laurent_8]

Il y a 11 heures, anorec a dit :

Bonsoir à tous. J'ai une petite question sur l'utilisation de BitWarden.

J'aimerais pouvoir ajouter à un identifiant Bitwarden (utilisateur DSM) la double authentification. Est ce qu'il y a moyen de récupérer la clé TOTP à partir du NAS?

J'utilise GoogleAuthenticator et j'ai bien tenté de transférer le compte en exportant le QRcode mais ce QRcode n'a pas l'air utilisable en l'état.

Si tu actives la double authentification dans l'interface web de Bitwarden, en choisissant l'option google authentificator tu peux scanner le QR, chez moi ça fonctionne. Il n'y a aucun lien entre les utilisateurs DSM et Bitwarden car Bitwarden tourne dans Docker et non en natif dans le DSM.

[anorec]

@Dark-Spirit En fait je me suis mal exprimé. Ce n'est pas la double authentification que je veux activer pour me connecter à Bitwarden mais créer un identifiant dans mon coffre (utilisateur DSM) avec son mot de passe mais aussi sa clé pour générer les codes en fonction du temps.

Je me demande donc s'il est possible de récupérer les informations de la clé de cet utilisateur DSM pour ensuite renseigner l'identifiant dans Bitwarden?

 

[Laurent_8]

Il y a 5 heures, anorec a dit :

@Dark-Spirit En fait je me suis mal exprimé. Ce n'est pas la double authentification que je veux activer pour me connecter à Bitwarden mais créer un identifiant dans mon coffre (utilisateur DSM) avec son mot de passe mais aussi sa clé pour générer les codes en fonction du temps.

Je me demande donc s'il est possible de récupérer les informations de la clé de cet utilisateur DSM pour ensuite renseigner l'identifiant dans Bitwarden?

 

Si je comprends bien, tu as un utilisateur DSM qui utilise la double authentification pour se connecter au NAS, et tu souhaites que, lorsque tu veux te connecter au NAS avec cet utilisateur, Bitwarden remplisse les champs nom d'utilisateur, mot de passe ET le code pour la double authentification automatiquement ? Est-ce bien cela ?

[anorec]

@Dark-Spirit Oui c'est tout à fait cela! je ne sais pas si le client est capable de remplir en automatique le code de la double authentification car je n'ai jamais essayé mais déjà si il pouvait le générer ce serait bien.

[Laurent_8]

Il y a 11 heures, anorec a dit :

@Dark-Spirit Oui c'est tout à fait cela! je ne sais pas si le client est capable de remplir en automatique le code de la double authentification car je n'ai jamais essayé mais déjà si il pouvait le générer ce serait bien.

Salut, oui le client en est tout à fait capable, en fait il te rempli les champs "mot de passe" et "nom d'utilisateur" automatiquement, ensuite il te met le code TOTP automatiquement dans le presse papier, tu n'a plus cas cliquer "coller" ou "ctrl+v" et ça te met le code.

 

Pour récupérer le code TOTP au lieu du QR code voici la procédure à suivre :

1. Se connecter au DSM avec le compte en question
2. Cliquez sur le bonhomme en haut à droite
3. Cliquer sur perso
4. Sous l'onglet compte, activer la vérification en 2 étapes et cliquer sur le bouton juste en dessous
"Vérification en 2 étapes"
5. Cliquer sur suivant et renseigner un mail
6. Cloiquer sur suivant, il montre le QR code
7. Au lieu du QR code tu peux cliquer juste au dessus sur "Vous pouvez également entrer votre clé secrète manuellement"
8. Il te donne la clé secrète
9. Tu n'as plus qu'a mettre cette clé dans bitwarden sous la rubrique TOTP

[anorec]

@Dark-Spirit Merci, impeccable ça marche !

[jfamiens]

Bonjour,

J'ai refait une installation sans rencontrer de souci jusqu’à la création de mon compte - j'ai une erreur de type

Citation

networkerror when attempting to fetch resource

Une recherche google me laisse penser que j'ai un souci de certificat pourtant j'y accède bien via bitwarden.ndd.fr

J'ai renouvelé mon certificat Let's Encrypt dès fois que... mais aucun changement

Petite question également sur les ports, j'ai suivi le tuto mais ne n'utilise que le port 81 via un Reverse Proxy (je n'ai ouvert que le port 443 sur mon routeur) - la modification du port HTTPS (444) ne sert donc a rien dans ce cas, correct ?

Merci

 

 

[anorec]

Bonjour à tous et meilleure année !

Pour me simplifier la vie, j'utilise la version non officielle (Bitwarden_RS), tout fonctionne correctement mais j'ai une question.

Dans cette version il ne semble pas possible de configurer en langue française le contenu des mails envoyés par le serveur (2FA, invitations,...). Ou alors je ne sais pas comment.

Est-ce que c'est aussi le cas pour la version officielle?

 

 

 

[.Shad.]

@anorec Mes mails sont aussi en anglais, je ne crois pas qu'il soit possible de changer ça.

Sinon pour ceux que ça intéresse j'ai mis le fail2ban en place, c'est assez simple :

https://github.com/bitwarden/server/issues/604#issuecomment-599207008

principalement car j'ai des utilisateurs qui n'utilisent pas la 2FA, ça limite donc la possibilité de bruteforcing sur leur compte.

[pcdebut]

Bonjour à tous

Avec mon super beau Synology j’ai une installation Docker avec plusieurs conteneurs qui marche bien. Le présent sujet concerne (legèrement) Bitwarden sur mon Syno. En fait, j’ai une installation de Bitwarden_rs qui marche, très bien même, avec Caddy et fail2ban (qui m’a pris beaucoup de temps, grâce à des mauvaises interprétations des mots de sosandroid.) et le proxy inversé.

Alors, tout est bon. J'espère que j'arrive au bon endroit pour poster.

Mon petit problème qui me tracasse depuis quelques temps, concerne les envoies de courriels (j’adore ce mot, pour une fois, l’Académie a créé qqch élégant et vraiment français !) quand il y un « IP ban » qui prend effet. J’ai l’impression que peu de monde utilise fail2ban (qui est surprenant pour moi – il faut protéger au max le fichier LE plus important dans notre vie digitale…) – et encore moins de monde utilise la possibilité d’envoyer des courriels. Ceci est simplement la cerise sur le gâteau pour compléter cette solution idéale.

Pour ce sujet je trouve vraiment peu online (même ici!!), peut-être le meilleur c’est : https://technicalramblings.com/blog/how-to-add-email-notifications-to-fail2ban/

Je n’oublie pas bien sur la page crazy-max : https://github.com/crazy-max/docker-fail2ban

Cat article parle du sujet, sur un server Linux classique, et je sais que des fois le Synology peut être un peu non-standard dans sa flexibilité. Résultat : je ne comprends rien.

J’ai joué avec des fichiers dans la prison, en ajoutant un fichier bitwarden_rs.local, comme ceci :

Citation

 

#[bitwarden_rs]
#enabled = true
#port = 80,443,8081
#filter = bitwarden_rs
## banaction = %(banaction_allports)s
#action = iptables-allports[name=bitwarden_rs, chain=FORWARD]
#logpath = /volume1/docker/bitwarden/bitwarden.log
#maxretry = 3
#bantime = 14400
#findtime = 14400

# Pour envoyer des emails
[DEFAULT]
#bantime = 1h
destemail = email1@gmail.com
#sender = root@$(hostname -f)
sender = email2@gmail.com
action = %(action_mwl)s

 

 

(J'ai beaucoup joué avec les commentaires #, donc ceci est simplement l'état actuelle des chose... Oui, je suis confus!)

Honnêtement je suis perdu.

Donc, si quelqu’un a un lien pour une explication, ou des principes pour le mettre en marche (quels fichiers à créer et où…) je suis vraiment preneur !

Modifié le 9 mars 2021 par pcdebut
typos

[.Shad.]

Plusieurs choses, premièrement ton fail2ban ne peut pas marcher en l'état, car il va lire les logs de /volume1/docker/bitwarden/bitwarden.log. N'oublie pas que ton conteneur fail2ban, celui de crazymax par exemple, n'a pas la moindre idée de l'existence de ce chemin.

Pour qu'il ait accès aux logs de Bitwarden, il faut monter ces logs dans le conteneur fail2ban.

Chez moi j'utilise la version officielle de Bitwarden, donc le chemin des logs n'est pas le même que pour toi, mais voici un exemple :

C'est la config de ma jail Bitwarden dans jail.local, je dis au conteneur qu'il doit aller voir dans son arborescence dans /log/host_bitwarden.txt pour trouver les logs qui l'intéressent. C'est arbitraire, j'aurais pu lui dire de regarder dans /toto/tutu/tata.txt

Et pour que ce fichier existe dans le conteneur, il faut que mon conteneur fail2ban ait monté ces logs en volume :

C'est la dernière ligne qui t'intéresse.
J'ai monté l'équivalent de ton /volume1/docker/bitwarden/bitwarden.log dans /log/host_bitwarden.txt

Si tu as déjà défini des volumes sous DSM, je pense que tu vois comment faire.

Pour les mails, pour l'image de crazy-max en tout cas, c'est assez limpide : https://github.com/crazy-max/docker-fail2ban#environment-variables

Tu as juste à configurer quelques variables d'environnement.

Par contre, je doute de la pertinence d'un envoi de mail à chaque blocage par fail2ban. Vu que j'ai plusieurs personnes qui utilisent mon instance Bitwarden, il est accessible directement par nom de domaine, et donc des intrus peuvent essayer de se logger, bon ils n'ont aucune chance d'y arriver, car fail2ban + authentification 2FA + restriction à la Belgique et à la France.

Mais ça ne les empêche pas d'essayer et de se faire ban en masse, je n'imagine même pas le nombre de mails que je recevrais... 😄

Modifié le 9 mars 2021 par .Shad.

[pcdebut]

Tout d’abord, merci pour ta réponse. J’ai l’impression que je n’étais pas claire quand j’ai parlé de crazy-max. Cette référence est simplement pour les notes sur l’envoie de courriel en cas d’intrus. Pour mon installation bitwarden/caddy/fail2ban j’utilise les yml excellents de sosandroid. Donc, le fail2ban marche.

Pour l’envoi du courriel à chaque blocage par fail2ban, je suis d’accord avec vous, j’ai eu l’impression que la configuration est quelques variables d’environment. C’est fait, mais ça ne suffit pas.

J’ai ajouté un fichier bitwardenrs.local dans docker/jail.d avec le contenu suivant :

Citation

[DEFAULT]
#bantime = 1h
destemail = email_dest@gmail.com
#sender = root@$(hostname -f)
sender = email_exped@gmail.com
action = %(action_mwl)s

Au démarrage de fail2ban, le courriel initiale n'est pas envoyé, avec l'extrait du fail2ban comme suit:

Citation

2021-03-09 12:40:05,200 fail2ban.jail           [1]: INFO    Jail 'bitwarden' started
2021-03-09 12:40:05,202 fail2ban.jail           [1]: INFO    Jail 'bitwarden-admin' started
2021-03-09 12:40:05,314 fail2ban.utils          [1]: ERROR   7fecf89dae40 -- exec: printf %b "Subject: [Fail2Ban] bitwarden: started on Hogshead
Date: `LC_ALL=C date +"%a, %d %h %Y %T %z"`
From: Fail2Ban <email_exped@gmail.com>
To: email_dest@gmail.com\n
Hi,\n
The jail bitwarden has been started successfully.\n
Regards,\n
Fail2Ban" | /usr/sbin/sendmail -f "email_exped@gmail.com" "email_dest@gmail.com"
2021-03-09 12:40:05,314 fail2ban.utils          [1]: ERROR   7fecf89dae40 -- stderr: 'SSL_connect: No error information'
2021-03-09 12:40:05,314 fail2ban.utils          [1]: ERROR   7fecf89dae40 -- stderr: 'sendmail: Cannot open smtp.gmail.com:587'
2021-03-09 12:40:05,314 fail2ban.utils          [1]: ERROR   7fecf89dae40 -- returned 1
 

J'ai mis le .yml.fail2ban.yml 

En principe il n'ya pas de pb avec le compte gmail parce que messages du Synology sont envoyés correctement (DSM -> Notification).

Je sens que je suis proche, mais... Merci.

[pcdebut]

Quelle stupidité...

Le variable d'environnement SSMTP_STARTTLS doit être "YES" et pas "NON" pour Gmail...

ça marche!

Merci en tout cas pour la lecture... Si l'effet magique de ce forum marche chaque fois que j'ai un pb, je serai bientôt un expert!!

 

[declencher]

Bonjour tout le monde !

J'aimerai me lancer dans l'aventure Bitwarden, et même si la légèreté de la version rs est séduisante, j'aimerai avant tout tester la version originale en raison de question que je me pose concernant la sécurité...

J'ai donc suivi le tuto, et je rencontre un soucis, peut être que c'est normal.

Je ne souhaite pas utiliser de NDD, je n'utilise mon NAS qu'en local, donc je n'ai ni ndd ni certificat. Si un jour j'ouvre le NAS à l'extérieur, ce sera probablement via un VPN, je pense...

Lors de l'installation, j'ai donc mis un NDD imaginaire, puis j'ai indiqué que je ne voulais pas de certificat ssl. J'ai eu le message de warning disant que Bitwarden pourrait ne pas bien fonctionner. En dehors de la sécurité je ne comprends pas où est la limite. Et pourtant, lien ou pas, j'ai les soucis suivants :
- Juste après l'installation, si je vais sur la page admin : 502 gateway error.
- Si je vais sur la home de bitwarden (port 81 avec le tuto), je vois une mire. Je peux cliquer sur créer un compte, je peux remplir le formulaire, mais lorsque je valide rien ne se passe.
- Si je tente de retourner sur la page admin, alors j'ai une redirection automatique vers la mire de connexion synology sur le port par défaut.

Voilà où j'en suis. Qu'en pensez vous ? Y'a t'il une astuce pour installer Bitwarden uniquement en local sans se casser la tête avec la génération/renouvellement de certificats ?

[MimiraK]

Bonjour à tous !

Je me suis attelé à la configuration de bitwarden et installé docker, l'image bitwarden, fait les différentes config et tout semblait marcher...

Donc j'arrive à accéder à page de connexion en local http://192.168.x.x:7691 MAIS :

1. Avec mon nom de domaine bitwarden.ndd.com ou https://biwarden.ndd.com (le premier est directement redirigé vers le second) j'obtiens la page suivante :
2. Ne serait-ce pas le fichier .htaccess qui gère la redirection qui fou le bazar ?
3. Ma config reverse proxy :
4. Ma config de port bitwarden :
5. D'ailleurs pourquoi il y a 2x2 ports pour le même protocole ?
6. Je précise que le port 80 et 443 sont redirigé vers mon nas et que le conteneur est en bridge

Quelqu'un aurait-il une piste ?

En vous remerciant d'avance ! 🙂

[.Shad.]

@declencher

Le 19/03/2021 à 08:42, declencher a dit :

Je ne souhaite pas utiliser de NDD, je n'utilise mon NAS qu'en local, donc je n'ai ni ndd ni certificat. Si un jour j'ouvre le NAS à l'extérieur, ce sera probablement via un VPN, je pense...

Si tu comptes l'utiliser sur un smartphone (gros plus) en 4G, ton coffre sera en lecture seule, pas gênant pour toi ?
Ou alors ton VPN devra être activé pour ajouter des mots de passe ou les modifier.

Et d'après la doc Bitwarden :

Citation

If you opt to use no certificate, you must front your installation with a proxy that serves Bitwarden over SSL. This is because Bitwarden requires HTTPS; trying to use Bitwarden without the HTTPS protocol will trigger errors.

Essaie du coup d'utiliser le port 444 en HTTPS par exemple (refaire l'installation), tu n'auras peut-être plus les erreurs. Même si je pense qu'il serait plus facile que tu mettes un proxy inversé en place, et ça fonctionnera sans la moindre anicroche.

 @MimiraK

Tu utilises quelle image pour avoir à configurer un conteneur manuellement (cf impression d'écran avec les ports) ? Pour la version officielle, c'est un script qui gère tout ça.

Modifié le 22 mars 2021 par .Shad.

[MimiraK]

@.Shad.

C'est dans docker > Image et bitwardenrs/server:latest 🙂

Pour être tout à fait honnête quand j'ai vu le tuto avec la version ligne de commande 😞 bad...

Mon cerveau est en surchauffe depuis vendredi et toute les config securisation, reverse proxi, drive, active backup et pour finir bitwarden !

Je me suis facilité un peu la vie avec un tuto video tech2tech 😜

 

Pour le retour sur mon cas 🙂 

J'ai essayer de faire une entrée A en zone DNS pour biwarden.ndd.com --> marche pas

Je reviens sur une CNAME --> marche pas

Désactiver / réactiver docker et son conteneur --> marche pas

Reboot NAS --> marche pas

Et puis après une actualisation MIRACLE tout fonctionne. Je me demande par contre si j'ai pas vidé les caches navigateur entre temps... 🙂

 

C'est plutôt incompréhensible d'autant que je trouvais ma config au poil 😛 

Mais bon c'est cool ça marche nickel !

 

POUR Info et j'ai testé, l'ensemble du coffre est synchronisé sur toutes les devices donc autant de sauvegardes que de devices 😉 

Le plus compliqué fut de trouvé le moyen d'exporter mon trousseau de clé Apple pour l'intégrer à Bitwarden !

J'ai réussi avec un script choper sur le net (je n'y connais rien en script, codage ou autre bince) que j'ai du modifier à ma sauce pour coller à l'import de fichier type firefox de bitwarden.

Après quelques dizaines de minutes de mac travaillant tout seul - "Si je pouvais scripter mes taches administratives " - enregistrement > import bitwarden > et tout qui y est ! 🙂

 

En tout cas un grand merci à ce forum et tous ses membres qui m'ont été d'une aide précieuse, et c'est pas fini 😛

 

Au plaisir !

 

[declencher]

Salut @.Shad. !

Il y a 10 heures, .Shad. a dit :

Si tu comptes l'utiliser sur un smartphone (gros plus) en 4G, ton coffre sera en lecture seule, pas gênant pour toi ?
Ou alors ton VPN devra être activé pour ajouter des mots de passe ou les modifier.

La synchronisation n'est pas bidirectionnelle ? Je pensais l'utiliser sur mobile, ajouter des mdp sur mon mobile, puis faire la synchro en wifi local. C'est impossible ??

Je vais essayer l'astuce du port 444 en recommençant de 0.

Pour utiliser le proxy inversé, je suis obligé d'avoir un NDD et d'exposer mon IP dans ma zone DNS. C'est bien ça ?

C'est le principal point qui me fait peur : limiter la surface d'attaque, et si possible masquer l'IP de mon NAS, voir masquer le sous-domaine lui même...

C'est un dilemme sur lequel je n'arrive pas à trancher... C'est cool un proxy inversé, mais si l'application exposée a une faille, elle peut dans certains cas permettre d'outrepasser le simple périmètre de l'appli et exposer le NAS entier... Exposer mon coffre fort de mdp me fait flipper, mais exposer le NAS entier encore plus 😁

 

Modifié le 22 mars 2021 par declencher

[MimiraK]

Petite question sur les pratiques de chacun et du coffre fort :

Enregistrer vous l'intégralité de vos mot de passe dedans ? Et surtout ceux pour les accès au NAS ? si ce n'est pas le cas avez vous un second coffre pour ces derniers ?

Merci d'avance à tous pour vos réponse !

Au plaisir !

[.Shad.]

il y a 13 minutes, declencher a dit :

La synchronisation n'est pas bidirectionnelle ? Je pensais l'utiliser sur mobile, ajouter des mdp sur mon mobile, puis faire la synchro en wifi local. C'est impossible ??

Non, quand tu modifies un enregistrement ça écrit sur le serveur.
Par contre tu as un cache local en lecture seul, que tu aies accès à la dernière version de ton coffre même si pas de connectivité.

il y a 14 minutes, declencher a dit :

Pour utiliser le proxy inversé, je suis obligé d'avoir un NDD et d'exposer mon IP dans ma zone DNS. C'est bien ça ?

Oui

il y a 15 minutes, declencher a dit :

C'est le principal point qui me fait peur : limiter la surface d'attaque, et si possible masquer l'IP de mon NAS, voir masquer le sous-domaine lui même...

Les bot n'utilisent pas les noms de domaine mais la liste des IP disponibles pour chaque pays pour faire du brute-forcing.

il y a 16 minutes, declencher a dit :

C'est un dilemme sur lequel je n'arrive pas à trancher... C'est cool un proxy inversé, mais si l'application exposée a une faille, elle peut dans certains cas permettre d'outrepasser le simple périmètre de l'appli et exposer le NAS entier... Exposer mon coffre fort de mdp me fait flipper, mais exposer le NAS entier encore plus 😁

Si ton serveur VPN a une faille (et avec une implémentation OpenVPN sur Synology qui date de 4 ans, ça n'a rien d'impossible), c'est tout ton NAS mais aussi ton réseau local qui est menacé. Il ne faut pas être parano, si tu actives par exemple la double authentification sur Bitwarden, en terme de sécurité le risque est proche du néant. Tu peux également limiter géographiquement l'accès au proxy inversé par pays.

Et en HTTPS les données sont transmises chiffrées.

[Jeff777]

Merci @Balooforever et @unPixel pour ce tuto. Un petit REX:

J'avais déjà installé il y a quelque temps Bitwarden mais ne l'avais pas trouvé très pratique par rapport à Roboform. Comme je remarque qu'il y a de nombreux membres qui l'utilisent, je me suis dit que j'allais creuser un peu plus son utilisation. J'ai finalement décidé de m'y remettre et je dois dire qu'avec l'expérience acquise grâce à ce forum et grâce au tuto très clair, l'installation s'est déroulée sans problème (je crois que j'avais un peu tâtonné la première fois).

Je viens d'importer ma base roboform, je vais maintenant essayer le bébé.

[MilesTEG1]

Le 09/03/2021 à 13:53, pcdebut a dit :

Quelle stupidité...

Le variable d'environnement SSMTP_STARTTLS doit être "YES" et pas "NON" pour Gmail...

ça marche!

Merci en tout cas pour la lecture... Si l'effet magique de ce forum marche chaque fois que j'ai un pb, je serai bientôt un expert!!

@pcdebut Merci pour ce post et le précédent 😉

Ils m'ont aidé à mettre les notifications emails dans fail2ban pour Bitwarden_RS 🙂

Voir ce post : 

 

 

[Jeff777]

Bonjour,

Bitwarden version officielle me plait bien mais c'est vrai qu'il utilise pas mal de ram (600MB en ce moment mais j'ai vu que ça pouvait être bien plus).

J'hésite à essayer bitwardenrs alors je demande votre avis sur les points suivants :

1/ laquelle de ces 2 installations recommandez-vous et pour quelles raisons ?

2/peut-on installer les deux pour test avant désinstallation de l'une d'elles?

3/ existe-t-il un tuto d'installation en docker-compose ?

Merci d'avance

 

[MilesTEG1]

Il y a 2 heures, Jeff777 a dit :

3/ existe-t-il un tuto d'installation en docker-compose ?

@Jeff777 Pour Bitwarden_RS, j'ai fait un tuto pour DOcker-compose (et Portainer) : [Tuto] Installer Bitwarden_rs avec une sauvegarde automatique de la base de données - Forum des NAS (forum-nas.fr)

Je l'ai pas mis ici, mais c'est un tuto qui fonctionne 😉 
Quand j'aurais un moment, je rédigerais la suite de ce tuto pour l'intégration de fail2ban que j'ai mis en place cette semaine.