Комментарии 28
лишний пробел тут https://disk.yandex.ru/i/h2UDeEb67rxPzA
Облакам не доверяем, а китайской беспородной железячке и её прошивкам - доверяем? И плюс верим, что сможем бороться с рисками безопасности в одиночку лучше, чем админы гугла?
Что будем делать, если железячка завтра сдожнет?
Как хранимые в железячке пароли в итоге попадают в браузер? В открытом виде?
А в чем преимущества этого решения по сравнению о обычным локальным зашифрованным хранилищем паролей? (тот же опенсорсный KeePassXC хранит пароли в локальном kdbx файле)
Синхронизировать можно руками или через облака. Если хочется доп безопасности при синхронизации через облака, то можно файл "портить" перед загрузкой в облако или разделять на части по разным облачным провайдерам, для этого вроде тоже есть около стандартные решения
А в чем преимущества этого решения по сравнению о обычным локальным зашифрованным хранилищем паролей?
К примеру, можно шарить пароли с другими пользователями. Допустим, вы работаете над каким-то общим проектом, доступы к которому храните в vaultwarden, можно организовать доступ. Второе - сихнронизация этой локальной базы, если есть хотя-бы от 3-5 устройств на разных ОС. Казалось бы, есть много вариантов, но все что я пробовал имеют какие-то существенные недостатки - это периодические конфликты версий, или несинхронизированные БД, когда ты на рабочем компе создал пару десятков записей, а когда приехал домой, узнал, что БД не синхронизировалась или узнал об этом, когда уже на домашнем компе создал или изменил какие-то записи ). К vaultwarden можно подключиться через веб-интерфейс, а можно использовать клиенты bitwarden, которые кэшируют у себя БД с паролями. Во всяком случае, мобильная версия будет работать даже если в этот момент сервер недоступен, умеет ли так десктопная версия - не проверял.
Еще одна полезная фича - Biwarden Send. Позволяет безопасно передать пароли/текст.
Я keepass базу в локальное облако бекаплю
Я тупой и не понял: чем это надёжнее и лучше, чем подключиться по SSH к некоему IP, открыть там текстовый файлик и найти любой нужной пароль (кроме тех, которые вообще не надо записывать)?
При том, что сам файлик лежит на зашифрованном разделе, который расшифровывается при логине на этот компьютер, т.е. украсть его бессмысленно.
Ок, допустим: говорят, есть некие плагины для браузеров, которые позволяют из него пароли тянуть - а надёжны ли плагины? Или они сами по себе дыра?
Не, правда не понял.
Но вижу проблему: если всё хранится на распаяных чипах - в случае выхода железки из строя (ну например, откажет микросхема формирователя опорных напряжений на плате - реальный случай) вы эти микросхемы замучаетесь выпаивать и впаивать в еще один такой же девайс, если найдете, конечно.
А там целая БД, софт...
Такое лучше держать на сменном носителе, зашифрованном конечно.
Вначале вроде разумная оценка рисков начиналась, а в итоге получился мини-ПК дома, который бекапится (и то в проекте, но допустим даже сделали) на NAS дома. Дом сгорел / пришёл товарищ майор и изъял всю электронику / т.п. - что делать будете?
У меня самогó Vaultwarden, но это такая чувствительная штука, что без минимум трёх территориально распределённых актуальных копий его базы мне спалось бы неспокойно.
Холодное хранилище? Для самого критически важного у меня hdd и DVD/blu-ray rw диски. Вот именно лазерные диски переживут и 50 лет хранения если не царапать их.
И не забываем шифровать, ранее я пользовался pgp но потеряв ключ перешёл просто на aes
Лазерные диски - фиг там )
У меня были: и архивы, и просто фильмы записаны. Сохранились хорошо те самые первые CD-RW, "золотые". Все остальные со временем начали давать ошибки, а у "синих" вообще покрытие кусками послезало
Осталась информация на HDD, но там проблема другая - попробуй сейчас найди адаптер IDE для них, если не купил когда это еще было актуально...
IDE у меня нет давно, у меня много старых sata которые ещё cmr им хоть бы хны, не перегревай, при работе охлаждай и главное не трясти, все они по smart идеальны почти, есть и пострадавший, его я перегрел как то при работе и появились переназначенные сектора. Размер конечно не большой у них, от 320 есть samsung на 1тб но это я бы сказал везение что он ещё cmr и не страдал.
С bd и DVD у меня пока проблем нет, чтоб покрытие слёзно такого не встречал.
А так да, становится все сложнее хранить важную информацию дома на цифровых носителях. Не то что фото плёнка до сих есть реактивы и сама плёнка.
А так я бы выбрал не nas на das с парочкой дисков корп уровня cmr, без raid 1 и тд. Всё это не надёжно, самые надёжные бекапы просто копирование, создание контрольньй суммы и последующие холодное хранение, диски можно разложить в разные геоточки.
Холодное хранилище - это тоже хорошо, но, IMHO, территориальная распределённость (в т.ч. как минимум в двух не особо дружественных друг другу юрисдикциях) важнее. А если диски / ленты в том же месте, что и рабочий сервер - риски им грозят одинаковые.
Все верно. В моем случае копий будет несколько. На случай механических повреждений устройства копия будет на самом устройстве, на съемном m.2 SSD, на бекап NAS сервере + флешка (иногда обновляемая)
Если так случиться, что сервер будет не доступен, то все можно будет экспортнуть с локального хранилища на любом из моих устройств и восстановить.
Аппаратные средства хороши в гос секторе. Но при ежедневной эксплуатации каждый раз втыкать флешку в телефон что бы прочитать пароль – избыточно. Во всяком случае у меня пока не такой уровень паранойи)
Очень спорная статья. По мне так в ней больше минусов, чем плюсов.
Зачем привязывать себя к определенному роутеру и KeenDNS если можно воспользоватся Cloudflare tunnel. С его помощью можно будет спокойно пробрасывать любой проект не имея белого ip. Ещё если захочется там можно настроить правила безопасности и доступа.
Если пользователей у Vaultwarden будет мало, то зачем использовать PostgreSQL. Вполне достаточно дефолтного SQLite. Проще бекапить будет.
Зачем вообще заморачиваться с установкой и настройкой разного софта если можно просто взять у них готовый docker image?
В wiki хорошо описанно как все развернуть в docker с caddy в качестве обратного прокси и с автоматическим получением ssl сертификата. При использовании cloudflare tunnel получать свой сертифика вообще не нужен будет.
Готовый конфиг для Vaultwarden тоже лучше выкинуть. В нем есть лишние параметры и отсутствуют нужные настройки. Например для автоматического уведомления клиентов об изменении базы с паролями.
Отсутствует система бекапов, а для менеджера паролей это обязательная опция.
Прикрутить fail2ban или CrowdSec тоже не помешает.
если можно воспользоватся Cloudflare tunnel.
У Keenetic с Роскомнадзором отношения пока гораздо лучше, чем у Cloudflare.
Cloudflare tunnel
А он типо будет работать у нас? Есть подозрения что всю зарубежную инфраструктуру ждёт коллапс...
Спасибо за комментарий. По поводу системы бекапирования я написал в «Что будет сделано за кадром». У меня она появится). Как будет пользоваться Vaultwarden’ом тот кто его поставит я не знаю, но у меня пользователь будет один. Мой). По поводу PostgreSQL, может быть, просто я работаю с ней и её бекапами уже давно. И все скрипты под рукой. Да и по факту – там однострочник.
Всё это действительно можно развернуть Docker и потратить куда меньше времени, чем я, пока собирал это всё и проверял код, что он рабочий) Но мне показалось это интересным.
Опять же, вариантов хранить пароли – великой множество.
KeePass – древний интерфейс, нет облака. Надо придумывать что-то своё. Нет нативных приложений для устройств. С Vaultwarden’ом тоже не всё так глаадко. Например на своем Huawei планшете я не могу его использовать с разблокировкой по сканеру, т.к. в системе нет нужных пакетов. Только вводить мастер код, но все основные устройства у меня на android с гуглосервисами. Такой проблемы нет. Vaultwarden – универсален в данном случае.
По поводу fail2ban или CrowdSec я тоже думал. Т.к. налить по KeenDNS туда тоже можно.
Но я склоняюсь с приватной сети. Что бы подключиться к облаку можно было только включив VPN. Это конечно добавляет чуть гемора с точки зрения использования, но с другой стороны – облако будет точно закрыто от мира. (в какой-то мере естественно).
Если даже диски не шифрованные, то, например подключив их к Windows мы не сможем прочитать эти диски. Нужно будет искать Linux тачку. А так сложилось что я сейчас на Winodws и пока переходить никуда не хочу.
LiveCD линуксовые это для вас какая-то шутка?
Если немного разобраться, есть более простые и более безопасные способы хранения паролей с использованием gpg ключей, это "the standard unix password manager": www.passwordstore.org и его кроссплатформенная версия: www.gopass.pw
Ну и вариант для любителей старого доброго: keepass.info, и его кроссплатформенная версия: keepassxc.org
У них есть фатальный недостаток: они написаны не на rust.
Если говорить про "pass", то тут совсем не про язык программирования, а про проверенные временем технологии и использования стандартных инструментов - это gpg-ключи для шифрования и дешифрования файлов, git-для контроля версии и для синхронизации файлов, и то и другое можно использовать без использования языка программирования. Если разобраться как использовать git и gpg, то в моменте понимаешь, насколько простые и мощные инструменты, которых в связке можно использовать для хранения паролей и не только. Тут языки программирования используются больше для автоматизации и упрощения использования gpg и git через CLI, тут можно использовать что-угодно. Как раз gopass предоставляет некоторые удобства в сравнении с оригинальным CLI pass, аналогичное решение на Rust: https://github.com/cortex/ripasso
В случае keepass и KeePassXC - это полноценный менеджер паролей со своей реализацией зашифрованного файла базы данных.kdbx, в этом случае возможно язык и имеет значение, но не настолько, чтобы отказываться от использования привычных инструментов.
Храним пароли в микроволновке. Mini PC, Vaultwarden и KeenDNS