Bitwarden密碼管理軟件個人服務器的Docker搭建
上一篇大概介紹了一下Bitwarden這個密碼管理軟件,到目前為止,使用上還是很不錯的,把基於TOTP的兩步驗證全部從手機上移到了Bitwarden上。經過驗證,即使服務器關掉,後續的兩步驗證也沒有問題。
目前唯一的缺點就是基於BasicAuth的登陸頁面無法自動填充。。。。估計是因為插件能訪問到的頁面層次問題。
下面來說一下Docker版的Bitwarden搭建過程
首先拉取鏡像,然後掛載一個目錄來存儲數據到host。
下面是命令行的執行
docker pull bitwardenrs/server:latest
docker run -d --name bitwarden -v /bw-data/:/data/ -p 80:80 bitwardenrs/server:latest
下圖是Portainer的配置
第一步,拉取鏡像,這個鏡像是第三方的,資源佔用比較小。
第二步,添加一個容器 
第三步,配置容器,點擊過第二步的添加容器就會到下面的界面
1:填寫容器名字,這個自己隨便寫個名字,你自己知道是什麼就行了。
2:選擇剛才拉取的鏡像,你可以在裡面寫上bit,後面就會出來和你拉取過的名字有bit的讓你選擇。
3:可以不勾選,因為這是剛拉取的鏡像,再拉取一遍除了浪費時間,沒啥作用,但是有了新版本升級時要把這一項選上,他默認是選擇的
4:進行端口映射,一般只需要映射80端口就行了,也可以加上3012端口。我在後面又映射了80的UDP端口,其實沒有這個必要,不映射UDP也不會有問題。 
接著往下拉,繼續配置。 下面的圖是配置容器的bitwarden配置目錄到host的目錄,這樣才能把裡面的數據放到host而不是容器內。
下圖是配置環境變量
1:是否啟用註冊,一般個人搭建的服務器不想被別人註冊可以加上這個變量,value值填寫true,這樣別人就不能註冊了。需要註冊時把value改成false,就能註冊了。
2:是否啟用網站vault,如果value是false的話,就不能打開登陸的網頁了,這樣別人就不能訪問,也不知道這個網址是幹什麼的了。但是這個不影響已經註冊過的用戶數據同步。只是把bitwarden託管 的靜態網頁禁用了。
3:這個一般用不到,不講了。
4:禁用admin_token,這個需要和第五項配合,
5:admin_token,這個變量寫入後,就開啟了admin的管理頁面,比如https://yourbitwarden域名/admin 這樣就能訪問admin管理頁面了,裡面能夠看到有哪些用戶,並且可以刪除他們,不建議開啟 admin頁面。綠色箭頭後面的紅圈中是填寫admin的驗證token,也就是密碼的意思。如果在4的disable_admin_token的value是true的話,那麼訪問https://yourbitwarden域名/admin 時5的token 的驗證就被禁用了,也就是直接就打開了admin管理頁,這個很危險。
經過上面的配置,在瀏覽器輸入你的IP地址:映射的80端口,就能訪問bitwarden的網頁登陸界面了。
第四部,開啟https
為什麼要開啟https呢,因為安全。不開https不能使用TOTP兩步驗證 我是使用的NGINX反向代理開啟的https,這也是比較簡單,並且官方推薦的方法。 反向代理的配置如下,證書部分自己用可以使用acme.sh 來自動獲取更新證書,或者使用寶塔面板。。。
1:http://<;server>:80,這裏的80要寫成你映射的host的端口,server一般是本機,寫127.0.0.1就可以,這樣處的圈就變成了http://127.0.0.1:你映射的端口
2:和1一樣的方法,3021換成你映射的端口
3:和1一樣
4:這一部分是為admin頁面加上BasicAuth的登陸頁面,這樣能更安全。建議不要開啟admin頁面。
像上面的這樣配置運行後就能使用https訪問了。 下圖是網頁的管理界面大概的介紹 登錄頁面
註冊頁面,配置好後,第一次進入需要先註冊個帳號。和平時註冊各種網站一樣。
註冊好,登陸後頁面 
工具頁面,這裏是密碼生成的,可以自動生成各種複雜密碼。這裏我已經在設定中把語言改成中文了。
設定裡面可以更改自己的主密碼,語言等等。
兩步登錄,我把這個兩步登錄也用bitwarden紀錄了,在新的地方登錄bitwarden時如果開啟了兩步驟登入,就需要驗證。感覺這樣自己陷入了死循環。。。。
KDF迭代默認是100000,這裏我改成了150000.可以根據自己的需求更改,越大密碼被破解的難度越高。更改後如果你已經有在其他地方登錄bitwarden,最好登出一下,再登入。我就遇到了,
在網頁更改後 其他客戶的裡面密碼那一頁變成了空白,嚇死我了。最後登出,再登入就好了。
