Bitwarden auf der Synology (Docker)

adahmen

Benutzer
Mitglied seit
12. Okt 2009
Beiträge
561
Punkte für Reaktionen
11
Punkte
38
Gleichfalls!
Meine Installation sieht soweit gut aus ... alles scheint zu laufen.
Allerdings musste ich den von mir genutzten Port von aussen aufmachen, damit es funktioniert (mit Zertifikat).

Insofern könnte sich theoretisch jeder einen Account auf meinem System anlegen.

Gibt es eigentlich so eine Art Admin-Zugang ... wo man zumindest sehen kann, welche Konten existieren?

Wie ist das Setup bei Dir? Nutzt Du eine Mobile-App und wenn ja, welches System? Ist dein System auch von aussen zu erreichen?

VG Albert
 

Brudertac

Benutzer
Mitglied seit
03. Jun 2016
Beiträge
34
Punkte für Reaktionen
0
Punkte
6
Gleichfalls!
Meine Installation sieht soweit gut aus ... alles scheint zu laufen.
Allerdings musste ich den von mir genutzten Port von aussen aufmachen, damit es funktioniert (mit Zertifikat).

Insofern könnte sich theoretisch jeder einen Account auf meinem System anlegen.

Gibt es eigentlich so eine Art Admin-Zugang ... wo man zumindest sehen kann, welche Konten existieren?

Wie ist das Setup bei Dir? Nutzt Du eine Mobile-App und wenn ja, welches System? Ist dein System auch von aussen zu erreichen?

VG Albert

Du kannst das Anlegen neuer Konten über das Config File verbieten. Danach einmal die Container neu Starten und es geht nicht mehr.
Das Formular kann zwar noch ausgefüllt werden aber dann erscheint eine Meldung das der Admin das Anlegen neuer Konten verbietet :)

Admin Oberfläche - wüsste ich nicht. Wäre aber sicher auch Interessant. Aber mit der obrigen Lösung gehts ja auch.

Mein Setup ist auch von aussen erreichbar. Ich verwende die Apps in Chrome und auf dem Android Handy. Beides läuft sehr gut bislang.

LG
Brudertac
 

adahmen

Benutzer
Mitglied seit
12. Okt 2009
Beiträge
561
Punkte für Reaktionen
11
Punkte
38
Das mit der Config-Datei hatte ich auch schon gesehen und wird wohl das beste Mittel sein :)

Hast Du auch ein letsencrypt-Zertifikat?

Vielleicht sollte man sich ein Kopier-Script bauen (und per CRON laufen lassen), welches jede Nacht die Zertifikate kopiert. Dann sollte man immer die aktuellen haben.
Ich denke aber, dass man bei neuen Zertifikaten auch den nginx-Container neu starten muss, oder?
 

Brudertac

Benutzer
Mitglied seit
03. Jun 2016
Beiträge
34
Punkte für Reaktionen
0
Punkte
6
Das mit der Config-Datei hatte ich auch schon gesehen und wird wohl das beste Mittel sein :)

Hast Du auch ein letsencrypt-Zertifikat?

Vielleicht sollte man sich ein Kopier-Script bauen (und per CRON laufen lassen), welches jede Nacht die Zertifikate kopiert. Dann sollte man immer die aktuellen haben.
Ich denke aber, dass man bei neuen Zertifikaten auch den nginx-Container neu starten muss, oder?

Ja, auch letsencrypt :)
Das mit dem Job dachte ich mir auch schon. Muss man mal testen ob der nginx dann nen restart braucht. Ich denke aber schon.

Wobei, wenn man den Job nachts laufen lässt könnte man auch den nginx Container schnell mit neustarten lassen. Sollte doch gar nicht auffallen oder?
 

adahmen

Benutzer
Mitglied seit
12. Okt 2009
Beiträge
561
Punkte für Reaktionen
11
Punkte
38
Denke ich auch.

Noch ne Frage --> hast Du die Push-Option aktiviert?
Hatte ich bei der Installation nicht gemacht ... und würde es nun doch noch gerne aktivieren.

Kann man das nachträglich aktivieren?
 

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
14.160
Punkte für Reaktionen
407
Punkte
393
Hallo,
@Brudertac
bitte keine Vollzitate und besonders nicht wenn Du direkt antwortest.
Danke.

Gruß Götz
 

adahmen

Benutzer
Mitglied seit
12. Okt 2009
Beiträge
561
Punkte für Reaktionen
11
Punkte
38
In der Config habe ich nichts gefunden ... habe die Entwickler mal angeschrieben ...
 

Brudertac

Benutzer
Mitglied seit
03. Jun 2016
Beiträge
34
Punkte für Reaktionen
0
Punkte
6
Bin gespannt. Für mich sieht es nicht so aus als ob Push funktioniert. Normal sollte sich ja dann der Client selbst Syncronisieren. Passiert hier aber nicht.
 

haydibe

Benutzer
Sehr erfahren
Mitglied seit
12. Apr 2016
Beiträge
1.519
Punkte für Reaktionen
404
Punkte
103
Das mit der Config-Datei hatte ich auch schon gesehen und wird wohl das beste Mittel sein :)

Hast Du auch ein letsencrypt-Zertifikat?

Vielleicht sollte man sich ein Kopier-Script bauen (und per CRON laufen lassen), welches jede Nacht die Zertifikate kopiert. Dann sollte man immer die aktuellen haben.
Ich denke aber, dass man bei neuen Zertifikaten auch den nginx-Container neu starten muss, oder?


Schaut euch mal das Skript hier an: http://www.synology-forum.de/showth...t-GitLab/page3&p=711914&viewfull=1#post711914
Das könnte ihr mit wenig Aufwand für Bitwarend anpassen.

Da das Skript nur dann die Zertifikate kopiert und den angegebenen Container neu startet, wenn sich das Zertifikat geändert hat, könnt ihr es alle 5 Minuten als root laufen lassen.
 

Brudertac

Benutzer
Mitglied seit
03. Jun 2016
Beiträge
34
Punkte für Reaktionen
0
Punkte
6
Sehr cool. Danke dir!
Sach mal, du nutzt doch auch bitwarden? Funktionieren bei dir die Push Notifications?
 

haydibe

Benutzer
Sehr erfahren
Mitglied seit
12. Apr 2016
Beiträge
1.519
Punkte für Reaktionen
404
Punkte
103
Nachdem ich in meiner lokalen Installation keine Account anlegen konnt, habe ich die Arbeiten daran wieder eingestellt.

Ich verwende seit Jahren KeePass auf Windows und Android und Speichere die Datenbank auf nem WebDav-Server. Langt mir völlig :)
 

adahmen

Benutzer
Mitglied seit
12. Okt 2009
Beiträge
561
Punkte für Reaktionen
11
Punkte
38
Nachdem ich in meiner lokalen Installation keine Account anlegen konnt, habe ich die Arbeiten daran wieder eingestellt.

Hatte ich auch .... bei mir lag es daran, dass ich das Script nicht mir "updatedb" Option ausgeführt hatte (nach der Installation).
Danach lief alles einwandfrei. Vielleicht solltest Du es nochmal probieren ...
 

Garfield_22

Benutzer
Mitglied seit
24. Mai 2011
Beiträge
35
Punkte für Reaktionen
0
Punkte
12
Ich habe auch Interesse an bitwarden auf der NAS.

Kann jemand nochmal bitte Zusammenfassen was genau zu tun ist um es lauffähig zu machen ?
Wie ist die Performance ? (ich habe eine 216+II)

Danke im Voraus.
 

adahmen

Benutzer
Mitglied seit
12. Okt 2009
Beiträge
561
Punkte für Reaktionen
11
Punkte
38
Zur Performance auf einer 216+ kann ich nichts sagen ... aber auf meiner 415+ (mit 2 GB RAM) ist es absolut okay.

Zur Installation schreiben ich heute mal was ... muss aber jetzt erstmal weg.
Aber vorab schonmal --> Installation ist wirklich einfach und sollte (fast) jeder hinbekommen :)
 

geimist

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
04. Jan 2012
Beiträge
5.548
Punkte für Reaktionen
1.379
Punkte
234
… Zur Installation schreibe ich heute mal was ...

Das würde sicherlich vielen helfen. Im Wiki wäre das sicherlich gut aufgehoben (das kann man später ändern und ergänzen).
 

maxx922

Benutzer
Mitglied seit
14. Mai 2014
Beiträge
51
Punkte für Reaktionen
0
Punkte
6
Kann ich auch voll unterstützen!
 

adahmen

Benutzer
Mitglied seit
12. Okt 2009
Beiträge
561
Punkte für Reaktionen
11
Punkte
38
Werde es die Tage mal zusammen schreiben :) Heute wird das aber nix mehr.

Noch eine Frage: Wie kann ich eigentlich verhindern, dass jemand die Zugang "brute forced"?
Bei Bitwarden finde ich keine Einstellungen .... aber kann man hierzu die Synology-Firewall nutzen (ich denke eher nicht, da Bitwarden ja einen eigenen Web-Server nutzt)?
 

haydibe

Benutzer
Sehr erfahren
Mitglied seit
12. Apr 2016
Beiträge
1.519
Punkte für Reaktionen
404
Punkte
103
Der Port wird ja direkt an den Container weitgeleitet, da kann die DS wenig tun..

Sobald Du Benutzername und Passwörter ohne ansteigende Wartezeit eingeben kannst und dann evtl. sogar noch dein Benutzername per Default angezeigt wird (oder sowas wie admin oder superuser ist), ist Brute-Force machbar, wenn Dein Passwort kurz gehalten ist....


Ansonsten reg das mit der ansteigenden Wartezeit doch mal beim Entwickler an. Wenn sich das immer verdoppelt, macht Brute-Force schnell keinen spass mehr. Allerdings macht das vertippen bei Passwörtern dann auch keinen spass mehr ;) Alternativ würde auch eine zertifikatsbasierte Authentifizierung weiterhelfen.
 

Brudertac

Benutzer
Mitglied seit
03. Jun 2016
Beiträge
34
Punkte für Reaktionen
0
Punkte
6
Was mir jetzt noch "negativ" aufgefallen ist: bitwarden unterstützt noch keine sub domains. D.h. es nimmt die Hauptdomain für einen Login und unterscheidet nicht anhand verschiedener sub domains (auf denen ja verschiedene Dienst mit unterschiedlichen Logins liegen können).
Das bremst meinen Umstieg doch erstmal aus :(
Ist aber schon Thema auf github und kommt bestimmt...
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat