Docker-Bitwarden(密码服务器)

这年头各类帐号太多了，大部分人都是一码通，很容易被撞库，不安全
使用 [Bitwarden](https://bitwarden.com) 优雅的管理你的密码，有了 `Bitwarden` 你就可以尝试乱码般的密码了

**相关链接：**
- Bitwarden：https://bitwarden.com
  - GitHub：https://github.com/bitwarden/server
- Vaultwarden：
  - GitHub：https://github.com/dani-garcia/vaultwarden
  - Docker：https://hub.docker.com/r/vaultwarden/server
  - WiKi：https://github.com/dani-garcia/vaultwarden/wiki
    - 保护 ADMIN_TOKEN：https://github.com/dani-garcia/vaultwarden/wiki/Enabling-admin-page#secure-the-admin_token
    - 备份 Vaultwarden：https://github.com/dani-garcia/vaultwarden/wiki/Backing-up-your-vault
    - 反向代理：https://github.com/dani-garcia/vaultwarden/wiki/Proxy-examples

Vaultwarden 是用 Rust 编写的兼容 Bitwarden API 的非官方服务器
它与官方 Bitwarden 客户端兼容，非常适合不希望运行官方资源密集型服务的自托管部署

## 官方 [Vaultwarden](https://hub.docker.com/r/vaultwarden/server) 部署
### ⭐[docker-compose](https://github.com/dani-garcia/vaultwarden/wiki/Using-Docker-Compose)
相较于 docker run 的迁移和更新都比较方便
```bash
mkdir data  # 创建所需文件夹
nano docker-compose.yml  # 创建编辑 docker-compose.yml
# nano .env  # 创建并编辑配置文件(也可在yml文件中使用环境变量配置)
docker-compose up -d  #拉取并运行

docker exec -it vaultwarden /vaultwarden hash  # 生成 ADMIN_TOKEN

docker-compose pull && docker-compose up -d  # 更新并运行容器
```
`docker-compose.yml`
```yaml
services:
  vaultwarden:
    image: vaultwarden/server:latest  # 使用镜像
    container_name: vaultwarden  # 自定义容器名称
    restart: always  # 自动重启
    ports:
      - 99:80 # 开放端口
    volumes:
      - ./data:/data  # 数据目录
    # env_file: .env  # 挂载 config.env 配置文件(也可使用environment配置)
    environment:  # 环境变量(也可使用env_file配置)
      - DOMAIN=https://vaultwarden.example.com  # 服务器域名(改成自己的)
      - SIGNUPS_ALLOWED=false  # 是否允许新用户注册
      - INVITATIONS_ALLOWED=true  # 是否允许组织管理员邀请用户,即使注册被禁用
      - ADMIN_TOKEN=123456  # 管理界面的令牌(使用 /vaultwarden hash 生成)
      # - DATABASE_URL=data/db.sqlite3  # SQLite数据库文件路径
```

### [Docker run](https://github.com/dani-garcia/vaultwarden/wiki/Starting-a-Container)
```bash
# 快速部署
docker run -d --name vaultwarden -v ${PWD}:/data/ -p 99:80 vaultwarden/server:latest

# 指定配置文件部署
docker run -d --name vaultwarden -v ${PWD}/data/:/data/ -p 99:80 --env-file=${PWD}/config.env vaultwarden/server:latest
  # --env-file=：从文件加载变量，也可用 `-e SIGNUPS_ALLOWED=true` 这种形式依次罗列出来

docker exec -it vaultwarden /vaultwarden hash  # 生成 ADMIN_TOKEN

# 更新 Vaultwarden
docker pull vaultwarden/server:latest  # 拉取最新镜像
docker stop vaultwarden && docker rm vaultwarden  # 停止并删除当前容器
# 然后重新部署即可
```

### config.env
[官方配置参考](https://github.com/dani-garcia/vaultwarden/blob/main/.env.template)
注意，该配置仅第一次部署时有效，部署完后就不生效了(包括迁移更新)
1. 可在 /admin 的管理页面更改
2. 直接修改 /data/config.json 配置文件

```bash
## 如果在管理界面中更改了这些设置,它们将被覆盖
## 这些覆盖设置存储在 DATA_FOLDER/config.json 中

####################
### 数据文件夹 ###
####################
# DATA_FOLDER=data  # 主数据文件夹,存储所有数据

## 单独的文件夹设置,将覆盖 %DATA_FOLDER% 的设置
# RSA_KEY_FILENAME=data/rsa_key  # RSA密钥文件路径
# ICON_CACHE_FOLDER=data/icon_cache  # 图标缓存文件夹路径
# ATTACHMENTS_FOLDER=data/attachments  # 附件存储文件夹路径
# SENDS_FOLDER=data/sends  # 发送文件存储文件夹路径
# TMP_FOLDER=data/tmp  # 临时文件存储文件夹路径

# TEMPLATES_FOLDER=data/templates  # 模板数据文件夹路径,默认使用内置模板
# RELOAD_TEMPLATES=false  # 是否为每个请求自动重新加载模板,仅用于开发

# WEB_VAULT_FOLDER=web-vault/  # Web VAULT 文件夹路径
WEB_VAULT_ENABLED=true  # 是否开启 Web VAULT 客户端

#########################
### 数据库设置 ###
#########################
DATABASE_URL=data/db.sqlite3  # SQLite数据库文件路径
# DATABASE_URL=mysql://user:password@host[:port]/database_name  # MySQL数据库连接URL
# DATABASE_URL=postgresql://user:password@host[:port]/database_name  # PostgreSQL数据库连接URL

# ENABLE_DB_WAL=true  # 是否启用数据库的WAL（Write-Ahead Logging）
# DB_CONNECTION_RETRIES=15  # 数据库连接失败重试次数
# DATABASE_TIMEOUT=30  # 数据库连接超时时间（秒）
# DATABASE_MAX_CONNS=10  # 数据库最大连接数
# DATABASE_CONN_INIT=""  # 数据库连接初始化时执行的SQL语句

#################
### WebSocket ###
#################
# WEBSOCKET_ENABLED=false  # 是否启用WebSocket通知
# WEBSOCKET_ADDRESS=0.0.0.0  # WebSocket服务器绑定的地址
# WEBSOCKET_PORT=3012  # WebSocket服务器监听的端口

##########################
### 推送通知 ###
##########################
# PUSH_ENABLED=false  # 是否启用推送通知
# PUSH_INSTALLATION_ID=CHANGEME  # 推送通知的安装ID
# PUSH_INSTALLATION_KEY=CHANGEME  # 推送通知的安装密钥

######################
### 计划任务 ###
######################
# JOB_POLL_INTERVAL_MS=30000  # 作业调度器检查作业的频率（毫秒）
# SEND_PURGE_SCHEDULE="0 5 * * * *"  # 检查过去删除日期的Sends作业的计划
# TRASH_PURGE_SCHEDULE="0 5 0 * * *"  # 检查永久删除已移动至垃圾箱的项目作业的计划
# INCOMPLETE_2FA_SCHEDULE="30 * * * * *"  # 检查不完整的2FA登录作业的计划
# EMERGENCY_NOTIFICATION_REMINDER_SCHEDULE="0 3 * * * *"  # 发送过期提醒给紧急访问授权人的作业计划
# EMERGENCY_REQUEST_TIMEOUT_SCHEDULE="0 7 * * * *"  # 授予已满足所需等待时间的紧急访问请求作业的计划

# EVENT_CLEANUP_SCHEDULE="0 10 0 * * *"  # 从事件表中清除旧事件的作业计划
# EVENTS_DAYS_RETAIN=  # 数据库中存储事件的天数
# AUTH_REQUEST_PURGE_SCHEDULE="30 * * * * *"  # 从身份验证请求中清除旧身份验证请求作业的计划

##################
### 常规设置 ###
##################
# 服务器域名
DOMAIN=https://nas.918178.xyz:999  # 服务器域名(改成自己的)
# DOMAIN=http://localhost  # 服务器域名,开发环境使用
# DOMAIN=https://vw.domain.tld  # 服务器域名,公共服务器使用
# DOMAIN=https://vw.domain.tld:8443  # 服务器域名（带端口号）,公共服务器使用
# DOMAIN=https://domain.tld/vw  # 服务器域名（带路径）,公共服务器使用

# SENDS_ALLOWED=true  # 是否允许用户创建Bitwarden Sends
# HIBP_API_KEY=  # HaveIBeenPwned API密钥
# ORG_ATTACHMENT_LIMIT=  # 每个组织的附件存储限制（KB）
# USER_ATTACHMENT_LIMIT=  # 每个用户的附件存储限制（KB）
# USER_SEND_LIMIT=  # 每个用户的发送存储限制（KB）
# TRASH_AUTO_DELETE_DAYS=  # 等待自动删除已删除项目之前的天数
# INCOMPLETE_2FA_TIME_LIMIT=3  # 等待2FA启用的登录被认为是不完整的分钟数
# DISABLE_ICON_DOWNLOAD=false  # 是否禁用图标下载
SIGNUPS_ALLOWED=true  # 是否允许新用户注册
# SIGNUPS_VERIFY=false  # 新用户是否需要在注册时验证他们的电子邮件地址
# SIGNUPS_VERIFY_RESEND_LIMIT=6  # 重新发送电子邮件验证的次数
# SIGNUPS_DOMAINS_WHITELIST=example.com,example.net,example.org  # 允许注册的域名列表
# ORG_EVENTS_ENABLED=false  # 是否为组织启用事件日志记录
# ORG_CREATION_USERS=  # 允许创建新组织的用户名列表
# INVITATIONS_ALLOWED=true  # 是否允许组织管理员邀请用户,即使注册被禁用
# INVITATION_EXPIRATION_HOURS=120  # 邀请令牌、紧急访问邀请令牌、电子邮件验证令牌和删除请求令牌的过期时间（小时）
# EMERGENCY_ACCESS_ALLOWED=true  # 是否允许用户启用对他们账户的紧急访问
# EMAIL_CHANGE_ALLOWED=true  # 是否允许用户更改他们的电子邮件
# PASSWORD_ITERATIONS=600000  # 服务器端密码哈希迭代次数
# PASSWORD_HINTS_ALLOWED=true  # 是否允许用户设置密码提示
# SHOW_PASSWORD_HINT=false  # 如果未配置SMTP服务,是否直接在网页上显示密码提示

#########################
### 高级设置 ###
#########################
# IP_HEADER=X-Real-IP  # 客户端IP头,用于识别客户端的IP
# ICON_SERVICE=internal  # 图标服务,可以是internal、bitwarden、duckduckgo、google或自定义URL模板
# ICON_REDIRECT_CODE=302  # 图标重定向的HTTP状态码
# ICON_CACHE_TTL=2592000  # 成功获取的图标的缓存存活时间（秒）
# ICON_CACHE_NEGTTL=259200  # 未成功获取的图标的缓存存活时间（秒）
# ICON_DOWNLOAD_TIMEOUT=10  # 图标下载超时时间（秒）
# ICON_BLACKLIST_REGEX='^(192\.168\.0\.[0-9]+|192\.168\.1\.[0-9]+)$'  # 图标黑名单正则表达式
# EXPERIMENTAL_CLIENT_FEATURE_FLAGS=fido2-vault-credentials  # 客户端实验性功能标志
# REQUIRE_DEVICE_EMAIL=false  # 是否要求新设备电子邮件
# EXTENDED_LOGGING=true  # 是否启用扩展日志记录
# LOG_TIMESTAMP_FORMAT="%Y-%m-%d %H:%M:%S.%3f"  # 扩展日志记录中使用的时间戳格式
# USE_SYSLOG=false  # 是否将日志记录到Syslog
LOG_FILE=/data/vaultwarden.log  # 日志文件路径(默认 /path/to/log)
# LOG_LEVEL=info  # 日志级别
ADMIN_TOKEN=123456  # 管理界面的令牌,推荐使用 /vaultwarden hash 生成
# DISABLE_ADMIN_TOKEN=false  # 是否禁用管理面板安全验证
# ADMIN_RATELIMIT_SECONDS=300  # 同一IP地址的管理员登录请求之间的平均秒数,之后会触发速率限制
# LOGIN_RATELIMIT_SECONDS=60  # 同一IP地址的登录请求之间的平均秒数,之后会触发速率限制
# ORG_GROUPS_ENABLED=false  # 是否启用组织群组支持（Beta功能）

## Yubico (Yubikey) 设置
# YUBICO_CLIENT_ID=11111  # Yubico客户端ID
# YUBICO_SECRET_KEY=AAAAAAAAAAAAAAAAAAAAAAAA  # Yubico密钥
# YUBICO_SERVER=http://yourdomain.com/wsapi/2.0/verify  # Yubico服务器地址

## Duo 设置
# DUO_IKEY=<集成密钥>  # Duo集成密钥
# DUO_SKEY=<保密密钥>  # Duo保密密钥
# DUO_HOST=<API主机名>  # Duo API主机名

## 电子邮件2FA设置
# EMAIL_TOKEN_SIZE=6  # 电子邮件2FA令牌大小
# EMAIL_EXPIRATION_TIME=600  # 电子邮件2FA令牌有效期（秒）
# EMAIL_ATTEMPTS_LIMIT=3  # 电子邮件2FA令牌重试次数限制

## 其他MFA/2FA设置
# DISABLE_2FA_REMEMBER=false  # 是否禁用2FA记忆功能
# AUTHENTICATOR_DISABLE_TIME_DRIFT=false  # 是否禁用认证器时间漂移

## SMTP邮件设置
# SMTP_HOST=smtp.domain.tld  # SMTP服务器地址
# SMTP_FROM=vaultwarden@domain.tld  # 发件人邮箱地址
# SMTP_FROM_NAME=Vaultwarden  # 发件人名称
# SMTP_SECURITY=starttls  # SMTP连接安全模式
# SMTP_PORT=587  # SMTP服务器端口
# SMTP_USERNAME=username  # SMTP用户名
# SMTP_PASSWORD=password  # SMTP密码
# SMTP_TIMEOUT=15  # SMTP连接超时时间（秒）
# USE_SENDMAIL=false  # 是否通过sendmail命令发送邮件
# SMTP_AUTH_MECHANISM=  # SMTP认证机制
# HELO_NAME=  # SMTP HELO期间发送的服务器名称
# SMTP_EMBED_IMAGES=true  # 是否将图像作为电子邮件附件嵌入
# SMTP_DEBUG=false  # 是否启用SMTP调试
# SMTP_ACCEPT_INVALID_CERTS=false  # 是否接受无效证书
# SMTP_ACCEPT_INVALID_HOSTNAMES=false  # 是否接受无效主机名

## Rocket设置
# ROCKET_ADDRESS=0.0.0.0  # Rocket服务器绑定的地址
# ROCKET_PORT=80  # Rocket服务器监听的端口
# ROCKET_TLS={certs="/path/to/certs.pem",key="/path/to/key.pem"}  # RocketTLS配置
```

## 官方 [脚本](https://github.com/bitwarden/server) 部署
```bash
curl -s -o bitwarden.sh \
    https://raw.githubusercontent.com/bitwarden/server/master/scripts/bitwarden.sh \
    && chmod +x bitwarden.sh
./bitwarden.sh install
./bitwarden.sh start
```

## 官方 [~~Bitwardenrs~~](https://hub.docker.com/r/bitwardenrs/server) 部署
查看 `DockerHub` 上提示已经`停止维护`了，更名为 [Vaultwarden](https://hub.docker.com/r/vaultwarden/server)
```
docker run -d --name bitwardenrs -v /volume1/docker/bitwardenrs/data/:/data/ -v /volume1/docker/bitwardenrs/ssl/:/ssl/ -p 99:80 bitwardenrs/server:latest
```
- /data/，为数据存储位置
- /ssl/，主要针对`非反向代理`下的HTTPS连接

## 使用方式
### [开启 Https](https://github.com/dani-garcia/vaultwarden/wiki/Proxy-examples)
多种方式，任挑：
1. Nginx 反代
```bash
# vaultwarden(必须要主路径,子路径功能有问题)
server {
  listen 999 ssl;
  server_name 918178.xyz nas.918178.xyz _;  # 监听域名
  ssl_certificate /etc/nginx/ssl/*.918178.xyz_918178.xyz/fullchain.cer;
  ssl_certificate_key /etc/nginx/ssl/*.918178.xyz_918178.xyz/private.key;
  error_page 497 =307 https://$host:$server_port$request_uri;  # http自动转https
  client_max_body_size 20M;  # 设置客户端请求的最大请求体大小
  # 必须从根/开始,不可从子路径开始,JS中有个/get_pro_doc_tree/请求会忽略子路径从根路径开始
  location / {  # MrDoc访问路径
    proxy_pass http://vaultwarden/;  # 调用容器内服务,故端口也要是容器内对应端口
    proxy_http_version 1.1;  # 设置HTTP版本为1.1
    proxy_set_header Upgrade $http_upgrade;  # 设置Upgrade头,用于支持WebSocket等协议升级
    proxy_set_header Connection $connection_upgrade;  # 当请求升级为WebSocket时，这个头会被设置为upgrade
    proxy_set_header Host $host;  # 确保上游服务器知道客户端请求的域名
    proxy_set_header X-Real-IP $remote_addr;  # 将客户端的真实IP地址传递给上游服务器
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;  # 将客户端的IP地址追加到X-Forwarded-For头中
    proxy_set_header X-Forwarded-Proto $scheme;  # 将客户端请求的协议(http或https)传递给上游服务器
  }
}
```
2. 群晖自带的反向代理方式
注意，群晖要配置过 `SSL` 才可以
![](/media/202203/2022-03-20_182056_738699.png)

### 使用
- 正常访问： `http[s]://<域名>:<端口>`
- 管理地址： `http[s]://<域名>:<端口>/admin`
管理需要开启管理界面才有，并且配置好ADMIN_TOKEN
配置内容会存储在 `/data/config.json`

Bitwarden 几乎支持任何设备
我们可以从官方获取相应的应用来辅助我们，实现自动填写之类的功能
![](/media/202203/2022-03-20_185756_598176.png)
GitHub 软件/插件 下载地址：
- [浏览器插件](https://github.com/bitwarden/browser/releases)
- [移动端软件](https://github.com/bitwarden/mobile/releases)
- [桌面端软件](https://github.com/bitwarden/desktop/releases)

我们还需要设置一下服务器，指定到我们自己的服务器上
![](/media/202203/2022-03-20_190353_767109.png)
![](/media/202203/2022-03-20_190512_619093.png)

#### 浏览器插件登录报错
`Cannot read properties of null(reading "iterations")`
更新最新版本即可

### 匹配规则
- **基本域：**仅仅匹配域名
- **主机：**匹配域名和端口(如果指定)
- **开头为：**匹配开头，无论后面是什么
- **正则表达式：**可以参考`^https://.*918178.xyz:2334.*`匹配主域和端口
- **确切：**完全匹配
- **从不：**从不为该项目填充

#### 忘记密码
Bitwarden 是没有忘记密码的，两种方案应对忘记密码

##### 主密码提示
`web登录——设置——我的账户——主密码提示`
忘记密码了，可以在登录界面请求邮件接收 `主密码提示`

##### 紧急访问
`web登录——设置——我的账户——紧急访问`
1. 这个功能需要先设置 `紧急联系人`，没有账户的话需通过邮件创建账户(后面称作为用户2)
- 添加权限有两种：
	- 查看-可以查看您拥有的密码库中的所有项目，不可修改密码
	- 接管-可以使用新的主密码重置您的帐户，直接更改密码，不可查看项目
- 等待时间：在用户1没有通过邮箱允许的情况下等待多久后会自动同意
2. 然后用户2 `接受 作为紧急联系人 请求`，用户1中还需要再次 `确认` 允许用户2成为 `紧急联系人`
3. 使用的时候登录用户2，在 `web登录——设置——我的账户——紧急访问` 下进行申请，用户1邮箱确认或是等待设置时间到后自动同意

### 密码服务器配置
管理地址中还能配置更多安全项目
![](/media/202203/2022-03-20_183502_708529.png)
![](/media/202203/2022-03-20_183647_730395.png)
![](/media/202203/2022-03-20_183716_931454.png)
如果关闭注册，可用通过邀请的形式创建用户
![](/media/202203/2022-03-20_183921_374631.png)