Хостим Bitwarden — open-source менеджер паролей

[l0rda]

Использую в проде bitwarden_rs уже пару лет, реализация сервера bitwarden на rust, нереально быстр, много не кушает и не тянет за собой монстра mssql.

github.com/dani-garcia/bitwarden_rs

[mkpankov]

Я считаю, для менеджера паролей критично прохождение независимоого аудита безопасности. Для официального сервера его делали дважды, а тут нет

[estet]

С другой стороны тащить на сервер .Net не очень хочется. Помимо реализации на Rust, есть еще реализации на Go и на Ruby on Rails. И согласен с Михаилом по сравнению с официальными у них общий недостаток — отсутствие аудита. Реализации можно чуть больше доверять, ее делал для личного использования разработчик OpenBSD.

[mkpankov]

Реализации можно чуть больше доверять

Про какую ты реализацию в итоге?

[estet]

Которая на RoR

[vandreykiv]

github.com/jcs/rubywarden/issues/122
А он рекомендует использовать ту что rust :)

[estet]

есть пруфы?

[vandreykiv]

Так ссылка выше или чукча не читатель?

In light of this, I am no longer maintaining this project. I encourage everyone using rubywarden to switch to bitwarden_rs or the official hosted Bitwarden service.

[VelocidadAbsurda]

С end-to-end шифрованием по идее критичен только аудит клиента. К серверу же требования смягчаются до обеспечения целостности, предотвращения стороннего вандализма и не быть дырой для атаки на другой софт на той же машине. Понятно, что безопасности много не бывает, но всё-таки критичное — клиент.

[GritsanY]

Существует легковесная неофициальная имплементация серверного API Bitwarden на Rust. Хороший вариант для домашнего использования, у меня крутится уже год без проблем. Все клиенты и веб-морда работают.

[VelocidadAbsurda]

А мог бы кто-нибудь написать чуть подробнее — как это всё завязано на «официалов»? А то вроде self-hosted и из исходников, но нужны какие-то id с оф.сервера? Как клиенты настраиваются на self-hosted сервер? Официальный iOS клиент из AppStore просто даст ввести адрес моего сервера вместо родного?

[mkpankov]

Да, и в статье это сказано.

[VelocidadAbsurda]

Наверное туманно выразился. Что id от официалов нужен — видел, вопрос — для чего? Self-hosted сервер будет как-то связан с официальным? Или это просто лицензионный ключ чтобы посчитать self-hosted пользователей?

[kyberorg]

Для:
1) оповещений о критических уязвимостях
2) авторизации на их Push Relay серверах (синхронизация изменений вроде)
3) валидации платной лизенции

Источник: bitwarden.com/help/article/hosting-faqs/#q-what-are-my-installation-id-and-installation-key-used-for

[the_lay]

Пользуюсь (и хостю) bitwarden уже около двух лет, впечатления только хорошие. Хотел бы ещё добавить что на гитхабе есть неофициальная имплементация на Rust: github.com/dani-garcia/bitwarden_rs
Из плюсов: гораздо меньшее потребление ресурсов и сразу открыты премиум фичи за которые надо платить (например 2FA).

[ral]

только хотел спросить про 2FA, которым активно пользуюсь :)

[romanere]

Дальше установщик запросит id и ключ установки.

Кто может объяснить, self-hosted решение разве предполагает получение каких-то ключей с оф. сервера резработчика? Без этого ключа, установка невозможна?

С информации на оф. сайте, выглядит это так, что нужно только чтобы собрать email адниминистраторов, для важных объявлений и не более того. Так ли это?

[romanere]

Проверил, не устанавливается без ID и ключа с сервера разработчика.

Если ввести неправильные значения:



Установка обрывается.

Если попытаться пропустить ввод:



Установка обрывается.

Похоже, не такое и self-hosted официальное решение у Bitwarden. Если их сайт перестанет работать, установить этот официальный «open-source» нельзя будет.

Однако, есть неофициальный сервер (без аудита безопасности) github.com/dani-garcia/bitwarden_rs

[NuRsAk]

Подскажите, есть ли там поддержка
LDAP аутентификации
Разграничение по access листам (ACL — сетевикам одни пароли, админам доступны другие, хелпдеску третьи и т.п.)

[Stam_emg]

Все есть за деньги. Об этом тактично умолчали, а жаль. Ну то есть фичи там есть, но все очень дико урезано. LDAP, SSO есть, бесплатно нет, но для этнерпрайза есть квота на целых 2 юзера.

https://bitwarden.com/help/article/about-bitwarden-plans/

Планы для "дома" на 1 юзера.

[NuRsAk]

очень жаль. интересно как реализовано плата за self-hosted решение, если я решу развернуть её у себя в закрытой инфраструктуре без доступа к инету?

[Nizametdinov]

В homeassistant есть addon с ним, ставится вообще в 1,5 клика
github.com/hassio-addons/addon-bitwarden

[Kadachikadu]

Менеджер паролей на хостинге? Или на вашем личном сервере, который стоит физически у вас в офисе или дома?

Если на хостинге — то есть, вы создавая его там, на каком-то шаге, всё равно вводите *какой-то* мастер пароль, по которому можно будет расшифровать всё. Что мешает хостеру этот пароль перехватить? Сервер-то в его распоряжение и, по-умолчанию, нужно считать, что хостер видит всё. И где же тут безопасность-то? Вы свои пароли хостеру заливаете добровольно.

[andreymal]

Что мешает хостеру этот пароль перехватить?

То, что этот мастер-пароль никогда не уходит за пределы клиента. Клиент занимается шифрованием и расшифровкой полностью самостоятельно.

[Kadachikadu]

На хостинге работает приложение, которое оперируют полностью зашифрованными данными, и которые создаётся таковыми на вашем личном компьютере?

[andreymal]

Я полный аудит всех реализаций не проводил, но насколько я могу судить по мониторингу сети — именно так. Нешифрованными светится только всякая бесполезная мета-информация, вроде идентификаторов организаций

[zeptane]

docker?
отказать

www.passwordstore.org

Не требует никаких Docker, Kubernetes, AWS, OMG-technology. Гарантированно запустится где угодно, где есть gnupg и bash. Если настроить git-репозиторий, пароли можно _в_зашифрованном_ виде передавать по сети и иметь историю изменений. Unix-way в чистом виде, расшифрованный пароль можно запайпить другой программе, например mutt, mcabber, etc.

[andreymal]

Вышупомянутый bitwarden_rs успешно запускается без докера

А passwordstore вообще из другой оперы

[AerLiberum]

Я бы посоветовал вам поменять название ваших серверов. Всё «эпичное» берут лишь люди недалёкого ума, как мне кажется, кто любит броское и яркое, а не логичное и функциональное.

[host_m]

Да нет, много клиентов без лишних клише заказывают данные серверы ;)

[DmitryZ]

как вы ограничивается свой self-hosted от левых пользователей?

[GritsanY]

В смысле? Регистрация отключена.

[DmitryZ]

и если нужен новый пользователь — включать, заводить и потом выключать?

[GritsanY]

Наверное, не я вам должен отвечать :) Подозреваю, что вас интересует корпоративное облако, а у меня семейное. Новые пользователи ну уж очень редко заводятся

[andreymal]

Через управление организацией можно отослать инвайт на e-mail

[DmitryZ]

это платная история

[andreymal]

В bitwarden_rs бесплатная

[dewil]

Я правильно понял, что self hosted решение, так же требует оплату лицензии?

В чем тогда опенсорсность?

[andreymal]

Во-первых, не требует (платные только дополнительные плюшки). Во-вторых, опенсорсность и оплата никак не противоречат друг другу, никто не запрещает создателям опенсорсного софта требовать за него плату

[dewil]

Без дополнительных плюшек он бесполезен. Даже нет 2FA.

[andreymal]

Тогда vaultwarden в помощь

[dewil]

Мне пока KeePassXC с головой хватает