Synology [Tuto] Installer Vaultwarden avec une sauvegarde automatique des données (nouvelle version)

[hyperion57070]

@MilesTEG
Tout d'abord je voulais te dire un immense merci pour le tuto que tu as fait sur la mise en place ultra complète de ce docker.
J'ai mis en place tout ça depuis plusieurs mois maintenant et je suis vraiment ravi d'avoir ma propre solution de coffre fort accessible sur tous mes devices

Cependant je viens de découvrir par hasard (heureusement) que mes sauvegardes de conf (local sur le Syno) ne sont pas fonctionnelles.
Je dis fonctionnelle car la sauvegarde se fait (avec une rotation des 5 dernières conf comme indiqué dans mon fichier de conf), SAUF QUE au moment de saisir le MDP, l'archive me dit que le MDP est erroné !
J'ai essayé de modifié le MDP dans le cas où un caractère bizarre ferait planter le truc, puis j'ai relancé le docker évidemment pour que le fichier de config soit pris en compte mais rien à faire, systématiquement l'archive est inaccessible pour cause de MDP faux.

Aurais-tu une piste car je ne vois pas du tout ce que j'ai fait d'incorrect ?

Merci d'avance en tout cas.

Guillaume

 

[MilesTEG]

@MilesTEG
Tout d'abord je voulais te dire un immense merci pour le tuto que tu as fait sur la mise en place ultra complète de ce docker.
J'ai mis en place tout ça depuis plusieurs mois maintenant et je suis vraiment ravi d'avoir ma propre solution de coffre fort accessible sur tous mes devices

Cependant je viens de découvrir par hasard (heureusement) que mes sauvegardes de conf (local sur le Syno) ne sont pas fonctionnelles.
Je dis fonctionnelle car la sauvegarde se fait (avec une rotation des 5 dernières conf comme indiqué dans mon fichier de conf), SAUF QUE au moment de saisir le MDP, l'archive me dit que le MDP est erroné !
J'ai essayé de modifié le MDP dans le cas où un caractère bizarre ferait planter le truc, puis j'ai relancé le docker évidemment pour que le fichier de config soit pris en compte mais rien à faire, systématiquement l'archive est inaccessible pour cause de MDP faux.

Aurais-tu une piste car je ne vois pas du tout ce que j'ai fait d'incorrect ?

Merci d'avance en tout cas.

Guillaume

Salut @hyperion57070
C’est en effet embêtant, va falloir que je regarde si les miennes présentent le même symptôme.

En attendant, faudrait aller voir le dépôt github du conteneur de backup.

 

[hyperion57070]

Salut @hyperion57070
C’est en effet embêtant, va falloir que je regarde si les miennes présentent le même symptôme.

En attendant, faudrait aller voir le dépôt github du conteneur de backup.

Je pense pas que ce soit un problème général sinon ça ferait beaucoup de bruit.
Non je dois louper quelque chose mais je vois pas quoi car le reste des paramètres semblent OK :
- les backup arrivent dans le bon dossier
- la rotation de 5j fonctionne bien
- et plus globalement tout le reste fonctionne ^^

ça doit être tellement gros comme le nez au milieu de mon visage que je vois pas ce qui déconne

Par contre je suis un néophyte absolu par rapport à github, c'est juste un dépôt non ?
On peut poser des questions et faire son feedback qqpart ?

 

[hyperion57070]

Bon ok je suis un ENORME boulet et je vois à quel point j'ai encore besoin d'apprendre sur le fonctionnement des dockers
En fait je modifiais le fichier "docker-compose.yml" que j'avais utilisé pour créer mon docker.

Du coup il y avait encore le PWD par défaut "WHEREISMYPASSWORD" et du coup je confirme : CA FONCTIONNE

Bon par contre du coup j'ai modifié la valeur directement au niveau de la configuration du docker dans container manager et j'ai modifié l'heure de génération de la conf pour pouvoir la tester mais la patatra : aucune nouvelle configuration.
J'éteins bien le conteneur et je le relance, je vois même dans les log que mes paramètres ont été pris en compte, mais la conf ne change pas.






J'ai même également stoppé et relancer le conteneur vaultwarden tout court en complément de waulwarden backup mais rien n'y fait.

Quand on modifie un paramètre, quelle action faut-il faire pour quelle soit prise en compte immédiatement ?

 

[CyberFR]

J'éteins bien le conteneur et je le relance, je vois même dans les log que mes paramètres ont été pris en compte, mais la conf ne change pas.

Quand on modifie un paramètre, quelle action faut-il faire pour quelle soit prise en compte immédiatement ?

Je te réponds de mémoire car j'utilise Portainer. Dans Container Manager il faut recréer le projet pour que les modifs au niveau du fichier de config (compose.yaml) soient prises en compte. Le fait d'arrêter le projet puis de le relancer n'est pas suffisant.

Il y a une option pour réinitialiser un projet après avoir arrêté le container qui en dépend.

 

[jeu2]

Quand on modifie un paramètre, quelle action faut-il faire pour quelle soit prise en compte immédiatement ?

Je fais cette procédure qui fonctionne sur les containers que j'utilise.
Dans Container Manager, après avoir fait 'Arrêt' et modifié des paramètres, je fais 'Action' 'Réinitialiser' puis 'Démarrer' .

 

[MilesTEG]

Salut à tous

J'ai une question sur l'utilisation de SSH-Agent (sur mon mac, mais je pense que ça doit être valable pour Windows ou Linux...)

J'ai voulu essayer d’utiliser le SSH-Agent dans mon terminal iTerm2 sur macOS.

Toutes les applications sont à jour.

J’ai rencontré une chose ennuyeuse en activant le SSH-Agent dans mon fichier de configuration zshrc avec :

export SSH_AUTH_SOCK=/Users/milesteg/Library/Containers/com.bitwarden.desktop/Data/.bitwarden-ssh-agent.sock

J’ai déjà dans mon ~/.ssh/config toutes mes clés référencées, qui sont dans le même dossier.
Lorsque j’utilise une commande ssh xxx, il n’y a aucune confirmation requise avec l’application Bitwarden, mais lorsque j’utilise un script qui lance une commande ssh, je reçois une fenêtre contextuelle dans bitwarden me demandant une confirmation pour accéder à la clé ssh stockée dans mon coffre-fort Bitwarden :



Chaque fois que mon script lance une commande ssh, je reçois ce message.

Quelqu'un sait s'il est possible d’accorder l’accès à mon script sans besoin de confirmation ? (bien sûr, seulement lorsque Bitwarden est ouvert et que mon coffre-fort est déverrouillé).

Merci pour l’aide.

Miles

 

[lacouelle]

suite à mon poste Quel gestionnaire de mot de passe ?, je rebalance mes questions ici :

@MilesTEG , @EVO, @morgyann, @CyberFR

j'ai créé en amont le repertoire et sous-répertoire de vaultwarden ; ça c'est dans mes cordes ...ouf !

- Fail2Ban : Quel est l'intérêt de fail2ban aujourd'hui avec le 2FA et le port SSH changé sur la box ? ca fait vraiment du sens de l'avoir ? car mis à part savoir qu'on des intrusions, etc, j'ai l'impression qu'on essaye d'avoir ceintures, bretelles, et double-slobards pour ne pas se retrouver à poil.

- NDD - nom de domaine dédié : après avoir échangé avec @morgyann, j'ai changé de mailbox pour les suisses de chez Infomaniak, avec un domaine dédié. donc NDD j'ai aussi , mais me faut-il un nom de domaine dédié par appli docker ? je pense que non et que ce sont les ports qui permettront de rediriger vers telle ou telle appli. J'ai bon ?
ceci dit le nom de domaine est maintenant rattaché à mon routeur, donc il me faut aussi un nom de domaine pour le NAS ?

- Notification Push : j'ai compris qu'il fallait aller sur le lien GitHub dédié pour obtenir les ID's, Key's...


- En revanche pour la partie 'envoi d'emails', j'ai regardé ce lien indiqué dans le fichier .yml. Ce qui me met un doute ce sont les parametres ci-dessous :
les $, {, } ca indique des variables qui seront renseignées quelque part ?
ou bien il suffit de mettre ces paramètres tels qu'indiqués dans le lien ?
- SMTP_HOST=${SMTP_HOST}
- SMTP_PORT=${SMTP_PORT}
- SMTP_SECURITY=${SMTP_SECURITY}
- SMTP_USERNAME=${SMTP_USERNAME}
- SMTP_PASSWORD=${SMTP_PASSWORD}
- SMTP_FROM=${SMTP_FROM}
- SMTP_FROM_NAME=${SMTP_FROM_NAME}

- Reverse Proxy : j'ai compris le principe mais je passe par quelle appli ? NGINX ? si oui il faut que j'ajoute Nginx sous docker

Vous aurez donc vite cerné mon niveau avec ces questions. , mais (i) je ne demande qu'à apprendre et (ii) je ne veux pas non plus me lancer dans une installation avec des applis que je ne vais etre capable de gérer..

Merci par avance pour vos réponses
Yann

 

[jeu2]

Fail2Ban : Quel est l'intérêt de fail2ban aujourd'hui

Bloquer les tentatives de connexions répétées qui voudraient exploiter une faille du F2A par exemple ou une autre. C'est le principe de la faille, laisser un accès alors qu'on suppose que tout est verrouillé. Des tentatives répétées de connexions qui n'aboutissent pas sont forcément suspectes!
Si on ne sait pas pourquoi ils insistent, eux le savent!

Sur synology le reverse proxy est dans Panneau de config, portail de connexion, avancé.

 

[morgyann]

Sur synology le reverse proxy

@lacouelle configure son proxy inversé sur son Ugreen

 

[morgyann]

- Reverse Proxy : j'ai compris le principe mais je passe par quelle appli ? NGINX ? si oui il faut que j'ajoute Nginx sous docker

Il est "impératif" d'être en https pour que cela fonctionne.
Donc étape 1 - configurer ton app de Proxy Inversé
Tu installes soit NginxProxyManager

GitHub - NginxProxyManager/nginx-proxy-manager: Docker container for managing Nginx proxy hosts with a simple, powerful interface

Docker container for managing Nginx proxy hosts with a simple, powerful interface - NginxProxyManager/nginx-proxy-manager

github.com

(perso je n'ai testé que NPM - j'ai trouvé cela assez convivial et clair)
ou Traefik ou Caddy ou SWAG ... - ils s'installent via docker - à toi de choisir

Fail2Ban

Pour ma part, j'ai fait au + simple :
1. Créer et rediriger un "sous domaine"
2. Configurer ce NDD sur un port au choix
3. Développer l'app :
image : 'vaultwarden/server = latest'
volume : serveur/Appdata/vaultwarden/data = /data
ports : '10580 (au choix en corresp avec proxy Inv) = 80'
restart : unless-stopped
4. ouvrir la page sur ton ndd et créer un compte
5. Configurer la clé API
6. Enjoy (comme ils disent )

En revanche pour la partie 'envoi d'emails',

- SMTP_HOST=mail.infomaniak.com
- SMTP_PORT=465
- SMTP_SECURITY=force_tls
- SMTP_USERNAME=lacouelle@mapomme.fr
- SMTP_PASSWORD=monmotdepasse
- SMTP_FROM=lacouelle@mapomme.fr
- SMTP_FROM_NAME=lacouelle@mapomme.fr

 

[jeu2]

@lacouelle configure son proxy inversé sur son Ugreen

@lacouelle C'est un fil de discussion Synology!

je rebalance mes questions ici

Plutôt que 'rebalancer' comme tu dis, ouvre un sujet dans la bonne section, une seule fois.

 

[lacouelle]

C'est un fil de discussion Synology!

Alors oui effectivement je viens de voir, mais ce post en lien m'a été gentiment donné suite à un message posté dans la premiere section , sécurité,

Plutôt que 'rebalancer'

et comme c'était un tuto, ca doit etre grosso - modo la meme chose car sous docker, à quelques modifs près.
Pour le "rebalancer", la signification qu'il faut lire ici c'est transférer et non pas 'j'm'en tape, démerdez vous avec ma requête'.
mais tu as raison, on peut aussi ouvrir un tuto sur Ugreen....ou alors peut etre faire une section globale Docker / container

 

[CyberFR]

mais tu as raison, on peut aussi ouvrir un tuto sur Ugreen....ou alors peut etre faire une section globale Docker / container

À quoi bon ? L'intervention de @jeu2 est capillotractée. Il n'y a qu'un seul tuto sur Vaultwarden et @lacouelle est dans le bon fil de discussion. Une application sous docker est indépendante du NAS sur lequel elle est implantée mais doit respecter le cahier des charges du développeur.

Il a été question de créer une branche "Applications docker" qui concernerait tous les NAS mais cette bonne idée n'a pas encore été appliquée à ma connaissance.

 

[EVO]

Il a été question de créer une branche "Applications docker" qui concernerait tous les NAS

Oui, la demande est ici : https://www.forum-nas.fr/threads/une-section-ou-un-sujet-dédié-tuto-docker.19609/

mais cette bonne idée n'a pas encore été appliquée à ma connaissance.

Effectivement et je pense que c'est en partie ( complètement ? ) ma faute Docker n'est pas complètement indépendant du systeme ou on l'install. Un tuto docker QNAP ne marchera pas forcément sur Synology, et inversement.
Pour donner des exemples, DSM ne gère pas officiellement Wireguard. Tous les tutos docker a base wireguard ne fonctionnent donc pas sans "bidouille" kernel.
Du fait de la gestion du reverse sur DSM, un SWAG sur DSM, bien que fonctionnel, va se retrouver avec des fonctionnalités bridées, comme par exemple fail2ban qui n'arrivera pas a déterminer les IP publiques des visiteurs.

 

[PackTu]

Hello,

Reverse Proxy : j'ai compris le principe mais je passe par quelle appli ? NGINX ? si oui il faut que j'ajoute Nginx sous docker

Perso je conseil NPM comme renverse proxy qui a l'avantage ou tout la configuration est faite dans une interface graphique.
Pour l'installation sur UGREEN il y a un tutoriel sur Marius Hosting.avec du pas a pas.

Après si on veut aller plus loin il y a un fork NPMplus qui intègre Crowdsec, geoIP... GitHub

 

[CyberFR]

Pour donner des exemples, DSM ne gère pas officiellement Wireguard. Tous les tutos docker a base wireguard ne fonctionnent donc pas sans "bidouille" kernel.
Du fait de la gestion du reverse sur DSM, un SWAG sur DSM, bien que fonctionnel, va se retrouver avec des fonctionnalités bridées, comme par exemple fail2ban qui n'arrivera pas a déterminer les IP publiques des visiteurs.

Effectivement, l'indépendance entre les applications docker et l'OS des NAS n'est pas totale. Mais les limitations peuvent être indiquées, pour rappel, en début de tuto. Quand j'installe une nouvelle application sous docker je ne lis pas forcément des articles qui ciblent l'environnement Synology.

 

[MilesTEG]

On s'égare du sujet Vaultwarden ici.
Merci de rester sur cela.

Pour répondre à @lacouelle et @jeu2 : Je préfère ne pas traiter ici des demandes autres que celles qui tournent autour de Vaultwarden, car ce n'est pas le sujet.
Donc pour tout ce qui n'aura pas de réponse ici, merci de créer un nouveau sujet dans la bonne section.

Je rejoins aussi @EVO sur les applications docker qui sont assez dépendantes de l'OS hôte de Docker.
Cependant, Vaultwarden ne m'a jamais posé de problème à être transféré sur une autre machine, si ce n'est l'adaptation des chemins d'accès. J'ai déplacé ma stack Vaultwarden sur un NAS Asustor sans soucis, puis sur un NUC Geekom Proxmox dans une VM Debian avec Docker, puis dans un LXC Debian également.

Je pense que tout ce qui touche à l'installation via docker peut être traduit facilement à toutes machines.
Seuls les éléments spécifiques à Synology ne seront pas transposables.

Alors, pour te répondre @lacouelle :

- Fail2Ban : Quel est l'intérêt de fail2ban aujourd'hui avec le 2FA et le port SSH changé sur la box ? ca fait vraiment du sens de l'avoir ? car mis à part savoir qu'on des intrusions, etc, j'ai l'impression qu'on essaye d'avoir ceintures, bretelles, et double-slobards pour ne pas se retrouver à poil.

Fail2ban protège ton installation des tentatives de connexion échouées par la méthode bruteforce.
Même si tu as du 2FA, c'est toujours utile, je t'assure.
Je n'ai d'ouvert que le port 443 (avec deux autres pour la synchronisation de Synology Drive, et un serveur Wireguard dans mon HAOS). Et j'ai parfois des notifications fail2ban pour certains services, mais souvent c'est pris par Crowdsec avant F2B.
Et surtout, tu oublies que certains services n'ont pas de 2FA ...
Donc ça ajoute une petite couche de sécurité.

Mais mon conseil, en plus de l'utiliser, c'est de bloquer toutes les IP hors FR dans le parefeu de ton routeur si tu en as un, sinon dans ton reverse proxy avec Maxmind Geoblock.

- NDD - nom de domaine dédié : après avoir échangé avec @morgyann, j'ai changé de mailbox pour les suisses de chez Infomaniak, avec un domaine dédié. donc NDD j'ai aussi , mais me faut-il un nom de domaine dédié par appli docker ? je pense que non et que ce sont les ports qui permettront de rediriger vers telle ou telle appli. J'ai bon ?
ceci dit le nom de domaine est maintenant rattaché à mon routeur, donc il me faut aussi un nom de domaine pour le NAS ?

Un ndd chez infomaniak, c'est très bien Prenons l'exemple de lacouelle.fr.
Tu fais une redirection *.lacouelle.fr de vers lacouelle.fr , et ensuite, ce sera ton reverse proxy qui fera un certificat wildcard pour *.lacouelle.fr donc tu n'auras pas besoin de créer un nom de domaine par service.
Tu pourras utiliser mon_coffre.lacouelle.fr comme adresse pour Vaultwarden.

- Notification Push : j'ai compris qu'il fallait aller sur le lien GitHub dédié pour obtenir les ID's, Key's...

C'est cela. Il n'y a plus besoin de trafiquer le fichier de configuration de nginx.

- En revanche pour la partie 'envoi d'emails', j'ai regardé ce lien indiqué dans le fichier .yml. Ce qui me met un doute ce sont les parametres ci-dessous :
les $, {, } ca indique des variables qui seront renseignées quelque part ?
ou bien il suffit de mettre ces paramètres tels qu'indiqués dans le lien ?
- SMTP_HOST=${SMTP_HOST}
- SMTP_PORT=${SMTP_PORT}
- SMTP_SECURITY=${SMTP_SECURITY}
- SMTP_USERNAME=${SMTP_USERNAME}
- SMTP_PASSWORD=${SMTP_PASSWORD}
- SMTP_FROM=${SMTP_FROM}
- SMTP_FROM_NAME=${SMTP_FROM_NAME}

Pour ces variables environnement, tout va dépendre de comment tu utilises le fichier docker-compose.
En ligne de commande ? via Portainer ? Via une autre GUI ?
Si c'est en ligne de commande, tu fais un fichier vaultwarden.env dans le même dossier, et tu ajoutes

services:
  vaultwarden:
  ...
    env_file: "vaultwarden.env"
  ...

(voir ici : https://docs.docker.com/compose/how...ronment-variables/#use-the-env_file-attribute )

Si c'est via Portainer, tu peux conserver ton fichier vaultwarden.env , mais il faudra l'importer dans Portainer, ce dernier se chargeant de faire ce qu'il faut ensuite :

Using ENV files in Stacks with Portainer

How to use ENV files in Portainer Stacks

www.portainer.io

Si tu ne veux pas utiliser un .env (ce qui serait dommage), il te faudra remplacer toutes les ${blabla} par la valeur que tu souhaites donner. C'est donc moins sécurisé que de tout mettre dans un .env.

- Reverse Proxy : j'ai compris le principe mais je passe par quelle appli ? NGINX ? si oui il faut que j'ajoute Nginx sous docker

Tu as plein de choix, mais pense au fait que tu vas devoir générer un certificat wildcard pour ton domaine.
Je ne connais que SWAG qui permet de faire celà, sans trop de difficultés/complexités.
NPM devrait pouvoir faire aussi le travail.

Vous aurez donc vite cerné mon niveau avec ces questions. , mais (i) je ne demande qu'à apprendre et (ii) je ne veux pas non plus me lancer dans une installation avec des applis que je ne vais etre capable de gérer..

Il faut bien commencer un jour ^^
Bon courage, et persévère

 

[PackTu]

Tu as plein de choix, mais pense au fait que tu vas devoir générer un certificat wildcard pour ton domaine.
Je ne connais que SWAG qui permet de faire celà, sans trop de difficultés/complexités.
NPM devrait pouvoir faire aussi le travail.

Je confirme les certificats wildcard sont très bien géré par NPM.

 

[CyberFR]

Si c'est via Portainer, tu peux conserver ton fichier vaultwarden.env , mais il faudra l'importer dans Portainer, ce dernier se chargeant de faire ce qu'il faut ensuite :

J'ai recherché l'option permettant d'importer un fichier d'environnement dans Portainer et je la cherche encore ! Je pense que c'est au niveau des Stacks mais je n'ai rien trouvé.

C'est une limitation de Portainer qui ne traite pas des fichiers sur disque comme le fait Container Manager mais opère directement en RAM.