对自建bitwarden的一些看法-Marlene

自己一直在用自建的bitwarden已经一年多了，体验来说还是很好很方便的，特别是用rust重写的版本解锁了所有的高级功能，让我直接丢弃了第三方两步验证器

也经常看到mjj在讨论，之前一直在讨论的问题是，是不是一定要自建，使用别人搭建的bitwarden是否安全？
今天又看到一个新的讨论，如果服务器被黑，替换掉网站的SSL证书是不是能实现中间人攻击拦截明文密码，我想在这里说一点个人的看法，仅供参考

第一个问题是，看起来使用别人的bitwarden会把自己的密码全部储存到别人的数据库里面，是不是服务器的主人或者数据库被盗自己的密码就会被看个干干净净？
其实不会，bitwarden的官网写得很清楚，无论是官方还是自建，数据库保存的数据都会使用该帐号的“主密码”字段来加密，就是说只要你的主密码不被泄露，无论是服务器主人还是得到数据库的第三方，都无法得到你保存在数据库里的信息明文

第二个问题是，如果被中间人攻击，劫持了流量破解了ssl证书加密过的信息，是不是我在上传密码到bitwarden服务端过程中的流量会被破解成明文？
也不会，用过bitwarden网页端或者客户端的mjj可能注意过设置里的“指纹短语”，这是一串用于客户端和服务端交换信息使用的加密字符串，原理上就是端对端加密，本地客户端如果要上传一段新的密码到服务端，会在本地将信息使用“指纹短语”加密，服务端接收后使用相同的指纹短语解密，因此即便在流量传输的过程中被劫持被破解，拿到的也是被指纹短语加密的信息，不会造成明文密码泄露

综上所述，对于公司内部，家庭，个人来说，自建bitwarden绝对是一个好方案，你说bitwarden绝对是百分之百安全的，那肯定不是，不过破解难度很高，代价高昂，你可以思考思考自己是否有足够的价值值得被人攻击

自建bitwarden最应该担心的应该是灾难备份/恢复的问题，我自己是做了两个bitwarden服务器，十分钟自动备份一次，我自己模拟过，如果主服务器出现故障，用备份切换到备用服务器只需要十分钟即可恢复，这个方案也可以给大家参考

如果你一脸懵逼，不知道该做什么，使用信得过的别人的服务器，或者使用官方服务器也是OK的

热议
推荐楼 Reverie 前天23:04

1、使用魔改的源码搭建可能变成明文，而不是主密码加密
2、同上
还是官方稳

2楼 rooney 前天23:03

难得一篇实用的技术文章啊

3楼 这是最好的年代 前天23:03

个**验来说还是很好很方便的

这被和谐的是哪两个字？

5楼 嫖啊嫖 前天23:08

bitwarden可以导入keepassxc的数据吗？

6楼 liming 前天23:10

我目前在用官方的

7楼 curtis 前天23:11

不想折腾的话，就用官方的

8楼 biubiu 前天23:12

1、使用魔改的源码搭建可能变成明文，而不是主密码加密
2、同上
还是官方稳 ...

官网好像不能用哪个2fa，就是二步验证动态码那个

9楼 telme 前天23:14

为什么放弃二验了呢？用上的话，更加安全呢

10楼 bugrun 前天23:15

我只想知道不北岸国内机子怎么搭建bitwardentrustocean的ip https证书不能搞了

12楼 sushi 前天23:15

官网好像不能用哪个2fa，就是二步验证动态码那个

1年10刀高级会员可以使用

13楼 xinmang 前天23:18

确实，已经是很不错的自建项目了

14楼 abc.xyz 前天23:19

一直用 dani-garcia/vaultwarden 部署在自己家里的 x86 PVE虚拟机里
PVE定时虚拟机全盘备份到NAS

15楼 sugarless 前天23:20

点赞，讲的很好

16楼 Marlene 前天23:28

为什么放弃二验了呢？用上的话，更加安全呢

不是放弃，可能是我没写清楚
两步验证是bitwarden的高级功能，使用官方的正常情况下需要付费，因此如果想用两步验证你还需要一个其他的验证器，比如谷歌验证器，微软验证器什么的
但是现在流行的自建用rust重写的bitwarden是解锁了两步验证功能，可以直接在密码保存器里保存两步验证代码，我换成这个项目后就可以不再用其他的两步验证器了

17楼 Marlene 前天23:32

1、使用魔改的源码搭建可能变成明文，而不是主密码加密
2、同上
还是官方稳 ...

你说的问题可能存在，但不普遍，因为现在用的比较多的valutwarden也是全开源的，开源就搞不了这些小猫腻

18楼 Aliciasang 前天23:32

我最近也在学着想弄一下不知道不北岸的国内阿里云腾讯云能搞这个吗？

19楼 telme 前天23:33

不是放弃，可能是我没写清楚
两步验证是bitwarden的高级功能，使用官方的正常情况下需要付费，因此如果想 ...

明白了，以前需要第三方的两步验证器，以前我用的是authy。
现在自带两步验证器，就不需要其他工具了，是这样吗？

20楼 lastname 前天23:35

明白了，以前需要第三方的两步验证器，以前我用的是authy。
现在自带两步验证器，就不需要其他工具了，是 ...

自建的话，是解锁了这个功能，只需要把密钥填到二步验证那里，自动出验证码，
而且你输入用户名和密码后，自动把二步验证码放到剪贴板，你直接粘贴就行了
无需拿手机打开authy.

22楼 Marlene 前天23:42

我最近也在学着想弄一下不知道不北岸的国内阿里云腾讯云能搞这个吗？

应该 不行
是个网站就得北岸

23楼 Reverie 前天23:43

官网好像不能用哪个2fa，就是二步验证动态码那个

邮件二验够用了

24楼 春和景明 前天23:51

那个，楼主要不要考虑出一期详细的搭建到使用的教程

25楼 Marlene 前天23:54

那个，楼主要不要考虑出一期详细的搭建到使用的教程

这已经是很知名的项目了，谷歌一下就有很多教程，我觉得好像没有重复造轮子的必要

26楼 春和景明 昨天00:08

这已经是很知名的项目了，谷歌一下就有很多教程，我觉得好像没有重复造轮子的必要 ...

嗯嗯，你说的这个二级验证是只要自建就都有吗

27楼 Marlene 昨天00:10

嗯嗯，你说的这个二级验证是只要自建就都有吗

用这个项目是解锁的
https://github.com/dani-garcia/vaultwarden

很推荐这个项目，官方的很臃肿，不适合在小鸡上跑，这个更轻量

28楼 春和景明 昨天00:17

用这个项目是解锁的
https://github.com/dani-garcia/vaultwarden

嗯嗯，好的，谢谢

29楼 875 昨天01:36

大佬 能说说你的双bitwarden是咋互相备份的么？

30楼 youtonghy 昨天07:55

bugrun 发表于 2021-12-29 23:15
我只想知道不北岸国内机子怎么搭建bitwardentrustocean的ip https证书不能搞了

自签名能行吗？

32楼 FranzkafkaYu 昨天08:23

试过搭建ValutBitwarden，奈何不懂Nginx。试着按照官方教程使用Rocket开启Https，奈何没有成功，搭建还是有一定难度的，尤其是对我们这种非IT相关的

33楼 Mgle 昨天08:24

目前官方就很好。

34楼 山大王 昨天09:11

我最近也在学着想弄一下不知道不北岸的国内阿里云腾讯云能搞这个吗？

目前我搭建在良心云248上，使用https非443端口正常

35楼 山大王 昨天09:12

试过搭建ValutBitwarden，奈何不懂Nginx。试着按照官方教程使用Rocket开启Https，奈何没有成功，搭建还是有 ...

宝塔反代一下就行，简单

36楼 imlc 昨天09:37

想知道大佬各个平台都用啥客户端，我发现bitwarden的客户端好像没有keepass的好用，比如安卓端，keepass能保存密码，bitwarden的客户端虽然也提示能保存，但好像没成功过

37楼 winamp 昨天11:12

那个，楼主要不要考虑出一期详细的搭建到使用的教程

https://lala.im/5855.html
lala的还不错

38楼 ymcoming 昨天11:19

我也用了这么久了，部署在云上的话，我推荐heroku，比较稳定。100天+无故障。

39楼 Cbmcn 昨天11:34

rs那个镜像不支持send，NB那个镜像登录不了win客户端

40楼 Marlene 昨天12:28

rs那个镜像不支持send，NB那个镜像登录不了win客户端

send支持的

42楼 lngjx 昨天12:57

目前用官方的

43楼 Marlene 昨天14:01

大佬，怎么在已经占用80和443的机器上再搭建个bitwardenrs？

反向代理，用子域名

44楼 zcms 昨天14:38

反向代理，用子域名

能不能多指导一些，或者有没有样例、教程啥的？

45楼 telme 昨天21:42

自建的话，是解锁了这个功能，只需要把密钥填到二步验证那里，自动出验证码，
而且你输入用户名和密码后 ...

谢谢详细的指导

46楼 mlcq 昨天22:09

能不能多指导一些，或者有没有样例、教程啥的？

https://blog.laoda.de/archives/bitwarden-docker-install我之前有写过一个，可以参考下

47楼 zcms 16分钟前

https://blog.laoda.de/archives/bitwarden-docker-install我之前有写过一个，可以参考下 ...

多谢，但是这个和我想要的差的太远，我想知道怎么配置nginx，让外部可以通过https访问到docker里面的bitwarden？

申明：本文内容由网友收集分享，仅供学习参考使用。如文中内容侵犯到您的利益，请在文章下方留言，本站会第一时间进行处理。