Synology [Tuto] Installer Vaultwarden avec une sauvegarde automatique des données (nouvelle version)

[aware2]

Hello

Oui il est recommandé de mettre 600000 minimum
Voir https://bitwarden.com/help/kdf-algorithms/

Tu peux faire un backup de ton coffre par sécurité avant si tu le souhaites.
Oui j'ai procédé à ce changement, pas de problème à signaler.

 

[MilesTEG]

Ok merci
J'ai même passé l'algorythme KDF sur Argon2. Et là avec les valeurs par défauts, plus de message d'avertissement.
Et pas de valeurs d'itérations PBKDF2 à modifier

 

[aware2]

Top !
Je ne l'avais pas fait dans le sens là. Du coup why not ^^

 

[EVO]

Je suis aussi en Argon2

Attention aux utilisateurs de iOS, il est recommandé de ne pas mettre plus que 64Mo pour la mémoire ( valeur par défaut ) , certains indique meme qu'il faut mettre 48Mo pour ne pas etre embêté sur les appli iphone.

 

[MilesTEG]

Je suis aussi en Argon2

Attention aux utilisateurs de iOS, il est recommandé de ne pas mettre plus que 64Mo pour la mémoire ( valeur par défaut ) , certains indique meme qu'il faut mettre 48Mo pour ne pas etre embêté sur les appli iphone.

Quelles sont les conséquences sur iPhone ?
Je n’ai pas vraiment constaté de problèmes sur mon vieil iPhone 7.
Ps : J’ai laisse les valeurs par défaut, donc 64Mo.

 

[EVO]

Quelles sont les conséquences sur iPhone ?
Je n’ai pas vraiment constaté de problèmes sur mon vieil iPhone 7.
Ps : J’ai laisse les valeurs par défaut, donc 64Mo.

Lenteur au login, voir impossibilité de se connecté

 

[MilesTEG]

Lenteur au login, voir impossibilité de se connecté

Ok
Je verrais si ça me fait ça ou pas.
Pour le moment ça semble bien fonctionner .

 

[Titux]

Bonjour,

Tout d'abord merci à MilesTEG1 pour ce tuto que je n'ai pas suivi...
Je viens depuis hier de me lancer dans vaultwarden en passant par docker de mon Synology DS415+ (non compatible a Container Manager).
J'ai pris l'instance directement dans "Registre" du docker de Synology.
Le reverse proxy via un mon domaine est fonctionnel.
L'envoi de mail est aussi en place.
Les nouvelles inscription impossible.
Deux utilisateurs avec une organisation.
Tout est fonctionnel et voici une capture de mes environnements :


Mais il y un hic, les extensions de navigateurs ne ce mettent pas à jour.
Et en cherchant la solution sur notre belle internet, je suis tomber sur ce génial topic. En le lisant j'ai maintenant des questions.

Pour les notifications websockets (je voudrais l'option mise à jour automatique des extensions dans le navigateur), est-il possible d'utiliser le script avec mon conteneur docker ? Si oui comment ?
Ou je dois obligatoirement faire la création du conteneur comme indiqué dans le tuto ?

Autre point le Secure the ADMIN_TOKEN. doit il être fait sur mon conteneur, en sachant que la page admin n'est pas disponible d'origine ?
Je ne sais pas où trouver le fichier config.json


Désolé d'avance si j'en demande trop.
En fonction de vos retours, je tenterai le tuto.

Merci d'avance.
Titux

 

[aware2]

Hello

Normalement plus besoin du script. Tu peux lire à partir de ce post

 

[Titux]

Hello

Normalement plus besoin du script. Tu peux lire à partir de ce post

Ahh merci, un simple oublie dans le reverse proxy.

Avec cela c'est bien fonctionnel :



Je profite pour une autre questions, je vois que je n'ai pas les variables X-Real-IP & Host.
Cela correspond à quoi ?

 

[MilesTEG]

Bonjour,

Tout d'abord merci à MilesTEG1 pour ce tuto que je n'ai pas suivi...

Salut
Tu commences mal ton introduction
En fonction du souci que tu rencontres, je risque de ne pas pouvoir t'aider ^^

Pour les notifications websockets (je voudrais l'option mise à jour automatique des extensions dans le navigateur), est-il possible d'utiliser le script avec mon conteneur docker ? Si oui comment ?
Ou je dois obligatoirement faire la création du conteneur comme indiqué dans le tuto ?

L'utilisation des scripts pour le reverse proxy n'est pas liée à la méthode suivie pour la création du conteneur heureusement.
Le seul truc qu'il faut, c'est utiliser le reverse proxy de DSM. Ou bien une autre instance nginx pour laquelle je fourni aussi un .conf.
Pour l'utilisation du script, je te laisse regarder les commentaires que j'ai laissé dedans.
Et sache que depuis une certaine version de Vaultwarden dont je n'ai pas le n° en tête, il n'y a normalement plus besoin de passer par la modification du fichier de configuration de DSM via le script.

Autre point le Secure the ADMIN_TOKEN. doit il être fait sur mon conteneur, en sachant que la page admin n'est pas disponible d'origine ?
Je ne sais pas où trouver le fichier config.json

Le config.json devrait être accessible dans le conteneur. Mais où... je ne sais pas.
L'interface d'administration est désactivée tant que le AMDIN_TOKEN n'est pas défini.
Si tu définies cette variable, il faudra sécuriser le token en employant la méthode décrite dans le tuto.

Ahh merci, un simple oublie dans le reverse proxy.

Avec cela c'est bien fonctionnel :

Voir la pièce jointe 10391

Je profite pour une autre questions, je vois que je n'ai pas les variables X-Real-IP & Host.
Cela correspond à quoi ?

Les variables dont tu parles : X-Real-IP et Host permettent au reverse proxy de connaître la vraie IP et le nom de domaine (bon là ça n'est pas clair pour moi, voir ici : https://stackovercoder.fr/server/70...-nginx-variables-host-http-host-and-server-na ).

 

[Titux]

Salut
Tu commences mal ton introduction

J'en ai bien conscience

Le config.json devrait être accessible dans le conteneur. Mais où... je ne sais pas.
L'interface d'administration est désactivée tant que le AMDIN_TOKEN n'est pas défini.
Si tu définies cette variable, il faudra sécuriser le token en employant la méthode décrite dans le tuto.

Merci, n'ayant pas besoin de la console ADMIN à ce jour, je ne vais pas plus loin.
Quand je lis le GitHUB, il est dis cela :
Note: Removing the environment variable ADMIN_TOKEN won't disable the admin page if the value is persisted in the config.json file mentioned above. To disable admin page, make sure no ADMIN_TOKEN environment variable is set, and no "admin_token" key exists in config.json, if that file exists.
Pour cela que j'aurai aimé savoir comment lire ou modifier le fichier config.json. Mais on sort completement du sujet initiale. Je vais aller faire mes recherche

Les variables dont tu parles : X-Real-IP et Host permettent au reverse proxy de connaître la vraie IP et le nom de domaine (bon là ça n'est pas clair pour moi, voir ici : https://stackovercoder.fr/server/70...-nginx-variables-host-http-host-and-server-na ).

De la lecture merci. Je prendrai le temps de chercher.
Aujourd'hui, cela fonctionne sans donc je vais laisser comme cela.


En tout cas merci beaucoup pour ces retours rapide et prècis.

 

[MilesTEG]

Merci, n'ayant pas besoin de la console ADMIN à ce jour, je ne vais pas plus loin.
Quand je lis le GitHUB, il est dis cela :
Note: Removing the environment variable ADMIN_TOKEN won't disable the admin page if the value is persisted in the config.json file mentioned above. To disable admin page, make sure no ADMIN_TOKEN environment variable is set, and no "admin_token" key exists in config.json, if that file exists.
Pour cela que j'aurai aimé savoir comment lire ou modifier le fichier config.json. Mais on sort completement du sujet initiale. Je vais aller faire mes recherche

en ce qui me concerne, je le vois dans le dossier de données montés via le volume (en mount/bind) :

Mais je pense que ce fichier n'apparait que quand on a fait des modifications dans la page d'administration.

De la lecture merci. Je prendrai le temps de chercher.
Aujourd'hui, cela fonctionne sans donc je vais laisser comme cela.

Je te suggère de les placer quand même. Ça permettra à Vaultwarden de savoir qui essaye de se connecter et à partir de quelle URL.

 

[Titux]

en ce qui me concerne, je le vois dans le dossier de données montés via le volume (en mount/bind) :Voir la pièce jointe 10393

Mais je pense que ce fichier n'apparait que quand on a fait des modifications dans la page d'administration.

Salut,
Merci de la confirmation, je n'ai pas le fichier config.json car la page admin n'a jamais était créée.

Je te suggère de les placer quand même. Ça permettra à Vaultwarden de savoir qui essaye de se connecter et à partir de quelle URL.

Je viens de les ajouter sur tes conseils.

Merci encore et bonne journée.

 

[CyberFR]

Concernant la sécurité du portail de Vaultwarden, indépendamment de la mise en place du 2FA il y a une double authentification de fait puisque outre le mot de passe on demande d'abord l'adresse e-mail du compte.

 

[MilesTEG]

Concernant la sécurité du portail de Vaultwarden, indépendamment de la mise en place du 2FA il y a une double authentification de fait puisque outre le mot de passe on demande d'abord l'adresse e-mail du compte.

Non ça n’est pas ça la double authentification.
C’ Est juste une vérification de si l’e-mail entrée est bien un compte de Vaultwarden.
Ensuite vient le mot de passe.

La double authentification ou 2FA, c’est l’ajout d’une méthode tierce d’authentification en plus du mot de passe : la plupart du temps c’est la génération d’un code à d’usage unique soit via une application tierce (Authy, Bitwarden, Ms Authenticator, Google Authenticator, etc…), soit via le réception du code via e-mail.
Il y a d’autres possibilités encore pour le 2FA …

 

[aware2]

Update de Vaultwarden en 1.30.0 avec prise en charge des passkey.
Testé sur https://www.passkeys.io/ , ça fonctionne
Pensez à mettre à jour les extensions (2023.10.1) si ce n'est déjà fait (et relancer le navigateur)

 

[MilesTEG]

Sympa le retour.
Pour le moment je n'ai pas encore regardé vraiment ce qu'était les passkeys... j'ai un peu peur de comment retrouver un accès au service si jamais on oublie la passkey ou qu'on ne peut y accéder...

 

[aware2]

Yep je comprends. De toute façon il y a encore trop peu de sites utilisant les passkeys.
Sinon, un article de Nextinpact sur les Passkeys.
Une video de Bitwarden avec exemple sur shopify.
J'ai fait le test sur shopify. Du coup tu gardes les 2 authentifications possibles, mail/password ou passkey.

D'après ce que j'ai vu sur Reddit, Bitwarden prépare l'extention 2023.10.2. Il y aurait un "conflit" si t'utilises une clé de sécurité genre Yubikey sur des sites. L'extension prend le dessus sur la clé, et tu ne peux pas te log (faut désactiver l'extension)

Ce site liste les sites proposant de se connecter avec une passkey. (Je ne sais pas si c'est à jour)

Edit : Je viens de configurer la passkey sur amazon. Même chose, tu peux continuer à utiliser le combo mail/password ou la passkey

Edit² : Je viens de trouver un avantage ^^ ma banque accepte les clés de sécurité ou une passkey. Du coup, pour l'authentification, plus besoin de passer par leur m*rde de clavier virtuel et taper les 8 chiffres Et même chose, je peux toujours utiliser l'authentification basique en cliquant sur "Utiliser le navigateur" dans la popup de l'extension. (Là par contre en cliquant sur "Utiliser le navigateur", ca cancel l'utilisation de la passkey Bitwarden, mais j'ai eu la popup de Windows pour la clé de sécurité. J'ai de nouveau cancel. La banque m'a dit "échec de l'authentification par clé de sécurité", puis j'ai eu accès au clavier virtuel)

 

[peps382000]

salut
voila mes parametres