Euer Passwort Manager?

[tomNeugier]

@tomNeugier Was genau willst du denn realisieren?

Habe deine Nachfrage heute erst gesehen.
Ein automatische, regelmäßige, zeitgesteuerte Sicherung meiner (verschlüsselten) Bitwarden Tresordaten in der Cloud.

Momentan sichere ich die Tresordaten (1.) per Hyper Backup intern auf einem zweiten NAS (täglich) und (2.) auf einer externen Festplatte monatlich. Ich möchte aber auch eine (3.) Sicherung außerhalb meiner Räume.
Das realisiere ich aktuell wöchentlich MANUELL durch Export der Tresordatei (.jason encrypted) auf einem (nochmals) verschlüsselten HiDrive Ordner (Strato). Das würde ich gern automatisieren.

 

[alexhell]

Das habe ich noch nicht probiert. Aber da bitwarden eine API hat, dürfte das nicht kompliziert sein. Ich probiers mal die Tage wenn ich Zeit habe.

 

[plang.pl]

Das habe ich auch noch nicht versucht. Zumindest in der offiziellen API-Dokumentation (https://bitwarden.com/help/bitwarden-apis/) und bei einer Suche hab ich dazu nix gefunden. Hier (https://bitwarden.com/help/backup-on-premise/) steht aber, dass eine Sicherung der Verzeichnisse ausreicht.
Ich habe meinen Vaultwarden Container so aufgesetzt, dass er in eine MariaDB schreibt und von dieser Datenbank fahre ich automatisierte SQL-Dumps.

 

[tomNeugier]

Ich finde hier unter "Vault contents you cannot export" -> "Three different export methods" -> "Password-encrypted export"
einen Hinweis, dazu das Bitwarden command-line interface (CLI) zu nutzen ...

Nutzt das hier jemand?

 

[plang.pl]

Davon hab ich tatsächlich noch nicht gehört. Interessant. Vielleicht schaue ich mir das mal an. Hab mir gleich mal die Linux CLI auf den Server gelegt.

 

[alexhell]

Ich hab mir eben mal die CLI runtergeladen. Hast du Attachments im Tresor? Es werden nämlich keine Anhänge mit exportiert.
Wenn du dir ein Script schreiben willst dann guck dir das mal an https://github.com/ckabalan/bitwarden-attachment-exporter/blob/master/bw-export.sh
Ohne Anhänge nur bis Zeile 15 relevant. Wenn du Anhänge hast dann alles.....
Du musst nur vorher

bw config server <server-url>

ausführen, damit deine Instanz verwendet wird und nicht Bitwarden.
Und dann noch anmelden:

bw login

Jetzt kannst du mit bw lock bzw. bw unlock den Tresor sperren oder entsperren.
Alles andere relevante kannst du im Script oben entnehmen.
Ist eigentlich ziemlich simpel das als automatisches Script laufen zu lassen.

 

[plang.pl]

Dass da keine Attachments exportiert werden, hatte ich gelesen. Ich hab aber auch keine
Ja genau das mit config und login hatte ich überflogen. Alles Weitere aber noch nicht. Wär aber schon cool, noch nen Export zu automatisieren. Wenn auch nur als zusätzliche Sicherheitssschicht. Ich hab schon geplant, die Tage mal drüberzuschauen

 

[tomNeugier]

Hast du Attachments im Tresor?

Nein.
Sieht ja gut aus !
Momentan knappe Zeit. Werde versuchen, bald mal auf die 15 Zeilen zu schauen ... Danke!
tom

 

[alexhell]

Das würde dann ja so in etwa reichen:

 export BW_SESSION=$(bw unlock --raw)
 bw sync --session $BW_SESSION
 bw export --output ./export.json --format encrypted_json --session $BW_SESSION --password $(curl <keyfile-url>)

Das würde folgendes machen:
1. Tresor entsperren und sich die Session ID speichern
2. Tresor nochmal synchronisieren
3. Ein JSON Export erstellen das mit einem PW geschützt ist. Damit das Passwort nicht hard gecoded im Script, würde ich es auslagern auf etwas, was nur intern per HTTP erreichbar ist. Dann kann niemand was mit dem JSON Anfangen und das Passwort ist nicht ersichtlich. Wenn man das --password weg lässt, dann werden die Einträge mit dem Encryption Key vom User verschlüsselt. Nachteil: Du kannst es bei keinem anderen Account (z.B. neu aufsetzen) importieren. Bei der Variante fragt er nach einem Passwort und es kann bei jedem User importiert werden. Es gibt noch als --format die Möglichkeit json oder CSV zu nutzen, aber das ist dann Klartext. Ob man das so sichern will, weiß ich nicht.....
Danach müsste man die Datei ja nur normal Backupen womit man seine Backups halt macht....

 

[plang.pl]

Das das Passwort für die exportierte Datei nicht im Script steht, ist mit Sicherheit sinnvoll, aber bei "bwlogin" steht ja das Master-Passwort drinne oder machst du das mit einem API-Key?

 

[plang.pl]

--session $BW_SESSION

Aber im Script steht doch als Kommentar, dass das hier nicht geht: # bw export does not seem to accept the --session parameter, so you have to enter your password here again

 

[alexhell]

Hmm ja ansonsten per API Key einloggen und danach wieder ausloggen. API Key kann man ja auch wieder holen.
Ich musste das Passwort nicht noch mal eintippen. Das ging bei mir durch. Aber ich habe das nur direkt auf der Shell probiert.

 

[alexhell]

Wegen dem Unlock:
Ich hab gerade das hier gelesen: https://bitwarden.com/help/cli/#unlock

bw unlock --passwordenv BW_PASSWORD
bw unlock --passwordfile ~/Users/Me/Documents/mp.txt

Man kann also das PW in einer ENV Variable setzen oder in eine Datei schreiben.
Man kann wohl auch EVNs setzen für die API Logins. Dann hat man immerhin nicht das Passwort da liegen. Aber leider geht laut https://bitwarden.com/help/personal-api-key/ nicht, dass man die Daten auslagert.....

Ich glaube ich befasse mich damit nicht weiter, weil ich sichere eh Vaultwarden stündlich auf eine andere Instanz + es wird auch ein DB Dump erstellt und es wird auch täglich gebackupt.... Das sollte reichen

 

[plang.pl]

Ja, reichen wird es. So mache ich das ja auch. Einfach, weil es mich interessiert, werde ich mich dennoch damit befassen

 

[wegomyway]

Vollzug kann gemeldet werden.
Meine beiden LastPass Vaults/Accounts (einmal der mobile Geräte und PC der andere) sind gelöscht. Dazu jeweils eingeloggt und jeden Eintrag einzeln gelöscht, das auch nix übrig bleibt. Kontaktdaten, sofern drin, ebenfalls raus/gelöscht, sofern machbar.
Am Ende mit doppelter Abfrage und 3facher Eingabe des Masterpasses Account gelöscht. umgehend Mail erhalten das "Lastpass Account deleted".
Isch haben fertisch