Synology Mes premiers pas avec Vaultwarden

CyberFR

CyberFR

Chevalier Jedi
17 Février 2021
169
39
68
Compiègne
J'ai installé Vaultwarden tout récemment (Merci @MilesTEG1) et je partage mes premières impressions.

J'utilisais depuis des années 1Password dont j'étais très satisfait. Mais la version autonome dont je disposais, qui stockait tous mes mots de passe localement sur mon ordinateur, sera abandonnée en juillet. L'idée d'héberger mes mots de passe sur un cloud ne me plaisait pas, mais alors pas du tout. D'autant que j'ai appris que le site de 1Password avait été attaqué et il n'est pas le seul.

Après moultes recherches sur le net j'ai compris qu'il n'était pas facile de trouver un gestionnaire de mots de passe qui permette d'héberger ses données localement comme le faisait 1Password. Mais il y avait Vaultwarden.

J'ai d'abord installé la version desktop mais je me suis rendu compte que les données étaient hébergées sur le site de Vaultwarden. Pas le choix, je devais me tourner vers la version Docker.

Elle est opérationnelle depuis ce matin et c'est un vrai bonheur, même si l'installation n'est pas complète puisque je dois entre-autres gérer les sauvegardes, L'application tourne sur à peu près toutes les plateformes. On pourrait acheter un NAS rien que pour elle :)

Première question, un e-mail est envoyé à chaque fois que je me connecte à l'application. Il dit qu'un nouvel équipement s'est connecté alors que c'est toujours la même IP et le même navigateur qui apparaissent. Quelqu'un est confronté au même problème ?
 

Pièces jointes

  • PJ.jpg
    PJ.jpg
    102.1 KB · Affichages: 6
  • J'aime
Réactions: MilesTEG
Salut @Mychkine 👋
Mychkine a dit:
Première question, un e-mail est envoyé à chaque fois que je me connecte à l'application. Il dit qu'un nouvel équipement s'est connecté alors que c'est toujours la même IP et le même navigateur qui apparaissent. Quelqu'un est confronté au même problème ?
Cliquez pour agrandir...
J'ai le même comportement. Ça peut être pénible, mais au moins tu sais que ton compte vient d'être utilisé 😅

En allant voir l'interface admin, j'ai un beau warning : 1683545610398.png

😅 faut que je fasse la manip du token chiffré.
Sinon, je n'ai rien trouvé en réglages pour ne pas recevoir d'email de connexion.
Tu peux augmenter la durée entre deux emails de vérification de compte si le 2FA email est activé.
 
You are using a plain text 'ADMIN_TOKEN which is insecure.
Cliquez pour agrandir...
Et oui @MilesTEG1, même un Jedai doit être à jour...

Tu peux augmenter la durée entre deux emails de vérification de compte si le 2FA email est activé.
Cliquez pour agrandir...
La vérification 2FA est activée. Mais l'envoi d'e-mails n'est qu'un détail dans l'histoire compte tenu de ce qu'apporte Vaultwarden.
 
Bonjour,

J'aurais pu importer tous les mots de passe de 1Password dans Vaultwarden en une seule fois, juste une exportation suivie d'une importation. Ben non, ce n'est pas propre parce que 1Password gère tout un tas de tags utilisés en interne par l'application qu'il exporte avec le reste.

J'ai donc choisi d'importer les mots de passe et les données associées telles que les URL ou les notes par copier/coller dans Vaultwarden, un par un. Ainsi ce dernier n'est pas pollué inutilement.

Et comme ça ne suffit pas, je me rends sur chacun des sites où un mot de passe a été défini ce qui me permet de vérifier que je ne me suis pas planté dans les copier/coller. Croyez le ou pas mais c'est un superbe voyage où je retrouve avec émotion des sites que je n'avais pas fréquenté depuis bien longtemps. J'ai même trouvé des sites qui disposent d'un mot de passe mais qui ne figurent pas dans les signets du navigateur ! Ça me permet de faire le grand ménage de printemps.

Une question aux experts. À quoi servent les champs masqués si on peut les démasquer dans le navigateur ? On ne se complique pas la vie pour rien ?
 
J'ai découvert l'utilisation du regex avec >Vaultwarden et c'est tout simplement génial. Quelle puissance !
 
Le portage des mots de passe de l'ancienne application vers Vaultwarden, avec la possibilité de créer des dossiers ce qui est un plus, change radicalement l'organisation générale. Cela aura aussi des répercutions dans la hiérarchie des signets des navigateurs utilisés.
 
Mychkine a dit:
Le portage des mots de passe de l'ancienne application vers Vaultwarden, avec la possibilité de créer des dossiers ce qui est un plus, change radicalement l'organisation générale. Cela aura aussi des répercutions dans la hiérarchie des signets des navigateurs utilisés.
Cliquez pour agrandir...
Pourrais-tu détailler un peu plus ? Et/ou expliciter différemment, car je n'ai pas tout compris 😅
 
@MilesTEG1 a dit :
Pourrais-tu détailler un peu plus ? Et/ou expliciter différemment, car je n'ai pas tout compris 😅
Cliquez pour agrandir...
Alors là c'est le monde à l'envers ! Que je ne comprenne pas tout ce que tu dis compte tenu de la technicité de tes propos, c'est normal mais l'inverse m'étonne :)

Je voulais dire que, à l'occasion de la mise en place de Vaultwarden, j'ai dû réfléchir à l'organisation générale des mots de passes que j'ai modifiée. Un exemple : à chaque fois que je cré un nouveau mot de passe dans Vaultwarden à partir de son équivalent dans 1password, je vérifie qu'il est utilisable car un jour je n'aurai plus 1Password comme bouée de secours. Combien de fois ai-je pesté parce que je ne trouvais pas le site concerné dans les bookmarks de Firefox. Et si j'ai du mal à trouver le site, c'est parce que sa place dans la hiérarchie des signets ne correspond pas à son équivalent dans la hiérarchie de Waultwarden. C'est pourquoi j'ai dit plus haut que cela aura aussi des répercutions dans la hiérarchie des signets des navigateurs utilisés.

Cette mise en place m'aura permis de faire un grand ménage et ce n'est pas la faute de 1Password, même s'il ne sait pas gérer des dossiers. C'est parce que des strates se sont accumulées depuis des années sans que j'y prête attention. Vaultwarden m'aura obligé à faire le point.
 
Lassé de recevoir des e-mails de Vaultwarden indiquant qu'un nouvel utilisateur s'était connecté au portail du site alors qu'y figure chaque fois l'IP publique de ma box, j'ai créé un filtre : si From contient Vaultwarden et si le contenu du message contient l'IP publique de la box alors transférer le message vers la corbeille. Plus tard, avec les mêmes conditions ce sera supprimer le message.

J'espère que mon logiciel de messagerie est fiable sinon c'est la porte grande ouverte à tous les hackers :)
 
@Mychkine Je suis en train de me demander si tu n'aurais pas un souci de configuration de reverse proxy... Car tu sembles recevoir des notifications toujours de la même IP (pubique)... or si tu es sur ton ordinateur dans ton LAN, ça devrait être celle de ton ordi, donc une IP LAN...

Déjà, quel reverse proxy utilises-tu ?
As-tu mis des variables d'en-tête personnalisées ?
1684740310237.png
 
Salut @MilesTEG1 et merci pour ton aide,
J'utilise le reverse-proxy de DSM. Les réglages du proxy sont dans les fichiers joints. J'ai activé les Websockets mais je ne m'en sers pas pour l'instant.

Et dans le docker-compose.

ports:
- 3012:3012/tcp
- 3014:80/tcp
Cliquez pour agrandir...
 

Pièces jointes

  • PJ1.jpg
    PJ1.jpg
    148.4 KB · Affichages: 7
  • PJ2.jpg
    PJ2.jpg
    90.9 KB · Affichages: 7
  • PJ3.jpg
    PJ3.jpg
    124.8 KB · Affichages: 7
@MilesTEG1, rebonjour.
J'ai mis le même en-tête que celui donné dans ton exemple et j'ai viré le second. Quand j'accède au portail depuis Firefox, le message d'avertissement contient l'IP publique de la box mais quand j'y accède depuis Safari c'est l'IP locale du Mac qui figure (192.168.1.1) ???

Edition
Seule consolation, c'est que le filtre de messagerie fonctionne bien car le message avec l'IP locale ne termine pas à la corbeille puisque je filtre sur l'IP publique.
 
J'ai trouvé la cause de cette différence de comportement entre Firefox et Safari et aussi pourquoi le premier fournit une adresse IP publique. Dans Firefox j'ai en effet activé le DNS over HHPS et pas dans Safari qui en est bien incapable. Lorsque je désactive cette option, je retrouve la même adresse du LAN que pour Safari dans les messages de Vaultwarden.
 
  • J'aime
Réactions: MilesTEG
Mychkine a dit:
Dois-je comme dans ton exemple mettre un seul en-tête X-REAL-IP ?
Cliquez pour agrandir...
Non non, voir paragraphe 5.1.
Il te faut cette entrée mais aussi les deux du websocket.
Sache que ça ne suffira pas pour que la synchronisation automatique des extensions et applications desktop se fasse.
 
Mychkine a dit:
@MilesTEG1, rebonjour.
J'ai mis le même en-tête que celui donné dans ton exemple et j'ai viré le second. Quand j'accède au portail depuis Firefox, le message d'avertissement contient l'IP publique de la box mais quand j'y accède depuis Safari c'est l'IP locale du Mac qui figure (192.168.1.1) ???

Edition
Seule consolation, c'est que le filtre de messagerie fonctionne bien car le message avec l'IP locale ne termine pas à la corbeille puisque je filtre sur l'IP publique.
Cliquez pour agrandir...
Par contre, je n'ai pas trop saisi comment tu fais tes essais...
Que en local ? Ou à distance (via 4G par exemple) ?
 
  • J'aime
Réactions: MilesTEG
Mychkine a dit:
@MilesTEG1, quand je me connecte en 4G (qu'est-ce-que tu ne me fais pas faire ! :)) le message comporte l'adresse IP publique.
Cliquez pour agrandir...
Heu c'est-à-dire "l'ip publique" ? Celle de la connexion internet du NAS ? Ou bien celle de ta connexion 4G ?

Normalement, tu devrais avoir dans les logs l'adresse IP de ta connexion 4G. Si ce n'est pas le cas, tu as un souci à régler...

Mychkine a dit:
Ce qui me trouble, c'est que la double authentification n'a pas été demandée sur le smartphone.
Cliquez pour agrandir...
Avait-il déjà été connecté sur ton coffre ?
 
Vous devez vous connecter ou vous enregistrer pour répondre ici.
Haut Bas
Retour