Vaultwarden + fail2ban

[karlhubert]

Hallo,

eine Frage, ich setze Vaultwarden schon ein Weilchen ein und es funktioniert auch soweit.
Jetzt wollte ich noch fail2ban als Container einsetzen, bekomme aber das Log von Vaultwarden nicht zum Laufen.

Im Container Vaultwarden habe ich als Volumen das Verzeichnis docker/log und als Mount-Pfad /log verwenden. Ebenso docker/bitwarden und als Mount-Pfad /data
Die Daten bzw. Datenbank werden in den /data Pfad gespeichert.

Unter Umgebung habe ich LOG_FILE und als Wert /log/vaultwarden.log Dort wird aber nichts eingetragen, die Datei bleibt leer.

Wo sehe ich den Wald vor lauter Bäumen nicht?

Danke

 

[karlhubert]

Keiner einer eine Idee?
Oder braucht ihr noch Angaben?

 

[Thonav]

Moin - habe auf die Schnelle nur folgende Anleitung gefunden. Dort sind 2 Vorgehensweisen dargestellt, einmal mit und einmal ohne Reverse-Proxy. Vielleicht hilft es Dir ja.

 

[karlhubert]

Danke für die Antwort. Dsa kenne ich bereits, allerdings hilft mir das mit dem leeren Log nicht weiter

 

[ebusynsyn]

@karlhubert

Bei mir läuft fail2ban seit heute einwandfrei. Es war aber eine sehr lange Odyssee von mehreren Stunden verteilt auf einige Tage und Wochen.

Seit heute werden IP's automatisch gesperrt und ich kann sie falls nötig Manuel wieder entsperren. Die Kombination von f2b, mit ReverseProxy, Zertifikat, 2FA und sehr gutem Passwort gibt mir ein gutes Gefühl bei der Nutzung von Bitwarden. Bitwarden ist bei mir von extern erreichbar.

Ich hatte Probleme mit dem Pfad von f2b sein Logfile ablegen soll. Gelöst habe ich es so, dass ich das F2B Logfile in ein anderes Verzeichnis route. Er mit dieser Anpassung war es überhaupt möglich den f2b-Container zu starten.

Danach lief f2b, IPs wurden gebannt, aber es war trotzdem möglich, via Browser über die eigentlich gesperrte IP mit den richtigen Anmeldedaten bei Bitwarden anzumelden. Dieses Problem konnte dann mit einer Anpassung der Zeile 'action' in der 'vaultwarden.conf' gelöst. Die Lösung habe ich hier gefunden.

Um bei Deinem Bild mit dem Wald zu bleiben, würde ich sagen, der Wald lichtet sich, wenn Dir klar wird, was f2b eigentlich macht. Kapiert habe ich das erst nach vielem Ausprobieren und lesen. Wichtig ist, dass f2b das Logfile von Bitwarden lesen kann. In der Folge muss f2b in der Lage sein, sein Logfile dort abzulegen, wo schreib/lese-Rechte für fail2ban vorhanden sind. Das war bei mir das erste oben beschriebene Problem.

Demnächst versuche ich f2b bei einer anderen Anwendung einzusetzen, die keine 2FA anbietet von extern aber erreichbar sein sollte.

 

[alexhell]

Ich setze für sowas github.com/linuxserver/docker-swag ein. Reverse Proxy mit integriertem f2b und ganz einfacher Möglichkeit authelia einzubinden und so für jede Anwendung 2FA extra zu haben. Auf Wunsch mit Zertifikat und automatischer Verlängerung

 

[ebusynsyn]

@alexhell

Danke für den Tipp. Ich hatte mich mit swag auch beschäftigt. Konnte aber keine Informationen dazu finden, die meinen bescheidenen Kenntnissen entsprachen und war nicht mal in der Lage einen Ansatz zu entwickeln und dann darauf aufzubauen. Ich spreche nicht von einer Schritt-für-Schritt Anleitung sondern eher von Erfahrungsberichten, Hinweisen, Gedanken und Umsetzungsvorschlägen, die ich verstanden hätte.

Allenfalls mache ich doch nochmal einen Versuch mit swag. Offenbar gibt es ja einen Docker-Container. Das wäre schon mal ein erster Ansatz

 

[alexhell]

Ich bin damit sehr zufrieden. Man kann mit einem Docker Mod auch ein Dashboard bekommen, dann sieht man wie viele gebannt würden und wieso usw... Auch welche Seiten aufgerufen würden. Wenn Interesse besteht kann ich gerne meine docker-compose Posten.

 

[Thonav]

Gibts einen Link zur Einrichtung, @alexhell ?
Von Dir auch den Lösungswe, @ebusynsyn ?
Danke

 

[Tuxnet]

@alexhell

Ja bitte, poste mal alles zum Thema swag

 

[ebusynsyn]

@Tuxnet @alexhell @Thonav

Ich habe das hier noch gefunden: https://www.youtube.com/watch?v=Uo_453_SaP4 Ist sehr aktuell. Ich glaube, das könnte ein Ansatz sein, den ich vor einiger Zeit gesucht und nicht gefunden habe.

 

[alexhell]

Beim Link im vorherigen Post (https://github.com/linuxserver/docker-swag) ist alles beschrieben. Auch ein Beispiel für die Docker-compose. Wenn man authelia integrieren will dann ist hier eine Anleitung https://www.linuxserver.io/blog/2020-08-26-setting-up-authelia. Das ist mit SMS für 2FA. Das hab ich bei mir nicht konfiguriert weil ich eh nur TOTP nutze.
Zu den Docker Mods (Dashboard usw.) findet man hier die Mods und Beispiele
https://mods.linuxserver.io/?mod=swag
An meine docker-compose komme ich gerade nicht ran, weil ich unterwegs bin und erst nächste Woche ran komme.

 

[alexhell]

Vielleicht ist das auch noch was https://docs.linuxserver.io/general/swag

 

[ebusynsyn]

@Thonav

Den Königsweg habe ich in den weiten des Internets nicht gefunden. Du wirst vermutlich nicht darum herumkommen Deinen eigenen Weg zu finden. Hilfreich für mich war diese Seite.

Sehr verwirrend ist die Tatsache, dass bei gewissen f2b Installationen *.conf files erstellt werden müssen, bei anderen wiederum sollen es *.local Files sein. Inhaltlich sind sie dann wieder sehr ähnlich. Ich habe zum Beispiel nur *.conf Files mit Ausnahme des ip-tables-Files.

Weil Bitwarden/Vaultwarden auf verschiedene Arten installiert werden kann - so meine Erfahrungen - muss auch f2b auf unterschiedliche Arten zum Laufen gebracht werden. Dazu kommt der Umstand, dass der Container früher bitwarden hiess, heute heisst er vaultwarden. Das wiederum hat zur Folge, dass die Pfade der diversen Anleitungen zu fail2ban nicht 1:1 übernommen werden können.

Gut ist auch, dass im Protokoll des Containers Hinweise gegeben werden, ob es gut läuft oder nicht. Errors werden ausgegeben und diese können dann abgearbeitet werden.

 

[alexhell]

Ich kam doch an meine docker-compose von unterwegs. Hier ist sie...

version: "2.1"
services:
  swag:
    image: lscr.io/linuxserver/swag:latest
    container_name: swag
    restart: unless-stopped
    cap_add:
      - NET_ADMIN
    environment:
      - TZ=Europe/Berlin
      - DOCKER_MODS=linuxserver/mods:swag-dashboard|linuxserver/mods:swag-auto-reload
      - URL=DeineDomain
      - SUBDOMAINS=wildcard #so lassen wenn du eine Wildcards nutzen willst
      - VALIDATION=dns #hier musst du wahrscheinlich http stat dns eintragen
      - DNSPLUGIN=cloudflare #und das müsste dann weg
      - EMAIL=deineEmailFürLE
    volumes:
      - /storage/docker/swag/config:/config
    ports:
      - 443:443
      - 80:80
      - 81:81
  authelia:
    image: ghcr.io/authelia/authelia:latest
    container_name: authelia
    user: "0:0" #hier den richtigen User eintragen
    environment:
      - TZ=Europe/Berlin
    volumes:
      - /storage/docker/swag/authelia:/config
    restart: unless-stopped

Bei mir läuft das auf einem Raspberry Pi und ich nutze statt Dyndns meine Domain die ich über Cloudflare verwalte. Die config für authelia findest du in der Anleitung oder ansonsten sag bescheid wenn da was unklar ist.
Ich habe nämlich auch die config von da und angepasst. ich habe für authelia z.b. kein Mailversand eingerichtet,weil ich das nur für mich einmal einrichten musste. Da habe ich als notifier eine Datei angegeben (das wird nicht empfohlen) und da wird der Text der Mail gespeichert. Daher wäre meine config wahrscheinlich nicht für alle optimal

 

[ebusynsyn]

@alexhell

Bevor ich mich in das Thema reinknien werde, noch eine generelle Frage: Ich nutze DynDNS via Noip - habe also keine feste ip bzw. keine eigene Domain. Funktioniert SWAG mit Authelia etc. auch mit DynDNS?

 

[alexhell]

Ja das funktioniert. Ich habe auch keine feste IP. Und ob eigene Domain oder Dyndns spielt dafür keine Rolle. Es muss nur über die Domain erreichbar sein

 

[oby]

Keiner einer eine Idee?
Oder braucht ihr noch Angaben?

Hallo, konntest du das Problem lösen, hab das selbe und wäre für einen Tipp dankbar.

LG
Oliver