欢迎光临
我们一直在努力

bitwarden_rs 搭建自托管的密码服务器

环境:ubuntu20.04LTS+Docker version 20.10.12

安装并部署bitwarden_rs

bitwarden_rs使用Docker进行安装,Docker安装过程不在此处赘述。

创建bitwarden_rs的运行目录

cd ~ && mkdir bitwarden && cd bitwarden

准备配置文件config.env

其他配置参数去bitwarden_rs wiki查看

cat >> config.env <<EOF #域名 DOMAIN=https://www.domain.com #自己的域名 #是否开启WebSocket WEBSOCKET_ENABLED=true #是否开启注册,自用的话自己搭建好注册后改成false SIGNUPS_ALLOWED=true #是否开启禁用邀请,自用就禁用 INVITATIONS_ALLOWED=true #数据库在容器内的路径可以不设置,默认位于 /data/db.sqlite3 #DATABASE_URL=/data/bitwarden.db #设置服务器使用几个线程。10 是默认值 ROCKET_WORKERS=10 #设置是否开启 Web 客户端 WEB_VAULT_ENABLED=true #后台登陆密码,建议openssl rand -base64 48 生成ADMIN_TOKEN确保安全, #当前是启用,如需不启用在ADMIN_TOKEN前面加上的 # ADMIN_TOKEN= openssl rand -base64 48生成的代码 #是否禁用身份验证,将该变量设置为 true。会禁用身份验证的内置功能,但不会禁用管理面板。所有人都可以访问管理面板 DISABLE_ADMIN_TOKEN=false # API 请求大小限制,默认值10M #ROCKET_LIMITS={json=10485760} #是否开启页面密码提示显示,默认false SHOW_PASSWORD_HINT=true #SMTP配置 _ENABLE_SMTP=true SMTP_HOST=smtp.163.com SMTP_SSL=true SMTP_EXPLICIT_TLS=true SMTP_PORT=465 SMTP_FROM_Address=*163.com #发送邮件地址 SMTP_FROM_NME=www.bitwarden.space #发送名 SMTP_USERNAME=bitwardenspace #用户名 SMTP_PASSWORD=********* #smtp密码 SMTP_TIMEOUT=30 _ENABLE_EMAIL_2FA=false EMAIL_TOKEN_SIZE=6 EMAIL_EXPIRATION_TIME=600 EMAIL_ATTEMPTS_LIMIT=3 EOF

服务描述文件

cat >> docker-compose.yml <<EOF version: '3.9' services: bitwarden: image: bitwardenrs/server:latest # Docker Hub 的bitwardenrs镜像 container_name: bitwarden restart: always volumes: - ./data:/data #将容器内的 /data 目录挂载到宿主机的当前目录下的 data 目录 env_file: - config.env ports: #端口映射 - "127.0.0.1:3001:80" #http服务 - "127.0.0.1:3012:3012" #websockets服务 EOF

启动bitwarden_rs服务

docker-compose up -d

运行后会自动拉去镜像和设置bitwarden_rs,耗时情况根据网络等因素拉取镜像快慢。

配置Let’s Encrypt 生成证书并自动更新

sudo apt update

安装Nginx:ubuntu安装nginx后是自动启动的

sudo apt install nginx

查看nginx状态

sudo systemctl status nginx

安装certbot及certbox的nginx插件

sudo apt install certbot & certbot-nginx

Let’s Encrypt的两种认证方式

在Let‘s Encrypt签发证书时,它需要确定你要申请证书的域名的确是你拥有的,此时Let’s Encrypt将向certbot客户端发起质询(challenge)以验证你对域名的拥有权,有两种方式:

  • 通过运行certbot的服务器与Let’s Encrypt服务器通信,如果你配置域名指向该certbot所在的服务器,Let’s Encrypt通过直接访问该域名的方式来验证(URL格式为:http://domain/.well-known/acme-challenge/<file>)。这种方式通常用于单一域名的证书,需要certbot运行与域名所指向的服务器上。
  • 通过DNS,如果你拥有该域名,那么Let’s Encrypt会让你在该域名下设置一个TXT记录,记录值设置成Let’s Encrypt所要求的(在运行certbot时会提示),做到这一点则可以证明你的确拥有对该域名的拥有权。这种方式通常用于通配符证书,certbot无需运行在域名指向的服务器上。

创建证书

仅生成证书,而不自动更新nginx.conf配置文件

sudo certbot --nginx certonly 

邮件地址

服务条款

是否共享邮件地址

域名

certbot在生成证书后自动更新nginx.conf文件

sudo certbot --nginx 

域名

nginx配置

/etc/nginx/sites-available/default

server {
if ($host = www.domain.com ) {
return 301 https://$host$request_uri;
} # managed by Certbot
listen 80 ;
listen [::]:80 ;
server_name /www.domain.com ;
return 404; # managed by Certbot
}

server {
listen 443 ssl http2;
server_name /www.domain.com ;
ssl_certificate /etc/letsencrypt/live/www.bitwarden.space/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/www.bitwarden.space/privkey.pem; # managed by Certbot
include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
client_max_body_size 128M;

location / {
proxy_pass http://127.0.0.1:3001;
proxy_http_version 1.1;
proxy_cache_bypass $http_upgrade;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection “upgrade”;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-Host $host;
proxy_set_header X-Forwarded-Port $server_port;
}

location /notifications/hub {
proxy_pass http://127.0.0.1:3012;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection “upgrade”;
}

location /notifications/hub/negotiate {
proxy_pass http://127.0.0.1:3001;
}

location /admin {
# See: https://docs.nginx.com/nginx/admin-guide/security-controls/configuring-http-basic-authentication/
#auth_basic “Private”;
#auth_basic_user_file /path/to/htpasswd_file;

proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_pass http://127.0.0.1:3001;
}
}

重启nginx

sudo systemctl status nginx 

Enjoy it

赞(0)
版权声明:本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
文章名称:bitwarden_rs 搭建自托管的密码服务器
文章链接:https://www.jmwz.net/5163.html
本站资源仅供个人学习交流,请于下载后24小时内删除,不允许用于商业用途,否则法律问题自行承担。
分享到: 更多 (0)