Skip to content
linux-nerds.org

linux-nerds.org
  1. Übersicht
  2. Linux
  3. Vaultwarden auf Debian Bookworm 12 installieren!

Vaultwarden auf Debian Bookworm 12 installieren!

Angeheftet Linux
  • FrankMF

    Das ist eine aktualisierte Anleitung des folgenden Beitrages.

    Was ist Vaultwarden?

    Vaultwarden nutzt die Server API von Bitwarden in einer eigenen Serverentwicklung geschrieben in Rust usw.

    Alternative implementation of the Bitwarden server API written in Rust and compatible with upstream Bitwarden clients*, perfect for self-hosted deployment where running the official resource-heavy service might not be ideal.

    Plan

    • Cloud Server von Hetzner aufsetzen
    • Vaultwarden aufsetzen
    • Ein paar sinnvolle Tools nachinstallieren

    1. Server aufsetzen

    1.1 Installation

    Ich setze ein wenig Wissen hier voraus, etwas ausführlicher findet ihr das Ganze in o.g. Beitrag.

    1.1.1 Standort

    Bei Hetzner hat man mittlerweile die Auswahl zwischen einigen Standorten.

    269f5184-e97c-4c75-9ec4-4a49b00b562f-grafik.png

    Ob ihr Euch jetzt einen x86 oder einen Arm64 auswählt, das müsst Ihr selber entscheiden. @Nico hat ein Debian Paket gebaut, das man auf x86 installieren kann. Darin ist noch keine Arm64 Unterstützung enthalten. Dafür gibt es aber ein Testpaket und es wird sicherlich demnächst auch eine direkte Arm64 Unterstützung in seinem Paket geben.

    Seit 02.05.2023 mit Arm64 Unterstützung incl. Debian Bookworm 🙂

    Solltet Ihr Arm64 wählen wollen, dann müsst ihr momentan als Standort Falkenstein wählen.

    1.1.2 Image

    Wir benötigen als Image zwingend Debian Das Paket vom @Nico läßt sich auch auf Ubuntu installieren. Ich favorisiere für Server im Internet aber Debian.

    513df87d-e80b-4ca8-8a58-5aff0bb2697f-grafik.png

    1.1.3 Typ

    67af8be0-6c41-4b0c-9b8d-4abb92ff5b7e-grafik.png

    Wir wählen die kleinste virtuelle Maschine, den CAX 11

    1.1.4 Networking

    aaf69478-f7b7-4f03-a8de-916c36ff544c-grafik.png

    Vorausgesetzt ihr habt eine vernünftige Ipv6 Anbindung, dann kann man die öffentliche Ipv4 Adresse weglassen und spart etwas Geld. Seit einiger Zeit muss man diese Ipv4 Adressen bei Hetzner extra bezahlen. Hier im Beispiel gehe ich von einer IPv6 only Umgebung aus.

    Eine Ipv6 Einrichtung sollte man nur dann einrichten, wenn man auch eine vernünftige IPv6 Umgebung zu Hause usw. auch hat. Sonst wird die Kommunikation mit dem Server etwas schwierig 😉

    Die restlichen Punkte je nachdem was ihr braucht. Auf Kostenpflichtig erstellen klicken.

    Der erste Login

    IP kopieren und mittels SSH connecten

    ssh root@<IPv6>

    Die Abfrage

    Are you sure you want to continue connecting (yes/no/[fingerprint])? yes

    mit yes beantworten und man ist drin 😉

    1.2 Upgrade auf Debian Bookworm 12

    Aktuell (Stand: 03.05.2023) kann man noch kein Debian 12 bei Hetzner auswählen.

    Debian Bookworm ist noch nicht für den produktiven Einsatz gedacht, der Release ist am 10. Juni 2023!

    Das ist aber auch kein Problem, ziehen wir die Debian 11 Installation mal eben auf Debian 12 hoch. Wir schauen nach ob alles aktuell ist.

    apt update && apt upgrade

    Danach die Paketliste auf Bookworm umbauen

    deb http://deb.debian.org/debian bookworm main contrib non-free non-free-firmware
# deb-src http://deb.debian.org/debian bookworm main contrib non-free

deb http://deb.debian.org/debian bookworm-updates main contrib non-free non-free-firmware
# deb-src http://deb.debian.org/debian bookworm-updates main contrib non-free

# deb http://deb.debian.org/debian bookworm-backports main contrib non-free
# deb-src http://deb.debian.org/debian bookworm-backports main contrib non-free

deb http://security.debian.org/debian-security bookworm-security main contrib non-free non-free-firmware
# deb-src http://security.debian.org/debian-security bookworm-security main contrib non-free

    Wir entfernen die zwei Hetzner Source Listen. Aktuell auch kein Bookworm vorhanden. Wenn Bookworm bei Hetzner verfügbar ist, könnt ihr die ja wieder einbauen.

    mv hetzner-mirror.list /root
mv hetzner-security-updates.list /root

    Jetzt nochmal

    apt update && apt upgrade

    Wenn ich mich recht erinnere kommen jetzt so ca. 330 Pakete. Alle installieren, danach die Kiste einmal neustarten.

    Danach sind wir auf Debian Bookworm 12

    root@:~# cat /etc/debian_version 
12.0

    2. Vaultwarden

    Für dieses Projekt benutzen wir Vaultwarden. Vaultwarden ist eine Rust Implementation der Bitwarden Server API.

    2.1 Installation Vaultwarden

    @Nico's Anleitung für die Installation.

    Vaultwarden repository for Debian 10, 11 and 12 and Ubuntu 20.04 and 22.04
-------------------------------------------

Public repository. Feel free to use!

# Installation
1. wget -O /etc/apt/trusted.gpg.d/bananian-keyring.gpg https://bitwarden-deb.tech-network.de/bananian-keyring.gpg
2. Important: Please make sure that you use the correct repository for your distribution:

Debian 10 (buster), 11 (bullseye) and Ubuntu 20.04:
echo "deb http://bitwarden-deb.tech-network.de buster main" > /etc/apt/sources.list.d/vaultwarden.list

Debian 12 (bookworm) and Ubuntu 22.04:
echo "deb http://bitwarden-deb.tech-network.de bookworm main" > /etc/apt/sources.list.d/vaultwarden.list

3. apt-get update
4. apt-get install vaultwarden

# Configuration
- Vaultwarden config file is located at /etc/vaultwarden (config.env)
- Sample Apache configuration can be found here: https://bitwarden-deb.tech-network.de/Apache-VirtualHost.example.conf
- Sample Nginx configuration can be found here: https://bitwarden-deb.tech-network.de/Nginx-VirtualHost.example.conf

# Systemd service
- Enable: systemctl enable vaultwarden.service
- Start: systemctl start vaultwarden.service
- Status: systemctl status vaultwarden.service
- ...

Sources and Credits:
https://github.com/dani-garcia/vaultwarden

Eine ausführliche deutschsprachige Installationsanleitung gibt es hier:
https://linux-nerds.org/topic/977/bitwarden_rs-auf-einem-debian-buster-10-server-installieren

    Installation @nico's Debian Paket

    Bitte @nico's Anleitung folgen

    Installation Arm64 Testpaket

    Da wir ja hier die Arm64 Version installieren wollen, benutzen wir folgendes Testpaket.

    Seit heute (02.05.2023) ist das Arm64 Paket ganz normal zu installieren. Es wird kein Testpaket mehr gebraucht.

    Wer das installiert hatte, bitte

    apt remove vaultwarden
apt install vaultwarden

    ausführen.

    2.2 NGINX

    Wenn wir was ausliefern wollen, brauchen wir NGINX oder Apache2. Ich nutze nur NGINX. @Nico hat hier diese Beispieldatei.

    server {
    listen 80;
    server_name vaultwarden.example.com;

    # Redirect to https
    location / {
        return 301 https://$host$request_uri;
    }
}

server {
    listen 443 ssl http2;
    listen [::]:443 ssl http2;
    server_name vaultwarden.example.com;

    client_max_body_size 128M;

    # TLS
    # Please generate a secure TLS configuration with the Mozilla SSL Configuration Generator: https://ssl-config.mozilla.org/
    ssl_certificate /etc/ssl/certs/vaultwarden-fullchain.crt;
    ssl_certificate_key /etc/ssl/private/vaultwarden.key

    # HSTS
    add_header Strict-Transport-Security "max-age=63072000; preload";

    # Reverse Proxy
    resolver 127.0.0.1 valid=300s;
    resolver_timeout 5s;

    location / {
        proxy_pass http://127.0.0.1:8000;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }

    location /notifications/hub {
        proxy_pass http://127.0.0.1:3012;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
    }

    location /notifications/hub/negotiate {
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_pass http://127.0.0.1:8000;
    }
}

    Aber vorher müssen wir das mal installieren. Ich nutze eigentlich immer nur die Stable Pakete von NGINX direkt, die gibt es aber noch nicht für Bookworm, also aus dem Debian Repo.

    apt install nginx

    Danach die Datei /etc/nginx/sites-enabled/default mit der Beispieldatei füllen.

    2.3 Letsencrypt

    Für die Installation bitte diesen Beitrag lesen.

    Wenn wir jetzt alles richtig gemacht haben, sollte der Vaultwarden laufen und erreichbar sein. Vorher nochmal die Dienste neustarten.

    systemctl restart nginx
sytemctl restart vaultwarden

    3. Anwendung Vaultwarden

    Nach Eingabe der Domain in einen Browser sieht man folgendes

    cd1f64fb-a463-45ee-9903-985561bf04cb-grafik.png

    Bei einer Neuinstallation muss man sich jetzt Anmelden und ein Konto erstellen. Hat man vorher seine Daten exportiert, in einer alten Installation, kann man dann nach dem erfolgreichen Login diese Daten ganz einfach wiederherstellen.

    Für weitere wichtige Konfigurationsmöglichkeiten bitte hier weiterlesen.

    4. Zusatztools

    Sicherheit auf Servern ist ein sehr weites Gebiet mit vielen verschiedenen Meinungen. Wichtig für mich ist, kein Rootlogim mit Passwörtern, nur mit SSH Keys.

    Danach halte ich es noch mit

    • iptables
    • fail2ban

    Damit sollte der Server recht gut abgesichert sein. Und wenn doch mal einer reinkommen sollte, kann er mit den Daten im Vaultwarden nichts anfangen, die sind alle verschlüsselt.

    Achtet auf gute Passwörter!

    Viel Spaß mit Eurem eigenen Passwort-Safe!

    Im Fediverse -> @FrankM@nrw.social

    1. NanoPi R5S
    2. Quartz64 Model B, 4GB RAM
    3. Quartz64 Model A, 4GB RAM
    4. RockPro64 v2.1
    0
  • FrankMF FrankM hat dieses Thema am angepinnt
  • I

    Hi!

    Nach der Installation bekomme ich beim Starten folgende Fehlermeldung, da Deb12 nicht mehr mit OpenSSL1.1 sondern Version 3 ausgeliefert wird:

    vaultwarden
    vaultwarden: error while loading shared libraries: libssl.so.1.1: cannot open shared object file: No such file or directory

    ls /usr/lib/x86_64-linux-gnu/libssl*
    -rw-r--r-- 1 root root 1230436 May 30 18:12 /usr/lib/x86_64-linux-gnu/libssl.a
    lrwxrwxrwx 1 root root 11 May 30 18:12 /usr/lib/x86_64-linux-gnu/libssl.so -> libssl.so.3
    -rw-r--r-- 1 root root 692256 May 30 18:12 /usr/lib/x86_64-linux-gnu/libssl.so.3

    gibt es hier schon eine Lösung?

    0
  • N

    Hallo @itn

    du verwendest offenbar noch das "buster" Repository. Vermutlich hast du dein Debian 11 auf 12 aktualisiert?
    In diesem Fall muss auch das Vaultwarden Repository angepasst werden.

    Falls du noch eine "/etc/apt/sources.list.d/bitwarden.list" hast, lösch diese bitte. Anschließend folgendes als root ausführen:

    echo "deb http://bitwarden-deb.tech-network.de bookworm main" > /etc/apt/sources.list.d/vaultwarden.list

    Danach vaultwarden (neu) installieren (ggfs. vorher entfernen mittels apt-get remove vaultwarden):

    apt-get install vaultwarden

    Siehe auch https://bitwarden-deb.tech-network.de/

    Viel Erfolg und beste Grüße
    Nico

    0
  • I

    Hi @Nico !

    Danke für deine Unterstützung!
    Nein, das ist leider nicht der Fall. Es ist ein neu aufgesetztes Deb12.1

    cat /etc/apt/sources.list.d/vaultwarden.list
    deb http://bitwarden-deb.tech-network.de bookworm main

    apt-cache policy vaultwarden
    vaultwarden:
    Installiert: 1.29.1-1-bookworm
    Installationskandidat: 1.29.1-1-bookworm
    Versionstabelle:
    *** 1.29.1-1-bookworm 500
    500 http://bitwarden-deb.tech-network.de bookworm/main amd64 Packages
    100 /var/lib/dpkg/status

    0
  • N

    Hallo @itn

    Vielen Dank für den Hinweis. Ich habe den Fehler gefunden, einen Patch geschrieben und diesen erfolgreich getestet.

    Edit:
    Update ist online. Sorry für die Probleme!

    Beste Grüße
    Nico

    1
  • I

    Vielen lieben Dank Nico!
    Jetzt läuft vaultwarden.

    1

  • FrankMF

    Debian Installer Bookworm RC3 released

    Linux
    2
    0 Stimmen
    2 Beiträge
    73 Aufrufe
    FrankMF

    Und da sind wir schon bei RC4

    Debian Installer Bookworm RC 4 release

    favicon

    (lists.debian.org)

  • FrankMF

    Root-Rechte für Angreifer

    Linux
    1
    0 Stimmen
    1 Beiträge
    54 Aufrufe
    Niemand hat geantwortet
  • FrankMF

    Debian Bookworm 12 - Restic

    Linux
    1
    0 Stimmen
    1 Beiträge
    101 Aufrufe
    Niemand hat geantwortet
  • FrankMF

    Debian 11.6 released

    Linux
    1
    0 Stimmen
    1 Beiträge
    66 Aufrufe
    Niemand hat geantwortet
  • FrankMF

    OpenWrt - Docker & DNS & Zugriff auf WAN

    Linux
    4
    0 Stimmen
    4 Beiträge
    304 Aufrufe
    FrankMF

    Es geht weiter, der erste ☕ und ich bin mit der Lösung nicht so richtig zufrieden, also suchen.

    Als erstes habe ich heute Morgen ein frisches SD-Karten Image mit Docker von FreindlyWrt genommen und auf meinem Test NanoPi R5S installiert. Dort mal die Config angeschaut um zu sehen, ob der Eintrag standardmäßig gesetzt ist. Doch dort taucht dann einmal eine ganz ander Config auf 🙄

    # The following settings require a restart of docker to take full effect, A reload will only have partial or no effect: # bip # blocked_interfaces # extra_iptables_args # device config globals 'globals' # option alt_config_file '/etc/docker/daemon.json' option enable '1' option data_root '/mnt/nvme_part2/docker' option log_level 'warn' option iptables '1' #list hosts 'unix:///var/run/docker.sock' # option bip '172.18.0.1/24' # option fixed_cidr '172.17.0.0/16' # option fixed_cidr_v6 'fc00:1::/80' # option ipv6 '1' # option ip '::ffff:0.0.0.0' # list dns '172.17.0.1' # list registry_mirrors 'https://<my-docker-mirror-host>' list registry_mirrors 'https://hub.docker.com' option remote_endpoint '0' # option bridge 'br-container' # Docker ignores fw3 rules and by default all external source IPs are allowed to connect to the Docker host. # See https://docs.docker.com/network/iptables/ for more details. # firewall config changes are only additive i.e firewall will need to be restarted first to clear old changes, # then docker restarted to load in new changes. config firewall 'firewall' option device 'docker0' list blocked_interfaces 'wan' option extra_iptables_args '--match conntrack ! --ctstate RELATED,ESTABLISHED' # allow outbound connections

    Das interessiert uns jetzt

    list blocked_interfaces 'wan' option extra_iptables_args '--match conntrack ! --ctstate RELATED,ESTABLISHED' # allow outbound connections

    Wenn ich das jetzt alles richtig verstehe, muss WAN geblockt sein, weil sonst der Docker Host offen im Netz steht (Hierbei bin ich mir nicht 100% sicher)
    Die zweite Zeile ist eine iptables Regel, die es den Containern dann ermöglicht das Internet zu erreichen.

    Das habe ich jetzt so eingestellt und getestet.

    root@b9ffae24913a:/# ping 1.1.1.1 PING 1.1.1.1 (1.1.1.1): 56 data bytes 64 bytes from 1.1.1.1: icmp_seq=0 ttl=57 time=17.151 ms 64 bytes from 1.1.1.1: icmp_seq=1 ttl=57 time=16.553 ms 64 bytes from 1.1.1.1: icmp_seq=2 ttl=57 time=20.630 ms 64 bytes from 1.1.1.1: icmp_seq=3 ttl=57 time=13.948 ms ^C--- 1.1.1.1 ping statistics --- 4 packets transmitted, 4 packets received, 0% packet loss round-trip min/avg/max/stddev = 13.948/17.071/20.630/2.382 ms root@b9ffae24913a:/# ping google.de PING google.de (142.250.185.195): 56 data bytes 64 bytes from 142.250.185.195: icmp_seq=0 ttl=58 time=23.797 ms 64 bytes from 142.250.185.195: icmp_seq=1 ttl=58 time=16.953 ms 64 bytes from 142.250.185.195: icmp_seq=2 ttl=58 time=19.441 ms ^C--- google.de ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 16.953/20.064/23.797/2.829 ms

    Ich hoffe mal das ich diese Thema jetzt zu den Akten legen kann.

    Wenn was falsch ist, bitte hier kommentieren, damit ich das ändern kann.

  • FrankMF

    Debian 11.3 released

    Linux
    1
    0 Stimmen
    1 Beiträge
    82 Aufrufe
    Niemand hat geantwortet
  • FrankMF

    OpenWRT - Zonen

    Verschoben OpenWRT & Ubiquiti ER-X
    2
    0 Stimmen
    2 Beiträge
    366 Aufrufe
    FrankMF

    Es ist was heller geworden 🙂

    7b86e97c-31a5-44b6-809f-25d9d1c2ee4a-image.png

    Die besagte Forward Regel

    Zonen.png

    Diese Forward Regel zieht erst dann, wenn es mehrere Interfaces in einer Zone gibt. Aus der Doku

    INPUT rules for a zone describe what happens to traffic trying to reach the router itself through an interface in that zone. OUTPUT rules for a zone describe what happens to traffic originating from the router itself going through an interface in that zone. FORWARD rules for a zone describe what happens to traffic passing between different interfaces belonging in the same zone.

    Das heisst nun, das ein Forwarding zwischen zwei Zonen immer eine spezifische Regel unter Traffic Rules benötigt.

    Forwarding between zones always requires a specific rule.

    Somit ist ein Forwarding zwischen zwei Zonen in den Standard Einstellungen nicht erlaubt. Das kann ich hier auch so bestätigen. Das ist ja auch das was ich mit meiner "DMZ"-Zone erreichen möchte. Kein Zugriff auf LAN.

    Unter Zone ⇒ Forwardings kann man jetzt sehen, das das Forwarding von LAN in Richtung WAN und DMZ erlaubt ist. WAN ist logisch, sonst komme ich ja nicht ins Internet. DMZ habe ich eingestellt, damit ich auch Teilnehmer im DMZ Netz erreichen kann, wenn ich da mal ran muss.

    8a548c29-8bc5-4074-8099-66460bcea9a8-image.png

    Stelle ich das jetzt so ein.

    dca8b393-f613-4cab-a377-ffbc2bb8ddf5-image.png

    Dann kann ich von der DMZ Zone aus das LAN erreichen. Aha, so langsam verstehe ich 😉

    Quelle: https://forum.openwrt.org/t/firewall-zones-and-settings/84369

  • FrankMF

    Node.js installieren

    Linux
    1
    0 Stimmen
    1 Beiträge
    289 Aufrufe
    Niemand hat geantwortet