Bitwarden ist ein Online Passwort Dienst, den ihr selbst hosten könnt. Dies hat für euch den Vorteil, dass ihr genau wisst, wo eure Daten gespeichert sind.
Nun zeige ich euch, wie ihr dies in wenigen Minuten mit Docker realisiert. Traefik dient uns hier als Reverse Proxy und stellt später den Dienst verschlüsselt per TLS bereit.
Wer Traefik noch nicht installiert hat, findet hier eine Anleitung, wie ihr dies schnell tun könnt.
Als Grundlage meiner Anleitung dient die offizielle Bitwarden Anleitung für Docker.
1. Ordner anlegen
Zuerst legen wir uns passende Ordner-Strukturen an.
mkdir -p /opt/containers/bitwarden/data
2. Docker Compose anlegen
Nun legen wir die eigentliche Docker Datei an
cd /opt/containers/bitwarden/ nano docker-compose.yml
version: '3'
services:
bitwarden:
image: bitwardenrs/server:latest
restart: unless-stopped
volumes:
- /opt/containers/bitwarden/data:/data
labels:
- "traefik.enable=true"
- "traefik.http.routers.bitwarden.entrypoints=http"
- "traefik.http.routers.bitwarden.rule=Host(`bitwarden.euredomain.de`)" ## Hier anpassen ##
- "traefik.http.middlewares.bitwarden-https-redirect.redirectscheme.scheme=https"
- "traefik.http.routers.bitwarden.middlewares=bitwarden-https-redirect"
- "traefik.http.routers.bitwarden-secure.entrypoints=https"
- "traefik.http.routers.bitwarden-secure.rule=Host(`bitwarden.euredomain.de`)" ## Hier anpassen ##
- "traefik.http.routers.bitwarden-secure.tls=true"
- "traefik.http.routers.bitwarden-secure.tls.certresolver=http"
- "traefik.http.routers.bitwarden-secure.service=bitwarden"
- "traefik.http.services.bitwarden.loadbalancer.server.port=80"
- "traefik.docker.network=proxy"
- "traefik.http.routers.bitwarden-secure.middlewares=secHeaders@file"
networks:
- proxy
networks:
proxy:
external: true
Notwendige Anpassungen:
- 2x eure Domain bei Traefik anpassen ("bitwarden.euredomain.de")
Diese Docker Compose Datei funktioniert nur, wenn ich euch mittels meiner Anleitung hier Traefik installiert habt. Sonst heißen einige Traefik Variablen wohl anders. Diese müsst ihr dann dementsprechend bei euch anpassen.
3. Bitwarden Server starten
Den Server startet ihr wie gewohnt mit folgendem Befehl:
docker-compose -f /opt/containers/bitwarden/docker-compose.yml up -d
4. Quellen
https://hub.docker.com/r/bitwarden/server
.png){kind=avatar}
Auf die Idee kam ich, als ich Anleitungen zum Thema Debian gesucht habe. Leider waren viele Anleitungen veraltet und daher nutzlos.
Da kam ich auf die Idee selbst Anleitungen zu schreiben.
Wenn meine Anleitungen auch veraltet sein sollten, dann schreibt mir das bitte und ich versuche sie zu aktualisieren.
- XMedia Recode - Video Konvertierung mit NVIDIA CUDA - 30. November 2020
- Mattermost - E-Mail einrichten - 23. November 2020
- Yodeck - Digitale Anzeigewand / Digital Signage - 19. November 2020
8 Kommentare
Hi Christian,
vorab dein Blog ist klasse, der hat mir sehr geholfen.
aber zu dem bitwardenrs hier hab ich eine frage.
das ist doch nur das webfrontend in rust (not official)... wie flunche ich denn da das richtige bitwarden ran ?
das ist eine container composition aus vielen microservicen:
installier bar hierrueber:
https://github.com/bitwarden/server/blob/master/scripts/bitwarden.sh
gruesse
Matthias
ps
ich habs nun hinbekommen dort traefik als reverse zu nehmen. (ich hab die tage mein ganzes homelab von nginx/certbot (old but gold - es hat funktioniert) zu traefik migriert, so bin ich auf deinen blog hier aufmerksam geworden.
Hallo Christian,
Hallo Matthias
Hallo Dee
auch mir war die abgespreckte Version aus einer in meinen Augen nicht ausreichend verifizierten Quelle, nicht ganz geheuer. Deshalb ich mich ein paar Abende damit beschäftig die Originalversion von Bitwarden unter Docker und Traefik zu installieren. Den größten Teil der Konfiguration habe ich aus diesen beiden Beiträgen bei Reddit
https://www.reddit.com/r/Bitwarden/comments/dja93a/selfhosted_bitwarden_behind_traefik_v20_reverse/
https://www.reddit.com/r/selfhosted/comments/8ekjjh/bitwarden_traefik_docker_installation/
Meine daraus resoltierenden Konfigurationsdateien sehen wie folgt aus:
/opt/containers/bitwarden/bwdata/config.yml
-------------------
#
# Note: After making changes to this file you need to run the `rebuild` or `update`
# command for them to be applied.
#
# Full URL for accessing the installation from a browser. (Required)
url: https://bitwarden.DEINEDOMAIN.de ########## Domain ändern
#
# Auto-generate the `./docker/docker-compose.yml` config file.
# WARNING: Disabling generated config files can break future updates. You will be
# responsible for maintaining this config file.
# Template: https://github.com/bitwarden/server/blob/master/util/Setup/Templates/DockerCompose.hbs
generate_compose_config: true
#
# Auto-generate the `./nginx/default.conf` file.
# WARNING: Disabling generated config files can break future updates. You will be
# responsible for maintaining this config file.
# Template: https://github.com/bitwarden/server/blob/master/util/Setup/Templates/NginxConfig.hbs
generate_nginx_config: true
#
# Docker compose file port mapping for HTTP. Leave empty to remove the port mapping.
# Learn more: https://docs.docker.com/compose/compose-file/#ports
http_port: 8080
#
# Docker compose file port mapping for HTTPS. Leave empty to remove the port mapping.
# Learn more: https://docs.docker.com/compose/compose-file/#ports
https_port: 8443
#
# Docker compose file version. Leave empty for default.
# Learn more: https://docs.docker.com/compose/compose-file/compose-versioning/
compose_version:
#
# Configure Nginx for SSL.
ssl: false
#
# SSL versions used by Nginx (ssl_protocols). Leave empty for recommended default.
# Learn more: https://wiki.mozilla.org/Security/Server_Side_TLS
ssl_versions:
#
# SSL ciphersuites used by Nginx (ssl_ciphers). Leave empty for recommended default.
# Learn more: https://wiki.mozilla.org/Security/Server_Side_TLS
ssl_ciphersuites:
#
# Installation uses a managed Let's Encrypt certificate.
ssl_managed_lets_encrypt: false
#
# The actual certificate. (Required if using SSL without managed Let's Encrypt)
# Note: Path uses the container's ssl directory. The `./ssl` host directory is mapped to
# `/etc/ssl` within the container.
ssl_certificate_path:
#
# The certificate's private key. (Required if using SSL without managed Let's Encrypt)
# Note: Path uses the container's ssl directory. The `./ssl` host directory is mapped to
# `/etc/ssl` within the container.
ssl_key_path:
#
# If the certificate is trusted by a CA, you should provide the CA's certificate.
# Note: Path uses the container's ssl directory. The `./ssl` host directory is mapped to
# `/etc/ssl` within the container.
ssl_ca_path:
#
# Diffie Hellman ephemeral parameters
# Learn more: https://security.stackexchange.com/q/94390/79072
# Note: Path uses the container's ssl directory. The `./ssl` host directory is mapped to
# `/etc/ssl` within the container.
ssl_diffie_hellman_path:
#
# Communicate with the Bitwarden push relay service (push.bitwarden.com) for mobile
# app live sync.
push_notifications: true
#
# Use a docker volume (`mssql_data`) instead of a host-mapped volume for the persisted database.
# WARNING: Changing this value will cause you to lose access to the existing persisted database.
# Learn more: https://docs.docker.com/storage/volumes/
database_docker_volume: false
#
# Defines "real" IPs in nginx.conf. Useful for defining proxy servers that forward the
# client IP address.
# Learn more: https://nginx.org/en/docs/http/ngx_http_realip_module.html
real_ips:
-------------------
/opt/containers/bitwarden/bwdata/docker/docker-compose.override.yml
(Achtung: im Gegensatz zu den Anleitungen von Christian heißt das Traefik-Netzwerk bei mir "Traefik")
-------------------
version: '3'
services:
mssql:
labels:
- traefik.enable=false
networks:
- default
web:
labels:
- traefik.enable=false
networks:
- default
attachments:
labels:
- traefik.enable=false
networks:
- default
api:
labels:
- traefik.enable=false
networks:
- default
identity:
labels:
- traefik.enable=false
networks:
- default
admin:
labels:
- traefik.enable=false
networks:
- default
icons:
labels:
- traefik.enable=false
networks:
- default
nginx:
labels:
- traefik.enable=true
- traefik.docker.network=traefik
- traefik.port=8080
- traefik.backend=bitwarden-nginx
- traefik.frontend.rule=Host:bitwarden.DEINEDOMAIN.de
- traefik.http.routers.bitwarden.entryPoints=https
- traefik.http.routers.bitwarden.rule=Host("bitwarden.DEINEDOMAIN.de")
# - traefik.http.middlewares.strip.stripprefix.prefixes=/
- traefik.http.routers.bitwarden.tls=true
- traefik.http.routers.bitwarden.tls.certresolver=http
- traefik.http.services.bitwarden.loadbalancer.server.port=8080
networks:
- traefik
- default
networks:
traefik:
external: true
-------------------
Ich hoffe es hilft. Vielleicht macht Christian ja noch eine richte Anleitung daraus.
Gruß aus Hamburg
Hein Mück
Hallo Hein, Christian,
danke für die kurze Anleitung, aber leider komme ich damit nicht so richtig klar.
@Christian,
vielleicht könntest du eine Anleitung dafür erstellen?
Hallo,
vielen dank erstmal für die Anleitung. Ist leicht nachgestellt.
Paar Fragen habe ich jedoch zu der Konfiguration:
1. Kann ich das offizielle Bitwarden Image auch nutzen? Da ich bei RS einige Funktionen vermisse.
2. Kann ich den Standard Port von Bitwarden in der Docker-Compose direkt beim installieren ändern?
Hallo Christian,
vielen Dank für die tollen Anleitungen! Alles topaktuell und es hat mir sehr weitergeholfen!
Ich versuche nun, aus Ermangelung einer subdomain die Anwendung mit subdirectory zum Laufen zu bekommen.. also anstatt bitwarden.meinedomain.de meinedomain.de/bitwarden
Weißt Du wie das geht?
Vielen Dank vorab, viele Grüße
Stefan
Versuch es mal mit dem PathPrefix Kommando:
- "traefik.http.routers.bitwarden.rule=Host(`bitwarden.euredomain.de`) && PathPrefix(`/bitwarden`)" ## Hier anpassen ##
Ähhhm eine Frage:
Wenn man deine Anleitung genauso umsetzt, dann kann sich ja jeder auf z.B. bitwarden.meinserver.de einen account anlegen? ist das so richtig?
Wenn ja, wie schützt man sich davor?
VG Hardy
Das ist korrekt und ein wichtiger Hinweis, den Christian leider verschwitzt hat.
Dazu muss noch auf der Ebene unter bitwarden, also image, restart, volumes, etc..
environment Variablen gesetzt werden:
hier vom Entwickler:
https://github.com/dani-garcia/bitwarden_rs/wiki/Disable-registration-of-new-users
environment:
- SIGNUPS_ALLOWED=false
- INVITATIONS_ALLOWED=false
Möchtest du die Admin Page aufrufen können, musst du diese noch via Token freischalten.
environment:
- SIGNUPS_ALLOWED=false
- INVITATIONS_ALLOWED=false
- ADMIN_TOKEN=some_random_token_as_per_above_explanation
Die Erklärung vom Token auch beim Entwickler
https://github.com/dani-garcia/bitwarden_rs/wiki/Enabling-admin-page
Aufpassen, dass du wirklich über Traefik per HTTPS gesichert bist, bevor du das freischaltest, nicht, dass da jemand zwischenlauscht.
Du rufst die Admin-Seite dann per bitwarden.euredomain.de/admin auf und gibst das Token ein.
Nicht verwundern wenn du dann auf localhost/admin verwiesen wirst und dann nicht weiterkommst.
Das ist der Default-Wert. Hier dann nochmal deine bitwarden.euredomain.de einfügen und dann bist du im Admin-Panel. Dort dann unter General Settings wieder bitwarden.euredomain.de als Domain-Url einfügen und nächstes Mal kommste auch sofort drauf. Im Anschluss würde es sich anbieten das Admin-Token wieder aus der docker-compose.yml zu entfernen, da es dort nicht mehr benötigt wird.
Zusammenfassend also:
Einmal normal starten wie Christian beschrieben. docker-compose up -d.
Dann einen User erstellen. docker-compose.yml mit den Variablen anpassen. Wieder docker-compose up -d. Solltest du den Admin-Bereich erstellt haben, beim zweiten Mal dann das Token auch gleich mit entfernen aus der .yaml. Du kannst auch über den Admin-Bereich dann steuern, ob du signups / invitations zulässt.
Hoffe das hilft und ich habe keinen Mist erzählt. Würde ggf. den Admin-Bereich weglassen, wenn man sich unsicher ist. Das Blockieren von neuen Signups hat so wie beschrieben auf jeden Fall funktioniert.