Aller au contenu

[TUTO] Installer Bitwarden


Balooforever

Messages recommandés

il y a 7 minutes, Dimebag Darrell a dit :

Et par sécurité, je suppose qu'il est bon d'avoir le 2FA activé... 🙂 comme ça on a la maitrise de tout

 

merci pour l'info 

Je vais essayer ça 🙂

 

Effectivement c'est mieux avec le 2FA, c'est quand même le truc qui héberge tous tes autres accès donc autant prendre le maximum de sécurité. 🙂

Lien vers le commentaire
Partager sur d’autres sites

Dernières questions

Au cas ou le serveur n'est pas accessible, je suppose que le vault est synchronisé avec les clients (par ex : l'application sur iOS )?

 

D'un point de vue pratique (installation) : 

peut-on générer le certificat après l'installation, via let's encrypt de synology ?

Citation

Do you have a SSL certificate to use? (y/n): y ?

 

Modifié par Dimebag Darrell
Lien vers le commentaire
Partager sur d’autres sites

Je ne l'ai pas encore installé mais je suppose que lorsque tu renouvelles ton certificat sur le Synology et que ton reverse proxy est configuré, il n'y a rien à modifier côté Bitwarden.
Si le serveur n'est pas accessible, les données déjà synchronisées sur le client lourd ou l'application smartphone sont toujours là. Par contre l'extension de navigateur je ne pense pas. 🙂

Lien vers le commentaire
Partager sur d’autres sites

Il y a 2 heures, Dimebag Darrell a dit :

Dernières questions

Au cas ou le serveur n'est pas accessible, je suppose que le vault est synchronisé avec les clients (par ex : l'application sur iOS )?

 

D'un point de vue pratique (installation) : 

peut-on générer le certificat après l'installation, via let's encrypt de synology ?

 

Quand tu ouvre l'application iOS, ... ou sur pc ( extension navigateur ) , la syncro se fait automatiquement entre l'appli et ton NAS de manière transparente. Si le NAS n'est pas joignable pour X raison, l'application fonctionnera normalement pour toi, mais il n'y aura pas de synchro jusqu’à la remise en ligne du NAS.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 23 heures, Spi a dit :

Hello,
Après une petite upgrade de RAM de mon 415+ j'ai voulu me lancer dans ce tuto.
Une fois arrivé à la validation des id, je reçois l'erreur suivante:
"Unable to validate installation id. Problem contacting Bitwarden server."

Les ports sont ouverts en sortie, par contre la configuration "bridge" de docker ne me semble pas correcte.
Elle utilise un subnet en 172.17.0.0/16 qui n'existe pas, de plus le NAS est en 172.18.0.0/16.
Il existe par contre un réseau en 172.17.1.0/24 qui n'est pas utilisé.

En cherchant un peu sur Google, j'ai lu qu'il fallait installer Open vSwitch mais je ne vois pas le rapport.
De plus, j'ai un message d'avertissement concernant mon aggrégation de lien et je ne sais pas ce qu'il faut choisir...
image.thumb.png.ebf5e96b0d4da975e31d57b8ba2d4210.png

Quelqu'un aurait il une idée?
Merci !

 

 

Bonjour,

Par hasard, côté pare-feu du syno tu autorises bien l'ip en 172.* ?

J'ai déjà eu le blocage 🙂

Lien vers le commentaire
Partager sur d’autres sites

Il y a 1 heure, Balooforever a dit :

Bonjour,

Par hasard, côté pare-feu du syno tu autorises bien l'ip en 172.* ?

J'ai déjà eu le blocage 🙂

Hello Balooforever,

Le Syno accepte pas mal de chose depuis 172.16.1.0/24 mais je ne sais pas de quel protocole on parle? 🙂
Il faudrait savoir ce que le script essaie de contacter, j'imagine une ressource sur le 80 ou 443 chez eux?

Lien vers le commentaire
Partager sur d’autres sites

Le 07/02/2018 à 20:20, Balooforever a dit :

!) Do you want to use Let's Encrypt to generate a free SSL certificate? (y/n): n

(!) Enter your installation id (get at https://bitwarden.com/host): xxxxxxxxxxxxxx

(!) Enter your installation key: xxxxxxxxxxxxx

(!) Do you have a SSL certificate to use? (y/n): y

!!!!!!!!!! NOTE !!!!!!!!!!
Make sure 'certificate.crt' and 'private.key' are provided in the
appropriate directory before running 'start' (see docs for info).

(!) Is this a trusted SSL certificate (requires ca.crt, see docs)? (y/n): y

Installation complete

If you need to make additional configuration changes, you can modify
the settings in `./bwdata/config.yml` and then run:
`./bitwarden.sh rebuild` or `./bitwarden.sh update`

Next steps, run:
`./bitwarden.sh start` and then `./bitwarden.sh updatedb`

 

Rendez-vous dans FileStation mais ne fermez pas votre fenêtre SSH.

Nous allons renommer et copier les fichiers du certificat SSL dans le bon dossier :

Renommer le fichier "privkey.pem" avec comme nom "private.key" puis le copier dans /volumeX/docker/bitwarden/bwdata/ssl/votredomaine/ ce qui donnera comme résultat : /volumeX/docker/bitwarden/bwdata/ssl/votredomaine/private.key
Renommer le fichier "cert.pem" avec comme nom "certificate.crt" puis le copier dans /volumeX/docker/bitwarden/bwdata/ssl/votredomaine/ ce qui donnera comme résultat : /volumeX/docker/bitwarden/bwdata/ssl/votredomaine/certificate.crt
Renommer le fichier "chain.pem" avec comme nom "ca.crt" puis le copier dans /volumeX/docker/bitwarden/bwdata/ssl/votredomaine/ ce qui donnera comme résultat : /volumeX/docker/bitwarden/bwdata/ssl/votredomaine/ca.crt

 

Mes certificats ne sont pas créé et je compte les créer avec let's encrypt (nativement dans synology) comment dois-je faire ?

Le but étant d'assurer le renouvellement des certificats via let's encrypt (sur le syno)

Lien vers le commentaire
Partager sur d’autres sites

@.Shad. @Balooforever

Bonsoir,

Est-ce que vous auriez des pistes pour moi?
Parce-que là je sèche. 🙂


Voici un screenshot des différentes commandes, je ne vois pas d'erreur dans la marche à suivre.
- Testé depuis le début -> Fail
- Testé avec les commandes renseignées sur le site de Bitwarden
- Testé avec un nouvel id -> Fail
- Testé avec un nouvel id + firewall du Syno off -> fail
- Testé avec le reverse proxy comme le tuto xpenology propose (j'aurais fait pareil aussi):
Source: Protocol: "HTTPS", Hostname: "bitwarden.mydomain.com", Port: "443", HSTS and HTTP/2 "Unchecked"
Destination: Protocol: "HTTP", Hostname: "localhost", Port: "8123"

Associate Reverse Proxy with Certificate
Go to "Control Panel" -> "Security" -> "Certificate" -> "Configure"
Services: "bitwarden.domain.com"  Certificate: "bitwarden.mydomain.com" -> "OK"
-> Il utilise le certificat du Syno dans lequel le SAN est bien renseigné.



Certains parlent d'un problème dans la version Docker 18.09.0-0505 sur Syno, qui ferait que Docker Compose n'interprète pas correctement les arguments du scripts.
Pour info, je suis en 18.09.0-0506, d'après le package center c'est résolu: "Fix an issue regarding the environement variable of Docker Compose".

J'ai potassé les infos depuis ces liens:
https://community.bitwarden.com/t/solved-installation-id-validation-fails-from-behind-proxy/2480/3
https://xpenology.com/forum/topic/12455-bitwarden-self-hosted-password-manager-on-docker/
https://github.com/bitwarden/server/issues/172
https://community.synology.com/enu/forum/1/post/12814

 

 

2020_01_20_22h16_Remote_Desktop_Manager_nas01_000371.png

2020-01-20-22h57-nas01 - Synology DiskStation-000372.png

Modifié par Spi
Ajout d'infos
Lien vers le commentaire
Partager sur d’autres sites

Hello @Dimebag Darrell

Il y a 6 heures, Dimebag Darrell a dit :

Mes certificats ne sont pas créé et je compte les créer avec let's encrypt (nativement dans synology) comment dois-je faire ?

Le but étant d'assurer le renouvellement des certificats via let's encrypt (sur le syno)

Je vais supposer que tu as déjà un certificat Let's Encrypt fonctionnel, avec le sous domaine pour ton instance Bitwarden.
A partir de ça tu peux aller dans Control Panel -> Security -> Certificate -> Add -> Export Certificate.
Tu vas récupérer l'archive avec les trois fichiers dont ils parlent dans le tuto.

PS: Tu as suivi le tuto comme moi et tout s'est bien passé? Tu peux me préciser ta version de Docker et me copier les commandes que tu as utilisés stp?

2020-01-20-23h07-nas01 - Synology DiskStation-000373.png

Lien vers le commentaire
Partager sur d’autres sites

Il y a 8 heures, Spi a dit :

Certains parlent d'un problème dans la version Docker 18.09.0-0505 sur Syno, qui ferait que Docker Compose n'interprète pas correctement les arguments du scripts.
Pour info, je suis en 18.09.0-0506, d'après le package center c'est résolu: "Fix an issue regarding the environement variable of Docker Compose

 

Je te confirme que cela est corrigé sous 18.09.0-0506.

As tu bien demandé ton id ici ? https://bitwarden.com/host/

Sinon je pense qu'il ne te reste que a contacter bitwarden ... https://bitwarden.com/contact/

Lien vers le commentaire
Partager sur d’autres sites

Bonjour à tout le monde 

l'installation s'est super bien passé, néanmoins je bloque sur la verification email

Impossible d'envoyer le mail de vérification sur gmail... peut-être une idée comment régler le souci ?

Lien vers le commentaire
Partager sur d’autres sites

@Spi : Je ne vois pas pourquoi tu obtiens cette erreur, à part éventuellement un problème chez Bitwarden.
Il y a par contre moyen de contourner ça, tu peux installer Bitwarden sur une autre machine Linux sur ton réseau, si tu as ça.
Ensuite, il te suffit de copier/coller le dossier bwdata et le script sur ton NAS.
Puis, tu lances le script avec l'argument restart

En réalité le script d'installation sert juste à compléter les fichiers de configuration :

  • bwdata/config.yml
  • bwdata/env/global.override.env

Du coup peu importe la machine qui exécute le script. Si tu as toujours la même erreur alors effectivement il serait préférable de contacter Bitwarden directement.

il y a 43 minutes, Dimebag Darrell a dit :

Bonjour à tout le monde 

l'installation s'est super bien passé, néanmoins je bloque sur la verification email

Impossible d'envoyer le mail de vérification sur gmail... peut-être une idée comment régler le souci ?

Le compte de l'expéditeur est-il un compte lié à ton nom de domaine ou est-ce un compte tiers (Gmail, Hotmail, etc...) ?
Depuis quelques versions il m'est impossible d'utiliser mon mail OVH, il m'a fallu utiliser un compte Gmail pour l'envoi.
L'envoi de mail est nécessaire pour 2 choses :

  • La confirmation de l'adresse mail
  • L'accès à la partie Admin

Peut-être aussi la récupération de compte en cas de problème avec l'authentification deux facteurs, ne l'ayant pas activé je ne peux pas l'assurer.

Il existe une autre solution, mais qui n'est pas des plus sécurisées, qui consiste à ajouter la ligne suivante dans le fichier bwdata/env/global.override.env :

globalSettings__mail__smtp__trustServer=true

Ça bypass toutes les vérifications, à utiliser à bon escient donc...

Modifié par .Shad.
Lien vers le commentaire
Partager sur d’autres sites

Dans mon cas, c'est un compte gmail, 

par contre quand je vais vérifier dans ./bitwarden.sh /update, il m'écrase le fichier global.override.env (il ne garde pas "globalSettings__mail__smtp__trustServer=true")

Citation

globalSettings__mail__replyToEmail=monmail@gmail.com
globalSettings__mail__smtp__host=smtp.gmail.com
globalSettings__mail__smtp__port=587
globalSettings__mail__smtp__ssl=false
globalSettings__mail__smtp__trustServer=true
globalSettings__mail__smtp__username=monmail@gmail.com
globalSettings__mail__smtp__password=password
globalSettings__disableUserRegistration=false

voila ma config !


par contre, lors de la création du user, j'ai eu aussi ce message d'erreur  "An unexpected error has occurred"

et mon compte google a réagi à une tentative de connection d'un service "inconnu"

Modifié par Dimebag Darrell
Lien vers le commentaire
Partager sur d’autres sites

il y a 5 minutes, Dimebag Darrell a dit :

Dans mon cas, c'est un compte gmail, 

par contre quand je lance la commande ./bitwarden.sh /update, il m'écrase le fichier global.override.env (il ne garde pas "globalSettings__mail__smtp__trustServer=true")

voila ma config !


par contre, lors de la création du user, j'ai eu aussi ce message d'erreur  "An unexpected error has occurred"

et mon compte google a réagi à une tentative de connection d'un service "inconnu"

 

il y a 1 minute, .Shad. a dit :

Ce n'est pas normal.
D'ailleurs, tu as bien renseigné tous les paramètres SMTP nécessaires dans ce fichier ?

dans 

  • bwdata/env/global.override.env ?

oui comme tu peux le voir

ensuite, simple question quelle commande lances tu afin qu'il exécute les modifications appliquées ?

Lien vers le commentaire
Partager sur d’autres sites

Il y a 3 heures, Dimebag Darrell a dit :

par contre, lors de la création du user, j'ai eu aussi ce message d'erreur  "An unexpected error has occurred"

et mon compte google a réagi à une tentative de connection d'un service "inconnu"

Tu as bien autorisé l'accès aux applications moins sécurisées dans ton compte Google ?

Comme dit plus haut, j'utilise rebuild pour recharger les modifications apportées au(x) fichier(s) de configuration.

En utilisant Gmail, tu ne devrais pas avoir besoin d'utiliser la variable trustServer

Modifié par .Shad.
Lien vers le commentaire
Partager sur d’autres sites

Personnellement j'ai créé un compte Gmail qui est dédié à l'administration du NAS quand je ne peux pas utiliser mon adresse mail OVH.
Donc les applications qui y accèdent se comptent sur le bout des doigts, et j'ai relativement confiance dans chacune d'elle.

Mais si tu passes par Gmail je ne pense pas que tu as aies le choix.

Modifié par .Shad.
Lien vers le commentaire
Partager sur d’autres sites

Hello @.Shad. et merci pour ta réponse.

Il y a 1 heure, .Shad. a dit :

tu peux installer Bitwarden sur une autre machine Linux sur ton réseau, si tu as ça.
Ensuite, il te suffit de copier/coller le dossier bwdata et le script sur ton NAS.
Puis, tu lances le script avec l'argument restart

En réalité le script d'installation sert juste à compléter les fichiers de configuration :

  • bwdata/config.yml
  • bwdata/env/global.override.env

Du coup peu importe la machine qui exécute le script. Si tu as toujours la même erreur alors effectivement il serait préférable de contacter Bitwarden directement.

Je vais créer une machine virtuelle en Debian pour tester l'installation et si ça coince encore, je les contacterais directement.

 

Il y a 1 heure, .Shad. a dit :

Le compte de l'expéditeur est-il un compte lié à ton nom de domaine ou est-ce un compte tiers (Gmail, Hotmail, etc...) ?
Depuis quelques versions il m'est impossible d'utiliser mon mail OVH, il m'a fallu utiliser un compte Gmail pour l'envoi.
L'envoi de mail est nécessaire pour 2 choses :

  • La confirmation de l'adresse mail
  • L'accès à la partie Admin

Ca n'a peut-être rien à voir, mais quand je fais mon request ID, je lui indique une adresse qui correspond à moi@mondomaine.com (OVH).
Peut-être qu'essayer avec la postmaster ou une Gmail fonctionnerais?

Cette même adresse mail est d'ailleurs utilisée pour mon compte Bitwarden hébergé chez eux, il y aurait peut-être un conflit du coup?

Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, .Shad. a dit :

Personnellement j'ai créé un compte Gmail qui est dédié à l'administration du NAS quand je ne peux pas utiliser mon adresse mail OVH.
Donc les applications qui y accèdent se comptent sur le bout des doigts, et j'ai relativement confiance dans chacune d'elle.

Mais si tu passes par Gmail je ne pense que tu as aies le choix.

Voila, j'ai créé une adresse gmail spécifique (by the way, c'est une excellente idée lol)

et ça fonctionne parfaitement, pour l'administration de mes systèmes c'est mieux 

Modifié par Dimebag Darrell
Lien vers le commentaire
Partager sur d’autres sites

Il y a 3 heures, Dimebag Darrell a dit :

ensuite, simple question quelle commande lances tu afin qu'il exécute les modifications appliquées ?

Je reviens sur cette question et corrige, c'est rebuild que j'utilise et non pas restart, update fonctionne également.

il y a 10 minutes, Dimebag Darrell a dit :

Par contre, dans le lien qu'il envoie, il indique le port du Synology, sachant que j'ai mis un reverse proxy dessus, l'adresse communiquée n'est pas correcte !

Une idée pour corriger ce souci ?

Regarde ce que tu as dans ton fichier bwadata/config.yml, tu as une ligne qui reprend le nom de domaine complet :

# Full URL for accessing the installation from a browser. (Required)

Je ne suis pas sûr à 100%, mais je pense qu'il s'agit du nom de domaine que Bitwarden utilise pour les liens générés.

Lien vers le commentaire
Partager sur d’autres sites

il y a 13 minutes, .Shad. a dit :

Je reviens sur cette question et corrige, c'est rebuild que j'utilise et non pas restart, update fonctionne également.

Regarde ce que tu as dans ton fichier bwadata/config.yml, tu as une ligne qui reprend le nom de domaine complet :


# Full URL for accessing the installation from a browser. (Required)

Je ne suis pas sûr à 100%, mais je pense qu'il s'agit du nom de domaine que Bitwarden utilise pour les liens générés.

Concernant le port, je pense peut-être avoir trouvé,

vu que j'oblige la redirection vers https dans DSM, il prend le numéro de port en local, sans tenir compte du reverse proxy

J'ai remarqué dans nginx, en éditant le default.conf (port http par défaut du DSM : 5000).
A creuser

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.