Bitwarden自建终极加固指南

sharp097 · 发表于 2022-2-20 18:29:11

本帖最后由 sharp097 于 2022-2-20 18:33 编辑

前言

如果你的bitwarden只托管了一些不重要的密码的话，可以看一下本人之前写的一篇博客（保姆级免Nginx反代配置带SSL证书Bitwarden服务端），基本也够安全的了，因为Bitwarden_RS/Vaultwarden(下文简称Bitwarden)底层采用的rocket tls最低支持版本是1.2，而不是1.0或1.1，具体看这里的官方文档。

但是如果你的自建bitwarden托管了你的支付宝微信、银行卡、信用卡等全部身家，甚至几百个比特币的钱包的私钥，那前面提到的博客就不行了，我们必须再提高安全性，毕竟我们的服务暴露在了公网，一旦被不怀好意的人渗透了可就真的麻烦了。

终极加固实战
首先声明一下，一定一定一定要首先优先配置两步验证，这是最基础的安全措施，本文不再赘述~

另外本人遵循 "eat your own dog food"原则，本文全篇介绍的东西在本人自建的Bitwarden服务器上全部有应用到。

本人作为一名渣渣Linux运维小学生，着实才疏学浅，本文不能涵盖所有加固措施，遗漏的地方还望大家在评论区留言指出来，本人再补充进正文。

我们的加固涉及到了以下方面：

基于某些考虑我们没有涉及的：

上述所有的加固措施在Bitwarden_rs/vaultwarden的官方wiki中都有提到，大神没必要再付费看我下面的描述了，不过如果你对上述加固措施不太熟悉的话，亦或者自己踩了很多坑搞不定的话，还是墙裂建议看看下面的描述的。

Tips：下述命令和Nginx指令比较零星，对技术不太熟悉的朋友很容易弄混淆，本人贴心的把docker的完整启动命令和关键指令含有注释的Nginx的完整配置分别贴了出来。

下面的部分是本人耗时昨天和今天两天时间亲自在自己的Bitwarden自建服务器上实践出来的，需要付费阅读，感兴趣的可以点签名进去看看，其实我大概半年前就按照官方文档试过，可是当时遇到了各种问题最终不了了之，这一次终于弄出来了。

suichang · 发表于 2022-2-20 18:43:55

说那么多不如简单的放到内网服务器上，在外用的时候连进局域网即可。

refrigerator · 发表于 2022-2-20 18:41:53

这么复杂，我觉得个人自建安全性远比不上商业公司

sharp097 · 发表于 2022-2-20 18:40:08

PicklePiccolo 发表于 2022-2-20 18:37
有没有一种可能，记在本子上是最安全的选择

确实，物理隔离永远是最安全的方式

Ricky.D. · 发表于 2022-2-20 18:36:41

感谢分享，如果有图片就更好了~

sharp097 · 发表于 2022-2-20 18:37:48

Ricky.D. 发表于 2022-2-20 18:36
感谢分享，如果有图片就更好了~

签名里面的博客赞助之后就可以看到图片了，有两张哈

PicklePiccolo · 发表于 2022-2-20 18:37:58

有没有一种可能，记在本子上是最安全的选择

colla · 发表于 2022-2-20 18:37:59

技术贴绑定，想省心还得1password

sharp097 · 发表于 2022-2-20 18:42:17

colla 发表于 2022-2-20 18:37
技术贴绑定，想省心还得1password

穷屌丝实在用不起1passwd呀

sharp097 · 发表于 2022-2-20 18:45:12

suichang 发表于 2022-2-20 18:43
说那么多不如简单的放到内网服务器上，在外用的时候连进局域网即可。

我家里的电不稳定经常断电，这个不太适合我~

		自动登录	找回密码
密码			注册

[美国VPS] Bitwarden自建终极加固指南

点评