Synology [Tuto] Installer Vaultwarden avec une sauvegarde automatique des données (nouvelle version)

Ok merci :)
J'ai même passé l'algorythme KDF sur Argon2. Et là avec les valeurs par défauts, plus de message d'avertissement.
Et pas de valeurs d'itérations PBKDF2 à modifier 😇
 
Je suis aussi en Argon2

Attention aux utilisateurs de iOS, il est recommandé de ne pas mettre plus que 64Mo pour la mémoire ( valeur par défaut ) , certains indique meme qu'il faut mettre 48Mo pour ne pas etre embêté sur les appli iphone.
 
EVOTk a dit:
Je suis aussi en Argon2

Attention aux utilisateurs de iOS, il est recommandé de ne pas mettre plus que 64Mo pour la mémoire ( valeur par défaut ) , certains indique meme qu'il faut mettre 48Mo pour ne pas etre embêté sur les appli iphone.
Cliquez pour agrandir...
Quelles sont les conséquences sur iPhone ?
Je n’ai pas vraiment constaté de problèmes sur mon vieil iPhone 7.
Ps : J’ai laisse les valeurs par défaut, donc 64Mo.
 
Bonjour,

Tout d'abord merci à MilesTEG1 pour ce tuto que je n'ai pas suivi...
Je viens depuis hier de me lancer dans vaultwarden en passant par docker de mon Synology DS415+ (non compatible a Container Manager).
J'ai pris l'instance directement dans "Registre" du docker de Synology.
Le reverse proxy via un mon domaine est fonctionnel.
L'envoi de mail est aussi en place.
Les nouvelles inscription impossible.
Deux utilisateurs avec une organisation.
Tout est fonctionnel et voici une capture de mes environnements :
Capture d'écran 2023-11-01 220701.png

Mais il y un hic, les extensions de navigateurs ne ce mettent pas à jour.
Et en cherchant la solution sur notre belle internet, je suis tomber sur ce génial topic. En le lisant j'ai maintenant des questions.

Pour les notifications websockets (je voudrais l'option mise à jour automatique des extensions dans le navigateur), est-il possible d'utiliser le script avec mon conteneur docker ? Si oui comment ?
Ou je dois obligatoirement faire la création du conteneur comme indiqué dans le tuto ?

Autre point le Secure the ADMIN_TOKEN. doit il être fait sur mon conteneur, en sachant que la page admin n'est pas disponible d'origine ?
Je ne sais pas où trouver le fichier config.json


Désolé d'avance si j'en demande trop.
En fonction de vos retours, je tenterai le tuto.

Merci d'avance.
Titux
 
Titux a dit:
Bonjour,

Tout d'abord merci à MilesTEG1 pour ce tuto que je n'ai pas suivi...
Cliquez pour agrandir...
Salut 👋
Tu commences mal ton introduction :ROFLMAO:
En fonction du souci que tu rencontres, je risque de ne pas pouvoir t'aider ^^

Titux a dit:
Pour les notifications websockets (je voudrais l'option mise à jour automatique des extensions dans le navigateur), est-il possible d'utiliser le script avec mon conteneur docker ? Si oui comment ?
Ou je dois obligatoirement faire la création du conteneur comme indiqué dans le tuto ?
Cliquez pour agrandir...
L'utilisation des scripts pour le reverse proxy n'est pas liée à la méthode suivie pour la création du conteneur ;) heureusement.
Le seul truc qu'il faut, c'est utiliser le reverse proxy de DSM. Ou bien une autre instance nginx pour laquelle je fourni aussi un .conf.
Pour l'utilisation du script, je te laisse regarder les commentaires que j'ai laissé dedans.
Et sache que depuis une certaine version de Vaultwarden dont je n'ai pas le n° en tête, il n'y a normalement plus besoin de passer par la modification du fichier de configuration de DSM via le script.

Titux a dit:
Autre point le Secure the ADMIN_TOKEN. doit il être fait sur mon conteneur, en sachant que la page admin n'est pas disponible d'origine ?
Je ne sais pas où trouver le fichier config.json
Cliquez pour agrandir...
Le config.json devrait être accessible dans le conteneur. Mais où... je ne sais pas.
L'interface d'administration est désactivée tant que le AMDIN_TOKEN n'est pas défini.
Si tu définies cette variable, il faudra sécuriser le token en employant la méthode décrite dans le tuto.

Titux a dit:
Ahh merci, un simple oublie dans le reverse proxy.

Avec cela c'est bien fonctionnel :

Voir la pièce jointe 10391

Je profite pour une autre questions, je vois que je n'ai pas les variables X-Real-IP & Host.
Cela correspond à quoi ?
Cliquez pour agrandir...
Les variables dont tu parles : X-Real-IP et Host permettent au reverse proxy de connaître la vraie IP et le nom de domaine (bon là ça n'est pas clair pour moi, voir ici : https://stackovercoder.fr/server/70...-nginx-variables-host-http-host-and-server-na ).
 
  • J'aime
Réactions: Titux
MilesTEG1 a dit:
Salut 👋
Tu commences mal ton introduction :ROFLMAO:
Cliquez pour agrandir...

J'en ai bien conscience 😇

MilesTEG1 a dit:
Le config.json devrait être accessible dans le conteneur. Mais où... je ne sais pas.
L'interface d'administration est désactivée tant que le AMDIN_TOKEN n'est pas défini.
Si tu définies cette variable, il faudra sécuriser le token en employant la méthode décrite dans le tuto.
Cliquez pour agrandir...

Merci, n'ayant pas besoin de la console ADMIN à ce jour, je ne vais pas plus loin.
Quand je lis le GitHUB, il est dis cela :
Note: Removing the environment variable ADMIN_TOKEN won't disable the admin page if the value is persisted in the config.json file mentioned above. To disable admin page, make sure no ADMIN_TOKEN environment variable is set, and no "admin_token" key exists in config.json, if that file exists.
Pour cela que j'aurai aimé savoir comment lire ou modifier le fichier config.json. Mais on sort completement du sujet initiale. Je vais aller faire mes recherche ;)


MilesTEG1 a dit:
Les variables dont tu parles : X-Real-IP et Host permettent au reverse proxy de connaître la vraie IP et le nom de domaine (bon là ça n'est pas clair pour moi, voir ici : https://stackovercoder.fr/server/70...-nginx-variables-host-http-host-and-server-na ).
Cliquez pour agrandir...
De la lecture merci. Je prendrai le temps de chercher.
Aujourd'hui, cela fonctionne sans donc je vais laisser comme cela.


En tout cas merci beaucoup pour ces retours rapide et prècis.
 
Titux a dit:
Merci, n'ayant pas besoin de la console ADMIN à ce jour, je ne vais pas plus loin.
Quand je lis le GitHUB, il est dis cela :
Note: Removing the environment variable ADMIN_TOKEN won't disable the admin page if the value is persisted in the config.json file mentioned above. To disable admin page, make sure no ADMIN_TOKEN environment variable is set, and no "admin_token" key exists in config.json, if that file exists.
Pour cela que j'aurai aimé savoir comment lire ou modifier le fichier config.json. Mais on sort completement du sujet initiale. Je vais aller faire mes recherche ;)
Cliquez pour agrandir...

en ce qui me concerne, je le vois dans le dossier de données montés via le volume (en mount/bind) :1698906333183.png

Mais je pense que ce fichier n'apparait que quand on a fait des modifications dans la page d'administration.

Titux a dit:
De la lecture merci. Je prendrai le temps de chercher.
Aujourd'hui, cela fonctionne sans donc je vais laisser comme cela.
Cliquez pour agrandir...
Je te suggère de les placer quand même. Ça permettra à Vaultwarden de savoir qui essaye de se connecter et à partir de quelle URL.
 
MilesTEG1 a dit:
en ce qui me concerne, je le vois dans le dossier de données montés via le volume (en mount/bind) :Voir la pièce jointe 10393

Mais je pense que ce fichier n'apparait que quand on a fait des modifications dans la page d'administration.
Cliquez pour agrandir...
Salut,
Merci de la confirmation, je n'ai pas le fichier config.json car la page admin n'a jamais était créée.

MilesTEG1 a dit:
Je te suggère de les placer quand même. Ça permettra à Vaultwarden de savoir qui essaye de se connecter et à partir de quelle URL.
Cliquez pour agrandir...
Je viens de les ajouter sur tes conseils.

Merci encore et bonne journée.
 
  • J'aime
Réactions: MilesTEG
Concernant la sécurité du portail de Vaultwarden, indépendamment de la mise en place du 2FA il y a une double authentification de fait puisque outre le mot de passe on demande d'abord l'adresse e-mail du compte.
 
CyberFR a dit:
Concernant la sécurité du portail de Vaultwarden, indépendamment de la mise en place du 2FA il y a une double authentification de fait puisque outre le mot de passe on demande d'abord l'adresse e-mail du compte.
Cliquez pour agrandir...
Non ça n’est pas ça la double authentification.
C’ Est juste une vérification de si l’e-mail entrée est bien un compte de Vaultwarden.
Ensuite vient le mot de passe.

La double authentification ou 2FA, c’est l’ajout d’une méthode tierce d’authentification en plus du mot de passe : la plupart du temps c’est la génération d’un code à d’usage unique soit via une application tierce (Authy, Bitwarden, Ms Authenticator, Google Authenticator, etc…), soit via le réception du code via e-mail.
Il y a d’autres possibilités encore pour le 2FA …
 
Sympa le retour.
Pour le moment je n'ai pas encore regardé vraiment ce qu'était les passkeys... j'ai un peu peur de comment retrouver un accès au service si jamais on oublie la passkey ou qu'on ne peut y accéder...
 
Yep je comprends. De toute façon il y a encore trop peu de sites utilisant les passkeys.
Sinon, un article de Nextinpact sur les Passkeys.
Une video de Bitwarden avec exemple sur shopify.
J'ai fait le test sur shopify. Du coup tu gardes les 2 authentifications possibles, mail/password ou passkey.

D'après ce que j'ai vu sur Reddit, Bitwarden prépare l'extention 2023.10.2. Il y aurait un "conflit" si t'utilises une clé de sécurité genre Yubikey sur des sites. L'extension prend le dessus sur la clé, et tu ne peux pas te log (faut désactiver l'extension)

Ce site liste les sites proposant de se connecter avec une passkey. (Je ne sais pas si c'est à jour)

Edit : Je viens de configurer la passkey sur amazon. Même chose, tu peux continuer à utiliser le combo mail/password ou la passkey

Edit² : Je viens de trouver un avantage ^^ ma banque accepte les clés de sécurité ou une passkey. Du coup, pour l'authentification, plus besoin de passer par leur m*rde de clavier virtuel et taper les 8 chiffres :cool: Et même chose, je peux toujours utiliser l'authentification basique en cliquant sur "Utiliser le navigateur" dans la popup de l'extension. (Là par contre en cliquant sur "Utiliser le navigateur", ca cancel l'utilisation de la passkey Bitwarden, mais j'ai eu la popup de Windows pour la clé de sécurité. J'ai de nouveau cancel. La banque m'a dit "échec de l'authentification par clé de sécurité", puis j'ai eu accès au clavier virtuel)
 
Dernière édition:
  • J'aime
Réactions: MilesTEG
Vous devez vous connecter ou vous enregistrer pour répondre ici.
Haut Bas