【好玩儿的Docker项目】2023重制版本!10分钟搭建一个专属的密码管理工具——Vaultwarden

本博客用什么VPS?创作不易,欢迎请咕咕喝杯咖啡☕☕☕

1.前言

这期我们来更新一下之前分享过的vaultwarden的搭建教程。

之前的教程:【保姆级教程】利用宝塔面板 + Docker 搭建一个优秀的密码管理器 ——Bitwarden

这次我们直接用docker来搭建,不需要宝塔面板。而且相对于之前,不需要特意去设置自动同步,整个搭建下来更加容易。

2. 项目展示

见原来的文章:https://blog.laoda.de/archives/bitwarden-docker-install/index.html

3. 相关地址

官方GitHub地址:https://github.com/dani-garcia/vaultwarden
官方docker镜像地址(官方构建镜像在3个不同的容器注册中心都可用):

  • GitHub: ghcr.io/dani-garcia/vaultwarden
  • Docker Hub: docker.io/vaultwarden/server
  • Quay: quay.io/vaultwarden/server

4. 搭建环境

  • 服务器:咕咕这边用的腾讯轻量应用服务器 ,(最好选 非大陆的,而且线路还不错的机器)如果是小白刚开始玩的话,也可以选择Racknerd的高性价比服务器(注意地区选美国西部城市的)或者莱卡云的香港或者美国CN2 GIA

  • 系统:Debian 11 (DD 脚本 非必需 DD,用原来的系统也 OK,之后教程都是用 Debian 或者 Ubuntu 搭建~)

  • 安装好 Docker、Docker-compose(相关脚本

  • 【非必需但建议】域名一枚,并做好解析到服务器上(域名购买、域名解析 视频教程

  • 【非必需】提前安装好宝塔面板海外版本 aapanel,并安装好 Nginx(安装地址

  • 【非必需本教程选用】安装好 Nginx Proxy Manager(相关教程

服务器建议:1C1G,能搭建docker即可

5. 搭建视频

5.1 YouTube

视频地址:https://youtu.be/ZaBSMPRlvXo

5.2 哔哩哔哩

哔哩哔哩:https://www.bilibili.com/video/BV1cH4y117eU/

6. 搭建方式

如果你不是用的腾讯云的轻量应用服务器,可以直接跳到 6.1 部分。

安装系统(腾讯云轻量应用服务器)

e59713fba8726d3cb55ae11bca83fe3c.png

腾讯云轻量服务器最大的特点就是 “轻量”,相比 CVM,更适合小白上手,这边我们之间选择 Docker 基础镜像,就可以省去后面安装 Docker 的步骤 (如果你非要用国内的服务器,这边装的 Docker 镜像还会帮你配置好国内镜像源,让你加速访问 docker 镜像资源) 不建议用国内的 。

登陆(腾讯云轻量应用服务器)

2722040ee311eb4a9ebf2a4945bf38f4.png
c0b5d360053746c4095d592967ee401f.png
e0ba858f021b846ad0abc27acf5008c2.png

6.1 安装 Docker 与 Nginx Proxy Manager

可以直接参考这篇内容:

https://blog.laoda.de/archives/nginxproxymanager/

6.2 创建安装目录

创建一下安装的目录:

sudo -i

mkdir -p /root/data/docker_data/vaultwarden

cd /root/data/docker_data/vaultwarden

vim docker-compose.yml

英文输入法下,按 i

version: '3'

services:
  vaultwarden:
    container_name: vaultwarden
    image: vaultwarden/server:latest
    restart: unless-stopped
    volumes:
      - ./data/:/data/
    ports:
      - 8080:80
    environment:
      - DOMAIN=https://subdomain.yourdomain.com # 这是您希望与您的Vaultwarden实例关联的域名。
      - LOGIN_RATELIMIT_MAX_BURST=10 # 允许在一阵登录/两步验证尝试中的最大请求次数。
      - LOGIN_RATELIMIT_SECONDS=60 # 这是来自同一IP的登录请求之间的平均秒数,在Vaultwarden限制登录次数之前。
      - ADMIN_RATELIMIT_MAX_BURST=10 # 这与LOGIN_RATELIMIT_MAX_BURST相同,只争对admin面板。
      - ADMIN_RATELIMIT_SECONDS=60 # 这与LOGIN_RATELIMIT_SECONDS相同
      - ADMIN_SESSION_LIFETIME=20 # 会话持续时间
      - ADMIN_TOKEN=YourReallyStrongAdminTokenHere # 此值是Vaultwarden管理员面板的令牌(一种密码)。为了安全起见,这应该是一个长的随机字符串。如果未设置此值,则管理员面板将被禁用。建议openssl rand -base64 48 生成ADMIN_TOKEN确保安全
      - SENDS_ALLOWED=true  # 此设置决定是否允许用户创建Bitwarden发送 - 一种凭证共享形式。
      - EMERGENCY_ACCESS_ALLOWED=true # 此设置控制用户是否可以启用紧急访问其账户的权限。例如,这样做可以在用户去世后,配偶可以访问密码库以获取账户凭证。可能的值:true / false。
      - WEB_VAULT_ENABLED=true # 此设置决定了网络保险库是否可访问。一旦您配置了您的账户和客户端,停止您的容器,然后将此值切换为false并重启Vaultwarden,可以用来防止未授权访问。可能的值:true/false。
      - SIGNUPS_ALLOWED=true # 此设置控制新用户是否可以在没有邀请的情况下注册账户。可能的值:true / false。

简单说一下:

  • DOMAIN改成最后你要用的域名形式
  • ADMIN_TOKEN可以在ssh里面输入openssl rand -base64 48生成
  • SIGNUPS_ALLOWED等你注册好之后,如果你只是想自己用,可以把这边改成false

切换成英文输入法,修改好之后,按一下 esc,然后 :wq 保存退出。

6.3 打开服务器防火墙(非必需)并访问网页

打开防火墙的端口 8080

举例,腾讯云打开方法如下(部分服务商没有自带的面板防火墙,就不用这步操作了):

image-20220630215240864
image-20220630220546335

类似图中的,这边我们填 8080,示例填 vaultwarden ,确定即可(如果你在 docker-compose 文件里换了 9009,这边就需要填 9009,以此类推)

56a42aff23098af08c1ae587e19739ae.png

查看端口是否被占用(以 8080 为例),输入:

lsof -i:8080  #查看 8080 端口是否被占用,如果被占用,重新自定义一个端口

如果啥也没出现,表示端口未被占用,我们可以继续下面的操作了~

如果出现:

-bash: lsof: command not found

运行:

apt install lsof  #安装 lsof

如果端口没有被占用(被占用了就修改一下端口,比如改成 8381,注意 docker 命令行里和防火墙都要改)

理论上我们就可以输入 http://ip:8080 访问了。

但是这边我们必须先搞一下反向代理!

做反向代理前,你需要一个域名!

namesilo 上面 xyz 后缀的域名一年就 7 块钱,可以年抛。(冷知识,namesilo上 6位数字的xyz续费永远都是0.99美元 = =)

如果想要长期使用,还是建议买 com 后缀的域名,更加正规一些,可以输入 laodade 来获得 1 美元的优惠(不知道现在还有没有)

namesilo 自带隐私保护,咕咕一直在用这家,价格也是这些注册商里面比较低的,关键是他家不像其他家域名注册商,没有七七八八的套路!(就是后台界面有些 古老 = =)

【域名购买】Namesilo 优惠码和域名解析教程(附带服务器购买推荐和注意事项)

我们接着往下看!

7. 反向代理

7.1 利用 Nginx Proxy Manager

在添加反向代理之前,确保你已经完成了域名解析,不会的可以看这个:域名一枚,并做好解析到服务器上域名购买、域名解析 视频教程

image-20221016140213282

之后,登陆 Nginx Proxy Manager(不会的看这个:安装 Nginx Proxy Manager相关教程))

注意:

Nginx Proxy Manager(以下简称 NPM)会用到 80443 端口,所以本机不能占用(比如原来就有 Nginx)

这边以vaultwarden为例子,element也是一样操作即可。

直接丢几张图:

c8d15ba5227c2308a0518b99afb9663d.png
fae45bafe2e8deb8cdec4d0581b1bd9d.png
2c42648f904d6a6bb84a5f25c2e463c0.png
354981f64863e9c5804a3e3a6f2e1df0.png

注意填写对应的 域名IP端口,按文章来的话,应该是 8080

IP 填写:

如果 Nginx Proxy Manager 和 vaultwarden 在同一台服务器上,可以在终端输入:

ip addr show docker0

查看对应的 Docker 容器内部 IP。

【好玩儿的Docker项目】2023重制版本!10分钟搭建一个专属的密码管理工具——Vaultwarden

否则直接填 vaultwarden 所在的服务器 IP 就行。

7.2 利用宝塔面板

发现还是有不少小伙伴习惯用宝塔面板,这边也贴一个宝塔面板的反代配置:

直接新建一个站点,不要数据库,不要 php,纯静态即可。

然后打开下面的配置,修改 Nginx 的配置。

image-20220819150345725
image-20220819150542867

代码如下:

    location / {
      proxy_pass http://127.0.0.1:8080/;       # 注意改成你实际使用的端口
      rewrite ^/(.*)$ /$1 break;
      proxy_redirect off;
      proxy_set_header Host $host;
      proxy_set_header X-Forwarded-Proto $scheme;
      proxy_set_header X-Real-IP $remote_addr;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_set_header Upgrade-Insecure-Requests 1;
      proxy_set_header X-Forwarded-Proto https;
    }

此方法对 90% 的反向代理都能生效,然后就可以用域名来安装访问了。

有同学可能会问,为什么不直接用宝塔自带的反向代理功能。

image-20220819150730128

也可以,不过咕咕自己之前遇到过当有多个网站需要反代的时候,在这边设置会报错的情况 = =

所以后来就不用了,直接用上面的方法来操作了。

8. 使用教程

建议参考视频,或者自己尝试一下。

8.1 更新 vaultwarden

cd /root/data/docker_data/vaultwarden

docker-compose pull

docker-compose up -d    # 请不要使用 docker-compose stop 来停止容器,因为这么做需要额外的时间等待容器停止;docker-compose up -d 直接升级容器时会自动停止并立刻重建新的容器,完全没有必要浪费那些时间。

docker image prune  # prune 命令用来删除不再使用的 docker 对象。删除所有未被 tag 标记和未被容器使用的镜像

提示:

WARNING! This will remove all dangling images.
Are you sure you want to continue? [y/N] 

输入 y

利用 Docker 搭建的应用,更新非常容易~

8.2 卸载 vaultwarden

同样进入安装页面,先停止所有容器。

cd /root/data/docker_data/vaultwarden

docker-compose down

cd ..

rm -rf /root/data/docker_data/vaultwarden  # 完全删除

可以卸载得很干净。

9. 常见问题及注意点

关于启用WebSocket

9fb7413dd800b6d8c6df2941d456c730.png

自v1.29.0版本起,Vaultwarden默认启用了WebSocket。

WebSocket通知用于通知浏览器、桌面和浏览器扩展Bitwarden客户端某些事件已经发生,例如密码数据库中的条目被修改或删除时。收到通知后,客户端可以采取适当的行动,比如刷新被修改的条目,或者从其本地缓存中移除被删除的条目。在这种通知方案中,Bitwarden客户端与Bitwarden服务器(在这种情况下是Vaultwarden)建立一个持久的WebSocket连接。每当服务器有事件要报告时,它就通过这个持久连接将事件发送给客户端。

之前的版本需要一个反向代理,因为WebSocket运行在与默认HTTPS端口不同的端口上。

自Vaultwarden版本 1.29.0 起,您可以激活移动客户端推送通知,以便在移动应用、网页扩展和网页保险库之间自动同步您的个人保险库,无需手动同步。

详情请见wiki ——Enabling WebSocket notifications

admin页面

此页面允许服务器管理员查看所有已注册用户并删除他们。即使在禁用注册的情况下,它也允许邀请新用户。

插件、客户端

见原来的文章:https://blog.laoda.de/archives/bitwarden-docker-install/index.html

10. 结尾

祝大家用得开心,有问题可以去 GitHub 提 Issues,也可以在评论区互相交流探讨。

同时,有能力给项目做贡献的同学,也欢迎积极加入到 项目 中来,贡献自己的一份力量!

最后,感谢开发人员们的辛苦付出,让我们能用到这么优秀的项目!

参考资料

https://github.com/dani-garcia/vaultwarden

---------------
如何觉得文章内容不错,欢迎点击一下广告,支持一下咕咕😍😍😍

原创文章,作者:Roy,如若转载,请注明出处:https://iwanlab.com/docker-compose-install-vaultwarden/

(1)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
Roy的头像Roy
上一篇 2023年11月7日 下午10:14
下一篇 2023年12月12日 上午9:51
   

相关推荐

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注

评论列表(10条)

  • dc的头像
    dc 2024年4月4日 下午10:10

    咕咕,我发现一个问题,用这个教程下回,存储的附件无法下载,是什么原因啊,是不是某个参数的问题(因为我不认任何参数是可以下载的)

    • Roy的头像
      Roy 2024年4月5日 下午9:58

      @dc你是指send的那个功能吗

    • chen的头像
      chen 2024年4月5日 下午10:36

      @Roy任何附件好像都不行,比如Send功能上传一个图片附件之后点击下载,没有反应。又比如说你创建好的账号密码点编辑,往下拉,也可以上穿一些附件。同样无法下载,你试试行不行

    • Roy的头像
      Roy 2024年4月7日 上午10:56

      @chen我试了下可以额,你看看升级一下再试试

  • NikoCat的头像
    NikoCat 2024年1月13日 下午5:10

    咕咕,安装成功后上传保存的密码数据都在data里面吗?是不是只要备份data就不会丢数据了?

  • archu
    archu 2023年12月12日 下午3:52

    您宝塔那个配置好像无法刷新ws,在gayhub上面找到这个可以
    # The `upstream` directives ensure that you have a http/1.1 connection
    # This enables the keepalive option and better performance
    #
    # Define the server IP and ports here.
    upstream vaultwarden-default {
    zone vaultwarden-default 64k;
    server 127.0.0.1:8080;
    keepalive 2;
    }

    # Needed to support websocket connections
    # See: https://nginx.org/en/docs/http/websocket.html
    # Instead of “close” as stated in the above link we send an empty value.
    # Else all keepalive connections will not work.
    map $http_upgrade $connection_upgrade {
    default upgrade;
    ” “”;
    }

    # Redirect HTTP to HTTPS
    server {
    listen 80;
    listen [::]:80;
    server_name vaultwarden.example.tld;

    if ($host = vaultwarden.example.tld) {
    return 301 https://$host$request_uri;
    }
    return 404;
    }

    server {
    # For older versions of nginx appened http2 to the listen line after ssl and remove `http2 on`
    listen 443 ssl;
    listen [::]:443 ssl;
    http2 on;
    server_name vaultwarden.example.tld;

    # Specify SSL Config when needed
    #ssl_certificate /path/to/certificate/letsencrypt/live/vaultwarden.example.tld/fullchain.pem;
    #ssl_certificate_key /path/to/certificate/letsencrypt/live/vaultwarden.example.tld/privkey.pem;
    #ssl_trusted_certificate /path/to/certificate/letsencrypt/live/vaultwarden.example.tld/fullchain.pem;

    client_max_body_size 525M;

    location / {
    proxy_http_version 1.1;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection $connection_upgrade;

    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header X-Forwarded-Proto $scheme;

    proxy_pass http://vaultwarden-default;
    }

    # Optionally add extra authentication besides the ADMIN_TOKEN
    # Remove the comments below `#` and create the htpasswd_file to have it active
    #
    #location /admin {
    # # See: https://docs.nginx.com/nginx/admin-guide/security-controls/configuring-http-basic-authentication/
    # auth_basic “Private”;
    # auth_basic_user_file /path/to/htpasswd_file;
    #
    # proxy_http_version 1.1;
    # proxy_set_header Upgrade $http_upgrade;
    # proxy_set_header Connection $connection_upgrade;
    #
    # proxy_set_header Host $host;
    # proxy_set_header X-Real-IP $remote_addr;
    # proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    # proxy_set_header X-Forwarded-Proto $scheme;
    #
    # proxy_pass http://vaultwarden-default;
    #}
    }

  • 小鸽子
    小鸽子 2023年11月28日 下午7:28

    laodade 优惠吗 确实还有效 今天注册了一枚

持有Olink法兰克福的服务器的小伙伴,请注意查收邮件( 由于德国数据中心持续的网络问题,经过慎重考虑,Olink决定关闭德国区域的所有业务),及时回复工单选择退款或者迁移服务器至圣何塞。