昨天文章《谈谈如何保护PT站等互联网账号密码安全,防止一锅端!》中我们谈到了密码管理神器vaultwarden(原Bitwarden)相对lastpass/1password/keepass既安全又免费,是密码管理非常不错的解决方案。今天我们就说说如何部署docker版密码管理神器vaultwarden(原Bitwarden)。因为是docker版的,所以凡是支持docker的NAS基本都能安装的,除了群晖NAS,极空间、绿联、威联通、万由等等也是可以装的。
要部署docker版vaultwarden需要具备两个条件:
1、支持docker的NAS
2、有域名,而且有SSL证书。还没有的可以去腾讯云《第二十四节:快准狠!腾讯云自定义域名DDNS远程访问群晖NAS》注册一个。一年几十块钱,也有免费的,想省几十块钱的可以去琢磨琢磨。
如果IPV4没有公网IP的,可以用IPV6《第二十一节:群晖没有公网IP也能用DDNS,IPV6配置DDNS教程》。
一、vaultwarden安装部署
以上条件满足后我们接下来就开始安装部署vaultwarden。正常情况下我们直接在docker里面注册表搜索“vaultwarden”就能找到这个镜像。但我这边最近docker连不上网,搜索不到任何东西。如果你也是一样的情况,可以像我这样用代码方法拉取一下镜像。
1、用PuTTY软件登陆群晖NAS,没有的可以下载一个
分别输入【管理账号】》【管理账号密码】》【sudo -i】》【管理账号密码】,PuTTY都不会用的参考一下这个http://www.ptyqm.com/26879.html
admin (admin密码) sudo -i (admin密码)
然后执行下面这行代码
docker pull vaultwarden/server
如上图所示后就下载镜像成功了!
2、到NAS的Docker管理面板,我们就能看到这个映像(镜像),按下面步骤进入【高级设置】。
3、到【存储空间】这里,添加文件夹作为vaultwarden的存储目录,可以选择现有的文件夹,也可以新建一个。
装载路径这里填写"/data"
/data
4、【端口设置】,本地端口我们用一个没有被占用的,比如我自己用9999,容器端口默认80就行。
最后应用就完成设置了。
回到Docker管理界面,我们就能看到这个容器已经创建成功并运行中。也就是说vaultwarden已经安装好了。
我们用NAS的IP地址+端口号(如http://192.168.3.218:9999/)可以打开vaultwarden的登陆页面。
但到这里我们还不能正常使用,你可以试着创建账户,会弹出这样一个提示:
意思就是这个vaultwarden必须HTTPS才能正常登陆后台管理。所以前面我们说了安装vaultwarden必须要有域名和SSL证书。
有了域名和SSL证书,我们去设置一下【反向代理服务器】就能正常使用了。
来源
协议:HTTPS
主机名:(就是你的域名,不用带端口号)
端口:(自己取一个,不能和前面的9999一样,例如我用9998,记得把这个端口做端口映射)
目的地
协议:HTTP
主机名:localhost
端口:(刚刚安装vaultwarden设置的那个端口号)
上面设置好后就大功告成了,打开的地址是你的域名+上面反向代理服务器的来源端口。例如我的是https://xx.xxxx.com:9998,记得要用https。你再创建账号就不会再有那个提示了。
二、vaultwarden浏览器插件安装设置
浏览器搜索扩展“Bitwarden”并安装
安装完成后我们可以登陆,点击浏览器右上角“Bitwarden”小图标就会弹出登陆窗口。这里就要注意了,我们要在【区域】那里选择【自托管】,这样才是登陆到我们前面安装在自己NAS里面的vaultwarden。
然后在【服务器URL】中填写你的vaultwarden后台管理地址。保存后你就可以使用前面注册的账户密码登陆这个浏览器的扩展。
你登陆一个网站时就会弹出提示你是否保存这个网站账号密码。也能自动填写之前保存过的网站账号密码。
如果你之前在用lastpass/1password/keepass这些工具,也可以把密码导出,然后导入到vaultwarden,太简单了,就不详细说了,自己看看就知道了。
三、vaultwarden安全风险探讨
vaultwarden最大的优势是数据掌握在自己手上,所以它的安全性问题就完全取决于我们自己了。对于它的风险我觉得有三方面,一个是丢失的风险,一个是被盗取的风险,一个是NAS临时掉线无法使用的风险。下面我说说我规避这些风险的一些个人见解。
丢失的风险主要就是硬盘损坏,数据误删除等,这个其实不管是存什么数据都会面临的,解决的方法当然就是备份。怎么备份就不用我多说了,一个是多拷一份到另外一个硬盘,更安全的做法是再同步一份到网盘上《第二十八节:数据安全“万无一失”!群晖NAS同步百度网盘(cloud sync设置教程)》。这样即使整台机器被盗了,数据还能取回。
被盗取的风险无非就是你的NAS被黑了,那你把密码弄复杂点,再开启二次验证《第二十六节:为降低数据安全风险,务必禁用“admin”,或者启用双重验证》。一般NAS被黑的都是不注重安全的用户,账号密码过于简单啥的,黑的成本太高别人黑你干嘛呢?你以为你是陈冠希?还是李嘉诚?哈哈!
NAS临时掉线无法使用的风险,这个估计比上面两个相对容易发生。比如网络出问题、机器出问题、停电等等。但其实出现这些情况的同时,你又必须得使用到它的概率其实应该也不高。比如PT站,登陆进去后不退出,一直登陆状态就行了,根本不用天天输入账号密码去登陆。当然,概率低我们也要预防,我的方法是把账号密码导出一份表格,然后上传到网盘上。
其实导出一份表格不只是为了预防NAS临时掉线无法使用这一种情况的需要,我觉得是必需要做的。因为你怎么知道vaultwarden会不会哪天就用不了了?或者你把vaultwarden后台管理账号密码忘了,都会导致你无法查看里面的账号密码。包括lastpass/1password/keepass这些工具也一样,会不会哪天就不让你用了呢?哪天忘了登陆这些工具的账号密码了呢?
好了,大家有啥问题可以下方留言讨论!
微信扫一扫关注此公众号, 获取PT站注册地址!