encoder: Vaultwarden für Zugriff im lokalen Netzwerk installieren - geht das?

Schönen Vatertag euch allen!

Bin die letzten Tage auf Recherche wie man Vaultwarden installiert.
Da sowieso ein Raspberry mit verschiedenem vor sich hin werkelt, wäre es schön das dort mit drauf zu kriegen.

Ich finde massenweise Anleitungen für Vaultwarden aber die haben leider alle mit Domain, Zertifikat für diese Domain und einem reverse Router zu tun.
Ich habe kein Zertifikat, weil ich weder Domain, noch feste IP habe. Der Service soll auch nur im lokalen Netz erreichbar sein, würde mir schon reichen.

Geht das?

Eins meiner Probleme ist dass ich mich mit reverse Routern nicht auskenne. Ich hab hier zum Beispiel eine Anleitung mit traefik. Der soll wohl die Kommunikation nach außen hin übernehmen, so dass der Zugriff auf den eigentlichen Vaultwarden Dienst dann nur noch auf dem selben Rechner passiert und das müsste dann irgendwas vereinfachen.
Aber in dieser Anleitung gehts eben auch direkt mit Zertifikat los, was ich eben nicht habe und auch nicht bekommen kann.

  1. Moin!

    Erst mal für alle: Vaultwarden ist ein BitWarden-Clon, der irgendwie als zentraler Passwortspeicher „tun“ soll.

    Ich finde massenweise Anleitungen für Vaultwarden aber die haben leider alle mit Domain, Zertifikat für diese Domain und einem reverse Router zu tun. Ich habe kein Zertifikat, weil ich weder Domain, noch feste IP habe. Der Service soll auch nur im lokalen Netz erreichbar sein, würde mir schon reichen.

    Geht das?

    Ja. Schon. Aber dann müsstest Du Dich noch mit dem Themenkreis „PKI-Infrastruktur“ und „Beglaubigung und Verteilung eigener Zertifikate“ befassen.

    Geht da auch nur irgendetwas schief, dann verteilst Du Deine Passwörter bis Moskau oder Phönjang.

    Ich bin also im Zweifel, ob Dein Vorhaben potentiell produktiv sein kann oder ob es - im Hinblick auf die Art der Daten und die großen Folgen kleiner Fehler - nicht vor allem kreuzgefährlich ist. Ich selbst würde es auf meinem Wissensstand nicht tun.

    Fall Du es dennoch tun willst

    Für die beglaubigten Zertifikate gibts den certbot, das mit der echten Domain und dem Portforwarding (für certbot+apache) kann jede Fritzbox in Verbindung mit einem eigenen DNS - und wenn Du es nicht öffentlich erreichbar haben willst (warum willst Du es dann eigentlich betreiben?), dann schalte die Portweiterleitung in der Fritzbox und wömöglich den Apache ab. Ferner wäre da noch das Thema „Firewall“ zu erwähnen mit der Du Zugriffe aus dem Internet verbietest...

    1. Ich bin also im Zweifel, ob Dein Vorhaben potentiell produktiv sein kann oder ob es - im Hinblick auf die Art der Daten und die großen Folgen kleiner Fehler - nicht vor allem kreuzgefährlich ist. Ich selbst würde es auf meinem Wissensstand nicht tun.

      Der Passwortmanager verschlüsselt ja selbst die Daten auch, so dass jemand mit den Daten an sich nichts anfangen können sollte, selbst wenn er irgendwie an sie gelangt.
      Dann ist der Zugriff von außen (port forwarding) auf den Raspberry auf VPN beschränkt. Alles sonstige kommt nicht rein.

      und wenn Du es nicht öffentlich erreichbar haben willst (warum willst Du es dann eigentlich betreiben?)

      Ich möchte meine Passwörter nicht im Browser speichern, was aufgrund der Fülle an Passwörtern die man so ansammelt die einzige in der Praxis vorstellbare Alternative ist. Passwortzettel sei noch erwähnt, der fällt aber bzgl. Anwendung in der Praxis schon ziemlich durch.
      Von außen her brauch ich darauf keinen Zugriff. Foren, Banking und was auch mache ich nur zuhause oder künftig vielleicht mal per VPN.

      Ja ich weiß es wäre natürlich schöner das "richtig" zu machen.
      Dazu finde ich leider nichts. Was ich finde hat alles das Komplettpaket, bei dem automatisch Zertifikate installiert werden - eben mit dyndns was ich nicht haben möchte.

      1. Ich möchte meine Passwörter nicht im Browser speichern, was aufgrund der Fülle an Passwörtern die man so ansammelt die einzige in der Praxis vorstellbare Alternative ist. Passwortzettel sei noch erwähnt, der fällt aber bzgl. Anwendung in der Praxis schon ziemlich durch.

        Naja. Ich hab auch überlegt, wie ich das mache und habe mich dann küssen lassen.

        Meine Linux-Desktops (und die Daten-Partitionen auf dem NAS) sind jetzt mit LUKS2 vollverschlüsselt (ohne Passwort booten die also nicht mehr und die Passwörter hab ich in einer zusätzlich mit ccrypt - das gibt es auch für Windows und MAC verschlüsselten Datei. Anders ausgedrückt: Diese Datei ist zweimal verschlüsselt gespeichert.

        Was mit bei ccypt fehlte hab ich „gebasht“:

        #!/bin/bash
        
        ### File: /opt/bin/ccless
        ### Link: /usr/local/bin/ccless
        
        set +x;
        if [ ! -f $1 ]; then
        	ccFile="${1}.cpt";
        else 
        	ccFile=${1};
        fi
        if [ -f "${ccFile}" ]; then
        	pw='';
        	read -s -p 'Passwort:' pw;
        	if [ "" != "${pw}" ]; then
        		echo "${pw}" | /usr/bin/ccat -k - -- "${ccFile}" | /usr/bin/less -KL --;
        	fi
        	clear;
        	exit 0;
        else
        	read -t 2 -p "Fehler: Die Datei \"${1}\" wurde nicht gefunden. [Enter]" dummy;
        	clear;
        	exit 1;
        fi
        

        Die Datei wird nur in den RAM entschlüsselt (der swap ist auch verschlüsselt), less ermöglicht bequemes suchen… und kommt, weil der Text zeigt, sehr gut damit klar, dass manche Dienste mal ein Passwort, mal eine „PIN“, mal ein Kundenkennwort mal sonstwas verlangen. Die Grafen vom Monte Crypto werden zwar meckern, dass das Passwort dann ja im RAM lande - aber wer den lesen kann kann auch die Tastendrücke mitschneiden.

        Wenn ich also in der Fremde weile und ein Passwort brauche, dann mache ich, was Alf immer so gerne tun würde - und zwar nur vom eigenen Laptop aus via SSH.

        Ich hätte auch „was tolles“ basteln können. Aber mir genügt das so. Es ist simpel, stupid und kommt mit allen erwartbaren Daten klar.