Bitwarden auf der Synology (Docker)

[adahmen]

Gleichfalls!
Meine Installation sieht soweit gut aus ... alles scheint zu laufen.
Allerdings musste ich den von mir genutzten Port von aussen aufmachen, damit es funktioniert (mit Zertifikat).

Insofern könnte sich theoretisch jeder einen Account auf meinem System anlegen.

Gibt es eigentlich so eine Art Admin-Zugang ... wo man zumindest sehen kann, welche Konten existieren?

Wie ist das Setup bei Dir? Nutzt Du eine Mobile-App und wenn ja, welches System? Ist dein System auch von aussen zu erreichen?

VG Albert

 

[Brudertac]

Gleichfalls!
Meine Installation sieht soweit gut aus ... alles scheint zu laufen.
Allerdings musste ich den von mir genutzten Port von aussen aufmachen, damit es funktioniert (mit Zertifikat).

Insofern könnte sich theoretisch jeder einen Account auf meinem System anlegen.

Gibt es eigentlich so eine Art Admin-Zugang ... wo man zumindest sehen kann, welche Konten existieren?

Wie ist das Setup bei Dir? Nutzt Du eine Mobile-App und wenn ja, welches System? Ist dein System auch von aussen zu erreichen?

VG Albert

Du kannst das Anlegen neuer Konten über das Config File verbieten. Danach einmal die Container neu Starten und es geht nicht mehr.
Das Formular kann zwar noch ausgefüllt werden aber dann erscheint eine Meldung das der Admin das Anlegen neuer Konten verbietet

Admin Oberfläche - wüsste ich nicht. Wäre aber sicher auch Interessant. Aber mit der obrigen Lösung gehts ja auch.

Mein Setup ist auch von aussen erreichbar. Ich verwende die Apps in Chrome und auf dem Android Handy. Beides läuft sehr gut bislang.

LG
Brudertac

 

[adahmen]

Das mit der Config-Datei hatte ich auch schon gesehen und wird wohl das beste Mittel sein

Hast Du auch ein letsencrypt-Zertifikat?

Vielleicht sollte man sich ein Kopier-Script bauen (und per CRON laufen lassen), welches jede Nacht die Zertifikate kopiert. Dann sollte man immer die aktuellen haben.
Ich denke aber, dass man bei neuen Zertifikaten auch den nginx-Container neu starten muss, oder?

 

[Brudertac]

Das mit der Config-Datei hatte ich auch schon gesehen und wird wohl das beste Mittel sein

Hast Du auch ein letsencrypt-Zertifikat?

Vielleicht sollte man sich ein Kopier-Script bauen (und per CRON laufen lassen), welches jede Nacht die Zertifikate kopiert. Dann sollte man immer die aktuellen haben.
Ich denke aber, dass man bei neuen Zertifikaten auch den nginx-Container neu starten muss, oder?

Ja, auch letsencrypt
Das mit dem Job dachte ich mir auch schon. Muss man mal testen ob der nginx dann nen restart braucht. Ich denke aber schon.

Wobei, wenn man den Job nachts laufen lässt könnte man auch den nginx Container schnell mit neustarten lassen. Sollte doch gar nicht auffallen oder?

 

[adahmen]

Denke ich auch.

Noch ne Frage --> hast Du die Push-Option aktiviert?
Hatte ich bei der Installation nicht gemacht ... und würde es nun doch noch gerne aktivieren.

Kann man das nachträglich aktivieren?

 

[goetz]

Hallo,
@Brudertac
bitte keine Vollzitate und besonders nicht wenn Du direkt antwortest.
Danke.

Gruß Götz

 

[Brudertac]

hast Du die Push-Option aktiviert?
Kann man das nachträglich aktivieren?

Habe ich, weiss aber noch nicht obs Funktioniert. Ob das nachträglich geht kann ich nicht sagen. Schau mal die Config Files durch.

 

[adahmen]

In der Config habe ich nichts gefunden ... habe die Entwickler mal angeschrieben ...

 

[Brudertac]

Bin gespannt. Für mich sieht es nicht so aus als ob Push funktioniert. Normal sollte sich ja dann der Client selbst Syncronisieren. Passiert hier aber nicht.

 

[haydibe]

Das mit der Config-Datei hatte ich auch schon gesehen und wird wohl das beste Mittel sein

Hast Du auch ein letsencrypt-Zertifikat?

Vielleicht sollte man sich ein Kopier-Script bauen (und per CRON laufen lassen), welches jede Nacht die Zertifikate kopiert. Dann sollte man immer die aktuellen haben.
Ich denke aber, dass man bei neuen Zertifikaten auch den nginx-Container neu starten muss, oder?

Schaut euch mal das Skript hier an: http://www.synology-forum.de/showth...t-GitLab/page3&p=711914&viewfull=1#post711914
Das könnte ihr mit wenig Aufwand für Bitwarend anpassen.

Da das Skript nur dann die Zertifikate kopiert und den angegebenen Container neu startet, wenn sich das Zertifikat geändert hat, könnt ihr es alle 5 Minuten als root laufen lassen.

 

[Brudertac]

Sehr cool. Danke dir!
Sach mal, du nutzt doch auch bitwarden? Funktionieren bei dir die Push Notifications?

 

[haydibe]

Nachdem ich in meiner lokalen Installation keine Account anlegen konnt, habe ich die Arbeiten daran wieder eingestellt.

Ich verwende seit Jahren KeePass auf Windows und Android und Speichere die Datenbank auf nem WebDav-Server. Langt mir völlig

 

[adahmen]

Nachdem ich in meiner lokalen Installation keine Account anlegen konnt, habe ich die Arbeiten daran wieder eingestellt.

Hatte ich auch .... bei mir lag es daran, dass ich das Script nicht mir "updatedb" Option ausgeführt hatte (nach der Installation).
Danach lief alles einwandfrei. Vielleicht solltest Du es nochmal probieren ...

 

[Garfield_22]

Ich habe auch Interesse an bitwarden auf der NAS.

Kann jemand nochmal bitte Zusammenfassen was genau zu tun ist um es lauffähig zu machen ?
Wie ist die Performance ? (ich habe eine 216+II)

Danke im Voraus.

 

[adahmen]

Zur Performance auf einer 216+ kann ich nichts sagen ... aber auf meiner 415+ (mit 2 GB RAM) ist es absolut okay.

Zur Installation schreiben ich heute mal was ... muss aber jetzt erstmal weg.
Aber vorab schonmal --> Installation ist wirklich einfach und sollte (fast) jeder hinbekommen

 

[geimist]

… Zur Installation schreibe ich heute mal was ...

Das würde sicherlich vielen helfen. Im Wiki wäre das sicherlich gut aufgehoben (das kann man später ändern und ergänzen).

 

[maxx922]

Kann ich auch voll unterstützen!

 

[adahmen]

Werde es die Tage mal zusammen schreiben Heute wird das aber nix mehr.

Noch eine Frage: Wie kann ich eigentlich verhindern, dass jemand die Zugang "brute forced"?
Bei Bitwarden finde ich keine Einstellungen .... aber kann man hierzu die Synology-Firewall nutzen (ich denke eher nicht, da Bitwarden ja einen eigenen Web-Server nutzt)?

 

[haydibe]

Der Port wird ja direkt an den Container weitgeleitet, da kann die DS wenig tun..

Sobald Du Benutzername und Passwörter ohne ansteigende Wartezeit eingeben kannst und dann evtl. sogar noch dein Benutzername per Default angezeigt wird (oder sowas wie admin oder superuser ist), ist Brute-Force machbar, wenn Dein Passwort kurz gehalten ist....


Ansonsten reg das mit der ansteigenden Wartezeit doch mal beim Entwickler an. Wenn sich das immer verdoppelt, macht Brute-Force schnell keinen spass mehr. Allerdings macht das vertippen bei Passwörtern dann auch keinen spass mehr Alternativ würde auch eine zertifikatsbasierte Authentifizierung weiterhelfen.

 

[Brudertac]

Was mir jetzt noch "negativ" aufgefallen ist: bitwarden unterstützt noch keine sub domains. D.h. es nimmt die Hauptdomain für einen Login und unterscheidet nicht anhand verschiedener sub domains (auf denen ja verschiedene Dienst mit unterschiedlichen Logins liegen können).
Das bremst meinen Umstieg doch erstmal aus
Ist aber schon Thema auf github und kommt bestimmt...