Bitwarden_RS auf einem Debian Buster 10 Server installieren!


  • Bitwarden_RS auf einem Debian Buster 10 Server installieren!

    Um was geht es? Es gibt eine Firma, die einen Passwortsafe entwickelt und vertreibt - Bitwarden. Bitwarden ist ein zentraler Server, der eine verschlüsselte Datenbank der Logins speichert. Mit zahlreichen Clients kann man dann auf diese Datenbank zugreifen. Sollte der Server gehackt werden, sind diese Daten immer noch ausreichend sicher, da verschlüsselt!

    Die Software ist OpenSource und den Quellcode kann man auf Github betrachten usw.

    Bitwarden is an open source password manager. The source code for Bitwarden is hosted on GitHub and everyone is free to review, audit, and contribute to the Bitwarden codebase.

    We believe that being open source is one of the most important features of Bitwarden. Source code transparency is an absolute requirement for security solutions like Bitwarden.

    Jede Firma möchte Geld verdienen, so das sie auch einen Service anbieten, den Passwortsafe direkt auf ihren Servern zu erstellen und zu benutzen. Aus Sicherheitsgründen, kein Problem, da alle Daten verschlüsselt abgelegt werden. Die Preise sind voll in Ordnung und für einen einzelnen Account kann man das auch kostenlos nutzen. Aber, da mein Trend weg von solchen Dingen geht, muss es eine Lösung sein, die man selber betreibt. Ja, für den kostenbewussten User, nicht die beste Lösung, aber Kontrolle kostet halt etwas. Als kleine Anregung, was macht man wenn die NSA bei Bitwarden den Stecker zieht? Sehr unwahrscheinlich, aber ich kann mich noch gut an ein Tool erinnern, was es heute nicht mehr gibt.

    Wie kommt man auf so eine Idee? Tja, das passiert wenn man sich mit Profis über alles mögliche in der Computerwelt unterhält und man dann auf so was hingewiesen wird. Danke Nico! Und da ich immer neugierig bin, probiere ich sehr viel aus.

    Und nun wollen wir das mal umsetzen...

    Plan

    • Cloud Server (ich werde hier als Beispiel Hetzner Cloud Server benutzen, das geht natürlich mit allen anderen auch 😉 )
    • Bitwarden_RS, was das ist erkläre ich gleich noch

    Server aufsetzen und absichern

    Installation

    Wie geschrieben, nehmen wir einen Cloud Server von Hetzner zum Testen.

    Bevor wir anfangen, legen wir ein neues Projekt an. Innerhalb dieses Projektes benötigen wir einen SSH-Key. Ohne SSH-Key erfolgt der Rootzugang mittels Passwort, das Euch per Mail zugesendet wird. Das möchten wir aber nicht, also legen wir einen SSH-Key an.

    SSH.png

    Danach richten wir eine Firewall ein. Seit kurzem kann man das über Hetzner direkt machen, ist simpel und einfach zu erstellen. Ich bevorzuge aber weiterhin iptabels und fail2ban. Aber für Einsteiger nicht das Schlechteste. Hier ein Beispiel wie das Aussehen kann.

    d28fdc22-e570-46ed-a470-66d8f0f9bd7e-image.png

    Nun sind die Vorbereitungen abgeschlossen und wir erstellen den Server.

    Schritt 1 & 2

    Hier wählt man einen Standort und das Image, welches man installieren möchte. Ich wähle hier Nürnberg und Debian 10. Den Standort könnt ihr wählen, wie ihr möchtet. Das .deb was wir hier benutzen läuft auf Debian 10 und Ubuntu 20.04, also auch hier könnt ihr wählen was ihr mögt.

    741886e0-5a20-40a1-886c-08020a99bfd0-image.png

    Schritt 3

    Wir wählen die Art des Servers aus. Für das was wir vorhaben, reicht ein CX11 mit 2GB RAM und 20GB SSD locker aus. Würde uns dann 2,96€/Monat kosten.

    50ff10c6-94c4-4c18-9410-be6f9db35398-image.png

    Schritt 4 & 5

    Wird für dieses Projekt nicht benötigt

    Schritt 6 bis 9

    9.png

    Wichtig! Ich hab das schon x-mal vergessen, die Firewall und den SSH-Key auswählen! Die Felder müssen rot leuchten 🙂 Danach kann man auf Kostenpflichtig Erstellen klicken und der Server ist kurze Zeit später einsatzbereit. Danach findet man den Server unter dem Menü Server.

    server.png

    IP kopieren und mittels SSH connecten

    ssh root@<IPv4>
    

    Die Abfrage

    Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
    

    mit yes beantworten und man ist drin 😉

    Bitwarden_RS

    Für dieses Projekt benutzen wir Bitwarden_RS. Bitwarden_RS ist eine Rust Implementation der Bitwarden Server API. Dafür gibt es aber kein Debian Paket. Aber da wir ja mit Profis arbeiten, habe ich eine Lösung für Euch 🙂 Nein, mit Profi meine ich nicht mich, gemeint ist der Nico aus Hamburg 😉

    Er hat ein schönes Debian Paket gebaut, was man einfach auf den Debian Buster 10 Server installieren kann. Das findet man hier. DANKE dafür!

    Installation Bitwarden_RS

    Seine Anleitung für die Installation.

    Bitwarden_rs repository for Debian (buster)
    -------------------------------------------
    
    Public repository. Feel free to use!
    
    # Installation
    1. apt-key adv --keyserver keys.gnupg.net --recv-keys 24BFF712
    2. echo "deb http://bitwarden-deb.tech-network.de buster main" > /etc/apt/sources.list.d/bitwarden_rs.list
    3. apt-get update
    4. apt-get install bitwarden-rs
    
    # Configuration
    - Bitwarden_rs config file is located at /etc/bitwarden_rs (config.env)
    - Sample Apache configuration can be found here: https://bitwarden-deb.tech-network.de/Apache-VirtualHost.example.conf
    
    # Systemd service
    - Enable: systemctl enable bitwarden_rs.service
    - Start: systemctl start bitwarden_rs.service
    - Status: systemctl status bitwarden_rs.service
    - ...
    
    Sources and Credits:
    https://github.com/dani-garcia/bitwarden_rs
    

    Ich denke, das brauche ich hier nicht noch mal hinschreiben, einfach die Schritte abarbeiten und fertig. Dann kam mal wieder eine Herausforderung für mich, ich mag leider den Apache2 nicht besonders. Nutze sonst nur NGINX. Da Nico meinte, das ist nicht so einfach, das umzusetzen für Nginx, habe ich mir die Zeit erspart und den Apache2 genommen.

    Apache2

    Kurze Vorüberlegung, was brauchen wir? Wir brauchen den Apache2, der den Proxy für Bitwarden_RS macht und den Dienst ausliefert. Da wir keine unverschlüsselte Kommunikation wollen, benötigen wir ein Zertifikat. Dazu benutzen wir Letsencrypt. Ok, also brauchen wir

    • apache2
    • letsencrypt

    Ok, installieren wir

    apt install apache2
    apt install letsencrypt
    

    Wir bleiben jetzt erst mal beim Apache2. Wir benötigen noch ein paar Module. In Nico's Beispiel Config findet man das.

    #Required Apache modules:
    #headers, proxy, proxy_http, proxy_wstunnel, ssl, rewrite
    
    <VirtualHost *:80>
            ServerName bitwarden-rs.example.com
            ErrorLog ${APACHE_LOG_DIR}/bitwarden_rs-error.log
            CustomLog ${APACHE_LOG_DIR}/bitwarden_rs-access.log combined
    
            # Redirect to https    
            RewriteEngine On
            RewriteCond %{HTTPS} off
            RewriteRule (.*) https://%{SERVER_NAME}/$1 [R,L]
    </VirtualHost>
    
    <VirtualHost *:443>
    	ServerName bitwarden-rs.example.com
            ErrorLog ${APACHE_LOG_DIR}/bitwarden_rs-error.log
            CustomLog ${APACHE_LOG_DIR}/bitwarden_rs-access.log combined
    
            # Reverse Proxy
    	RewriteEngine On
    	RewriteCond %{HTTP:Upgrade} =websocket [NC]
    	RewriteRule /notifications/hub(.*) ws://127.0.0.1:3012/$1 [P,L]
    	ProxyPass / http://127.0.0.1:8000/
    
    	ProxyPreserveHost On
    	ProxyRequests Off
    	RequestHeader set X-Real-IP %{REMOTE_ADDR}s
    
            # TLS
    	SSLEngine on
            SSLCertificateFile /etc/ssl/certs/bitwarden_rs-fullchain.crt
            SSLCertificateKeyFile /etc/ssl/private/bitwarden_rs.key
    
            #HSTS
    	Header always set Strict-Transport-Security "max-age=63072000"
    </VirtualHost>
    

    Ok, das hier brauchen wir

    #Required Apache modules:
    #headers, proxy, proxy_http, proxy_wstunnel, ssl, rewrite

    a2enmod headers
    a2enmod proxy
    a2enmod proxy_http
    a2enmod proxy_wstunnel
    a2enmod ssl
    a2enmod rewrite
    

    Die Konfiguration kommt in das File

    nano /etc/apache2/sites-enabled/000-default.conf
    

    Danach den Apache2 neustarten.

    systemctl restart apache2
    

    Wenn Fehler vorliegen kommen die jetzt 🙂 Aber, da fehlt noch was. Die Zertifikate!

    Letsencrypt

    Installiert haben wir das schon weiter oben. Ich bin beim Apache2 nicht der Fachmann, aber ich habe es so hinbekommen.

    apt install python-certbot-apache
    certbot --apache
    

    Der Certbot fragt nun ein paar Sachen ab. Ganz wichtig ist, das jetzt die Domain, die ihr gerne nutzen wollt auf die ServerIP verweist. Nur wenn das korrekt eingestellt ist, bekommt man auch ein gültiges Zertifikat von Letsencrypt. Der Certbot schreibt die Konfiguration auskommentiert in die Config. Entsprechend anpassen und nicht vergessen den Apache2 neuzustarten. Wenn wir jetzt alles richtig gemacht haben, bekommen wir folgende Webseite angezeigt.

    09030445-f275-48ed-a2a6-172a3f63d8f9-image.png

    🤓

    Noch was Wichtigstes, zu den Zertifikaten. Oben im Beispiel sieht man folgende Zeilen.

    Include /etc/letsencrypt/options-ssl-apache.conf
    

    Damit steuert man die Konfiguration des Zertifikates. Letsencrypt geht da etwas vorsichtig zu Gange, das ist mir bei solchen Diensten aber nicht gut genug. Wir passen das mal etwas an.

    nano /etc/letsencrypt/options-ssl-apache.conf

    # This file contains important security parameters. If you modify this file
    # manually, Certbot will be unable to automatically provide future security
    # updates. Instead, Certbot will print and log an error message with a path to
    # the up-to-date file that you will need to refer to when manually updating
    # this file.
    
    SSLEngine on
    
    # Intermediate configuration, tweak to your needs
    SSLProtocol all -TLSv1.1 -TLSv1.2 -TLSv1 -SSLv2 -SSLv3
    SSLCipherSuite          HIGH:!aNULL:!MD5
    #SSLCipherSuite          ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA25$
    SSLHonorCipherOrder     on
    SSLCompression          off
    
    SSLSessionTickets       off#
    
    SSLUseStapling          On
    SSLStaplingCache        "shmcb:logs/ssl_stapling(32768)"
    
    
    SSLOptions +StrictRequire
    
    # Add vhost name to log entries:
    LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-agent}i\"" vhost_combined
    LogFormat "%v %h %l %u %t \"%r\" %>s %b" vhost_common
    
    #CustomLog /var/log/apache2/access.log vhost_combined
    #LogLevel warn
    #ErrorLog /var/log/apache2/error.log
    
    # Always ensure Cookies have "Secure" set (JAH 2012/1)
    #Header edit Set-Cookie (?i)^(.*)(;\s*secure)??((\s*;)?(.*)) "$1; Secure$3$4"
    

    Damit haben wir dann auch auf der https://www.ssllabs.com Webseite eine gute Bewertung 🙂

    SSL.png

    Crontab

    Es fehlt noch was. Das Letsencrypt Zertifikat muss regelmäßig aktualisiert werden, das mache ich normalerweise über einen Crontab. Wir erstellen einen crontab

    crontab -e
    

    Dann füge wir folgende Zeile ans Ende ein

    0 4 1 * * /usr/bin/certbot renew --pre-hook "service apache2 stop" --post-hook "service apache2 start"
    

    Was macht das? Jeden ersten im Monat, starten wir den Prozeß. Als erstes wird der Apache2 gestoppt, weil Letsencrypt den Port 80 benutzt. Dann wird das Zertifikat aktualisiert und danach wird der Apache2 Wieder gestartet.

    Hier ein Beispiel, das Zertikat war nicht zur Aktualisierung vorgesehen.

    root@debian:/etc/letsencrypt/live/DOMAIN# /usr/bin/certbot renew --pre-hook "service apache2 stop" --post-hook "service apache2 start"
    Saving debug log to /var/log/letsencrypt/letsencrypt.log
    
    - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
    Processing /etc/letsencrypt/renewal/DOMAIN.conf
    - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
    Cert not yet due for renewal
    
    - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
    
    The following certs are not due for renewal yet:
      /etc/letsencrypt/live/DOMAIN/fullchain.pem expires on 2021-06-28 (skipped)
    No renewals were attempted.
    No hooks were run.
    - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
    

    Damit wäre dann Letsencrypt komplett.

    Anwendung

    Nach dem Login sieht das dann so aus.

    bitwarden_tresor.png

    Ich konnte auch ganz einfach meine KeePassXC Datenbank importieren. Dazu exportiert man diese als .csv File und dieses Exportfile kann man dann mit dem Format KeePassX (csv) einfach importieren. Aufpassen, angehangene Files sind nicht vorhanden. Wer im Krypto Bereich unterwegs ist - Aufpassen!!

    fa136806-87a7-470f-9c46-2a880c944f00-image.png

    Es gibt eine Menge Tools dafür. Die findet man hier. Ausprobiert habe ich die Firefox Integration und die App für mein Android Handy. Beides funktioniert gut, obwohl ich da noch etwas Zeit investieren muss.

    Tipps

    • 2FA unbedingt einschalten. Mit Authentifizierungs App kein Hexenwerk.
    • In der Config von Bitwarden_RS die Anmeldung neuer Benutzer abschalten, wenn man das nicht möchte!
    • In der Config Passwort Hints ausschalten!
    • Unbedingt an eine Datensicherung denken! Die Datenbank findet man unter /var/lib/bitwarden_rs/ Ohne Datenbank hätte ich verdammt viel Arbeit... Hier ein Link, wie es geht -> https://github.com/dani-garcia/bitwarden_rs/wiki/Backing-up-your-vault
    • Macht Euch zur Sicherheit Eurer Server im Netz bitte ausreichend Gedanken! So als Anregung zum Lesen, hier die Doku von Thomas Krenn.

    Anmerkungen

    ☝ Ich bezahle meine Hetzner Cloud Server selber!

    Quellen

    Hersteller -> https://bitwarden.com/
    Github des Herstellers -> https://github.com/bitwarden
    Bitwarden Server API in Rust -> https://github.com/dani-garcia/bitwarden_rs
    Bitwarden .deb Paket -> https://bitwarden-deb.tech-network.de/

  • 2
  • 3
  • 3
  • 1
  • 3
  • 2
  • 2
  • 2