Skip to content

Bitwarden_RS auf einem Debian Buster 10 Server installieren!

Angeheftet Linux
  • Hi,
    danke für die tolle Anleitung, hat alles soweit funktioniert.
    Habe es sogar in nginx einbauen können...

    Wie sieht es eigentlich mit Updates aus? Da es bereits eine neue version von Bitwardenrs gibt?

    vG
    hase

    @hase567 Willkommen!

    Ich habe ja in der Anleitung die Konfiguration für Apache2 drin, ich würde das gerne um die Nginx Konfiguration erweitern. Kannst Du die hier zur Verfügung stellen?

    Der Nico hat mir damals erzählt, das er zeitnah ein neues Debian Paket baut. Ich habe mal bei ihm angefragt..

  • Antwort vom Nico

    Aber du verwendest schon mein Repository? Dort bin ich aktuell eine Version hinter der neuesten. Warum? Die haben den Namen des Projektes geändert und ich weiß noch nicht wie ich das handlen soll. Und da es dort keine Sicherheitslücken gab, habe ich das vorerst nicht priorisiert.

    Kurzfassung: Updates kommen über das Repository. Sicherheitsupdates schnell, bei anderen kann es mal ein paar Tage bis Wochen dauern

  • Hi,
    danke für dein Feedback bzgl. der Updates...
    Also ich habe mich fast an Deiner apache Anleitung gehalten, bis auf die Apache conf-Anpassungen. Da ich nginx nutze, habe ich etwas gefunden.
    Auf der Website https://pieterhollander.nl/post/bitwarden/ findest du die Einträge für die Bitwarden nginx vault.conf. Diese habe ich fast 1:1 übernommen.
    Bisher läuft es auf einem Testserver bei mir ohne Probleme...

  • Hi Frank,
    konntest du damit etwas anfangen bzw. hast du es bereits getestet?

  • Hi Frank,
    konntest du damit etwas anfangen bzw. hast du es bereits getestet?

    @hase567 Danke, der Link war informativ und ich denke ich bekomme das auch damit hin, wenn da nicht die Zeit wäre. So was mache ich selten, mal eben nebenbei. Somit brauche ich da mal eine ruhige Stunde für. Ausprobieren möchte ich das auf alle Fälle, da alle meine anderen Server NGINX benutzen.

  • Hi Frank,
    konntest du damit etwas anfangen bzw. hast du es bereits getestet?

    @hase567 Ok, hast mich überredet 🙂 Kurzer Test.

    service apache2 stop
    

    Danach NGINX installiert

    apt install nginx
    

    Konfiguration unter

    /etc/nginx/sites-enabled/default
    

    eingetragen. Folgt noch, muss noch was anpassen.

    service nginx restart
    

    Und, läuft so weit ich das auf die Schnelle sehen kann, wie unter Apache2.

    Ich werde das in der Anleitung s.o. später hinzufügen. Dann können sich Interessierte aussuchen, was sie nutzen möchten.

    Und jetzt habe ich zusätzlich ein + 😊

    26011942-5d37-40fc-ae25-8daa4073f3d3-image.png

  • Hi,
    das ist doch Super. Hatte mich auch gewundert das es doch recht Simpel ist.
    Bei mir läuft es aktuell noch auf einem Testserver, ohne irgendwelche Fehler weder seitens nginx noch von Bitwarden.
    Werde wohl komplett auf ein Livesystem umstellen. 😊

  • Hi,
    das ist doch Super. Hatte mich auch gewundert das es doch recht Simpel ist.
    Bei mir läuft es aktuell noch auf einem Testserver, ohne irgendwelche Fehler weder seitens nginx noch von Bitwarden.
    Werde wohl komplett auf ein Livesystem umstellen. 😊

    @hase567 Darf ich hier eigentlich nicht so schreiben, aber ich teste sehr viel direkt auf meinen Servern. Für Fälle wo es mal richtig schief geht, habe ich bei Hetzner ja noch etliche Backups der letzten paar Tage. Und Datensicherung usw. ist sowieso vorhanden.

    Und mal eben NGINX neben dem Apache2 zu testen ist ja auch nicht wirklich Hexerei. Wobei ich den Apachen wesentlich anstrengender finde. Aber, das könnte eine sehr subjektive Meinung sein. Darum freut es mich, wenn wir oben im Thread beide Varianten drin haben. Ich baue das morgen ein.

  • Hallo,

    ich habe es nun auch geschafft das Repository auf die aktuelle Version von (nun) Vaultwarden zu aktualisieren. Das Paket und die Binary heißen aber noch "bitwarden_rs". Die Transition auf den neuen Namen habe ich (zumindest für dieses Release) verschoben.

    Zusätzlich habe ich die Installationsanleitung von @FrankM im Repository verlinkt. Danke für den schönen Beitrag.
    Ebenfalls Danke für die nginx Snippets. Ich bin ein Apache-Kind, aber werde bei Gelegenheit die ordnungsgemäße Funktion verifizieren und die nginx Konfiguration dann auch ergänzen.

    Beste Grüße
    Nico

  • Hallo,

    ich habe es nun auch geschafft das Repository auf die aktuelle Version von (nun) Vaultwarden zu aktualisieren. Das Paket und die Binary heißen aber noch "bitwarden_rs". Die Transition auf den neuen Namen habe ich (zumindest für dieses Release) verschoben.

    Zusätzlich habe ich die Installationsanleitung von @FrankM im Repository verlinkt. Danke für den schönen Beitrag.
    Ebenfalls Danke für die nginx Snippets. Ich bin ein Apache-Kind, aber werde bei Gelegenheit die ordnungsgemäße Funktion verifizieren und die nginx Konfiguration dann auch ergänzen.

    Beste Grüße
    Nico

    @nico Danke für die Infos!

    Ich hab mal getestet 🙂

    root@:~# service bitwarden_rs restart
    Warning: The unit file, source configuration file or drop-ins of bitwarden_rs.service changed on disk. Run 'systemctl daemon-reload' to reload units.
    root@:~# systemctl daemon-reload
    root@:~# service bitwarden_rs restart
    

    7bba03e1-ea0a-4ea2-aa98-eaf3d65e835d-grafik.png

    Passt

  • Hi,
    bitte achtet darauf, das die neue .env Datei weitere/neue Zeilen enthält bzgl. der Purge Cronjobs des "Send" Systems. Die Einträge dazu sind auch im Adminbereich einsehbar.

    Andi

  • Hi,
    bitte achtet darauf, das die neue .env Datei weitere/neue Zeilen enthält bzgl. der Purge Cronjobs des "Send" Systems. Die Einträge dazu sind auch im Adminbereich einsehbar.

    Andi

    @hase567 Danke für den Hinweis.

    Da ich gestern vom Nico gefragt wurde, ob die Websockets unter NGINX gehen, habe ich das gestern ausprobiert. Ging nicht. Heute dann mal auf die Suche gegangen und festgestellt, das die in der Konfigurationsdatei nicht aktiv waren.

    Also eingeschaltet und ausprobiert. Einen neuen Eintrag erstellt und geschaut, ob der ohne Neuladen, sofort angezeigt wird. Das passiert bei mir jetzt so.

    Ich hoffe das stimmt jetzt so alles...

    ## Enables websocket notifications
    WEBSOCKET_ENABLED=true
    
    ## Controls the WebSocket server address and port
    WEBSOCKET_ADDRESS=0.0.0.0
    WEBSOCKET_PORT=3012
    
  • @hase567 Danke für den Hinweis.

    Da ich gestern vom Nico gefragt wurde, ob die Websockets unter NGINX gehen, habe ich das gestern ausprobiert. Ging nicht. Heute dann mal auf die Suche gegangen und festgestellt, das die in der Konfigurationsdatei nicht aktiv waren.

    Also eingeschaltet und ausprobiert. Einen neuen Eintrag erstellt und geschaut, ob der ohne Neuladen, sofort angezeigt wird. Das passiert bei mir jetzt so.

    Ich hoffe das stimmt jetzt so alles...

    ## Enables websocket notifications
    WEBSOCKET_ENABLED=true
    
    ## Controls the WebSocket server address and port
    WEBSOCKET_ADDRESS=0.0.0.0
    WEBSOCKET_PORT=3012
    

    @frankm Setz die "WEBSOCKET_ADDRESS" auf 127.0.0.1. Der Port muss/sollte nicht ohne Reverse Proxy erreichbar sein.

  • @frankm Setz die "WEBSOCKET_ADDRESS" auf 127.0.0.1. Der Port muss/sollte nicht ohne Reverse Proxy erreichbar sein.

    @nico Done.

    Ging erst nicht, was man so alles vergisst, der Port muss ja auch mal zugänglich sein. 🤓

    Also, das was ich heute dann noch optimiert habe. Für Websocket die Config entsprechend anpassen. Den Port in der Firewall freigeben.

    Das Logging wollte ich noch umbiegen, es hat lange gedauert, bis ich den Grund gefunden hatte warum es nicht geht.

    /lib/systemd/system/bitwarden_rs.service
    

    Der Dienst muss leicht angepasst werden

    ReadWriteDirectories=/var/lib/bitwarden_rs /var/log/bitwarden
    

    Dann geht es auch mit dem Logging in diese Datei.

  • @FrankM, @Nico
    Toller Service hier von euch bzgl. Bitwarden_rs! Läuft jetzt bei mir auch alles so wie es sein soll!

    Happy Weekend
    Andy

  • @FrankM, @Nico
    Toller Service hier von euch bzgl. Bitwarden_rs! Läuft jetzt bei mir auch alles so wie es sein soll!

    Happy Weekend
    Andy

    @hase567 Ich habe zu danken. Durch deinen sehr nützlichen Link

    konnte ich jetzt die Fail2Ban Erkennung noch mit einbauen, das Logging läuft jetzt auch separat. Tolle Seite vom Pieter. Hab mich da mal bedankt.

  • FrankMF FrankM hat dieses Thema am angepinnt
  • Hi zusammen,
    ich wollte nun mal auf einen Debian Server die Installation auf einem Apache durchführen.
    Bei der Einrichtung mit:
    apt-key adv --keyserver keys.gnupg.net --recv-keys 24BFF712
    erscheint folgende Fehlermeldung:
    Executing: /tmp/apt-key-gpghome.adhmhBrwoR/gpg.1.sh --keyserver keys.gnupg.net --recv-keys 24BFF712
    gpg: Empfangen vom Schlüsselserver fehlgeschlagen: Kein Name

    Habt Ihr eine Idee?

  • Hi zusammen,
    ich wollte nun mal auf einen Debian Server die Installation auf einem Apache durchführen.
    Bei der Einrichtung mit:
    apt-key adv --keyserver keys.gnupg.net --recv-keys 24BFF712
    erscheint folgende Fehlermeldung:
    Executing: /tmp/apt-key-gpghome.adhmhBrwoR/gpg.1.sh --keyserver keys.gnupg.net --recv-keys 24BFF712
    gpg: Empfangen vom Schlüsselserver fehlgeschlagen: Kein Name

    Habt Ihr eine Idee?

    @hase567 Da ich ja gerade einige Server von Debian Buster nach Debian Bullseye migriere, ist mir das auch schon aufgefallen 😉
    @Nico ist über das Problem informiert und arbeitet an einer Lösung.

  • @hase567 Da ich ja gerade einige Server von Debian Buster nach Debian Bullseye migriere, ist mir das auch schon aufgefallen 😉
    @Nico ist über das Problem informiert und arbeitet an einer Lösung.

    @frankm sagte in Bitwarden_RS auf einem Debian Buster 10 Server installieren!:

    @Nico ist über das Problem informiert und arbeitet an einer Lösung.

    Das hört sich gut an 👍 🤓

  • @frankm sagte in Bitwarden_RS auf einem Debian Buster 10 Server installieren!:

    @Nico ist über das Problem informiert und arbeitet an einer Lösung.

    Das hört sich gut an 👍 🤓

    @hase567 Ich habe die Anleitung auf https://bitwarden-deb.tech-network.de/ überarbeitet.
    Jetzt funktioniert es auch mit Debian 11 und neueren Ubuntu Versionen.

    Konkret hat sich Schritt 1 geändert. Das Hinzufügen des Keys erfolgt jetzt über:

    wget -O /etc/apt/trusted.gpg.d/bananian-keyring.gpg https://bitwarden-deb.tech-network.de/bananian-keyring.gpg
    
  • Debian Bookworm 12.6 released

    Linux debian linux
    1
    0 Stimmen
    1 Beiträge
    157 Aufrufe
    Niemand hat geantwortet
  • Redis Stack?

    Redis redis linux
    1
    1
    0 Stimmen
    1 Beiträge
    153 Aufrufe
    Niemand hat geantwortet
  • Firefox - Dolphin Dateibrowser benutzen

    Linux firefox linux
    1
    1
    0 Stimmen
    1 Beiträge
    484 Aufrufe
    Niemand hat geantwortet
  • Crowdsec - Ein fail2ban Ersatz?

    Linux crowdsec linux fail2ban
    2
    1
    0 Stimmen
    2 Beiträge
    895 Aufrufe
    FrankMF
    Ich kann jetzt hier von meiner ersten Erfahrung berichten und wie CrowdSec mich gebannt hat Was war passiert? Ich war gestern sehr intensiv mit der Konfiguration von Nextcloud <-> Collabora Online beschäftigt. Nachdem ich irgendwie nicht weiterkam habe ich mich der Erstellung eines Dokumentes gewidmet. Nach einiger Zeit war die Nextcloud nicht mehr erreichbar. Ok, hatte ich bei der Konfiguration auch schon mal, den Server einmal neugestartet und fertig. Doch jetzt kam es, Server neugestartet - hilft nicht. Gut, schauen wir mal nach, Der SSH Login ging auch nicht Jetzt war guter Rat gefragt. Zu diesem Zeitpunkt ging ich noch davon aus, das auf diesem Server kein CrowdSec installiert war, sondern fail2ban. Und fail2ban hatte eine sehr kurze Bantime vom 10M. Also blieb wohl nur noch das Rescue System von Hetzner. [image: 1694411392066-488866bc-3dcf-4abc-9e98-6107d65aa4c7-grafik.png] Da hatte ich ja so gut wie gar keine Erfahrung mit. Also mal kurz den Nico angetriggert und es kam folgender Link. https://docs.hetzner.com/de/robot/dedicated-server/troubleshooting/hetzner-rescue-system/ Das Laufwerk war schnell bestimmt und schnell nach /tmp gemountet. Danach musste man sich noch mit chroot in diese Umgebung anmelden. chroot-prepare /mnt chroot /mnt Nachdem das klappte, habe ich eben fail2ban disabled. sysmctl disable fail2ban Danach das Rescue beendet. Der Server startete wieder und ich kam wieder per SSH drauf. Puuh. Bei meiner ersten Kontrolle fiel mir was auf root@:~# pstree systemd─┬─2*[agetty] ├─atd ├─cron ├─crowdsec─┬─journalctl │ └─8*[{crowdsec}] ├─crowdsec-firewa───9*[{crowdsec-firewa}] Wie? Da läuft CrowdSec? Da ich dabei bin die Server auf CrowdSec umzustellen, war das wohl hier schon gemacht, aber leider nicht vernünftig. fail2ban hätte mindestens disabled werden müssen und in meiner Dokumentation war das auch nicht enthalten. 6 setzen! CrowdSec besteht ja aus zwei Diensten, CrowdSec und dem Firewall-Bouncer. Der CrowdSec Dienst lief aber nicht, der war irgendwie failed. Ok, starten wir ihn und schauen was passiert. Nachdem er gestarte war mal die Banliste angeschaut. cscli decisions list ergab diesen Eintrag. 2551501 │ crowdsec │ Ip:5.146.xxx.xxx │ crowdsecurity/http-crawl-non_statics │ ban │ │ │ 53 │ 1h5m55.391864693s │ 1671 Meine IP war gebannt. Dann wissen wir ja , woher die Probleme kamen. cscli decisions delete --id 2551501 Nach Eingabe war der Ban entfernt. Na gut, aber da ich aktuell immer noch an der richtigen Konfiguration von NC <-> CODE bastel, könnte das ja wieder passieren. Was machen? Kurz gegoogelt. Es gibt eine Whitelist. Aha! /etc/crowdsec/parsers/s02-enrich/whitelists.yaml name: crowdsecurity/whitelists description: "Whitelist events from private ipv4 addresses" whitelist: reason: "private ipv4/ipv6 ip/ranges" ip: - "127.0.0.1" - "::1" - "5.146.XXX.XXX" cidr: - "192.168.0.0/16" - "10.0.0.0/8" - "172.16.0.0/12" # expression: # - "'foo.com' in evt.Meta.source_ip.reverse" Danach den Dienst neustarten. Jetzt hoffen wir mal, das es hilft. Zum Schluss noch was, was mir aufgefallen war und was mich auch sehr verwirrt hatte. CrowdSec hatte wegen einem crowdsecurity/http-crawl-non_statics gebannt. Dadurch konnte ich meine subdomain.<DOMAIN> nicht erreichen. Ok, logisch, wenn der Ban von da ausgeht. Ich konnte aber gleichzeitig eine andere subdomain mit derselben <DOMAIN> auch nicht erreichen. Komplett verwirrte es mich dann, als ich eine andere <DOMAIN> auf dem selben Server erreichen konnte. Und zum Schluss ging auch der SSH nicht. Also, wieder viel gelernt..
  • NAS 2023 - Software Teil 2

    Angeheftet Verschoben Linux nas linux
    1
    4
    0 Stimmen
    1 Beiträge
    221 Aufrufe
    Niemand hat geantwortet
  • Virt-Manager

    Linux linux virt-manager
    1
    3
    0 Stimmen
    1 Beiträge
    93 Aufrufe
    Niemand hat geantwortet
  • LUKS Key Derivation Function

    Linux luks linux
    1
    0 Stimmen
    1 Beiträge
    81 Aufrufe
    Niemand hat geantwortet
  • Restic - Rootserver als Datenablage nutzen

    Restic linux restic
    2
    0 Stimmen
    2 Beiträge
    767 Aufrufe
    FrankMF
    Ok, das erste Backup dauert immer was länger In meinem Fall 5 Std. 16 Minuten. Files: 33408 new, 0 changed, 0 unmodified Dirs: 1 new, 0 changed, 0 unmodified Data Blobs: 20849 new Tree Blobs: 2 new Added to the repo: 6.278 GiB processed 33408 files, 8.604 GiB in 5:16:03 snapshot 5beg1cb3 saved Aber, das Schöne ist, das die Backups inkrementell angelegt werden. Das nächste geht schneller open repository repository 3gg202a2 opened successfully, password is correct lock repository load index files using parent snapshot 5beg1cb3 start scan on [/home/frank] start backup on [/home/frank] scan finished in 3.791s: 33788 files, 8.611 GiB Files: 496 new, 74 changed, 33218 unmodified Dirs: 0 new, 1 changed, 0 unmodified Data Blobs: 292 new Tree Blobs: 2 new Added to the repo: 43.661 MiB processed 33788 files, 8.611 GiB in 2:15 snapshot fag41bf7 saved Eine tägliche Sicherung sollte dann wohl reichen.