Как стать автором
Обновить

Комментарии 42

Использую в проде bitwarden_rs уже пару лет, реализация сервера bitwarden на rust, нереально быстр, много не кушает и не тянет за собой монстра mssql.

github.com/dani-garcia/bitwarden_rs

Я считаю, для менеджера паролей критично прохождение независимоого аудита безопасности. Для официального сервера его делали дважды, а тут нет

С другой стороны тащить на сервер .Net не очень хочется. Помимо реализации на Rust, есть еще реализации на Go и на Ruby on Rails. И согласен с Михаилом по сравнению с официальными у них общий недостаток — отсутствие аудита. Реализации можно чуть больше доверять, ее делал для личного использования разработчик OpenBSD.
Реализации можно чуть больше доверять

Про какую ты реализацию в итоге?

Которая на RoR
есть пруфы?

Так ссылка выше или чукча не читатель?


In light of this, I am no longer maintaining this project. I encourage everyone using rubywarden to switch to bitwarden_rs or the official hosted Bitwarden service.

С end-to-end шифрованием по идее критичен только аудит клиента. К серверу же требования смягчаются до обеспечения целостности, предотвращения стороннего вандализма и не быть дырой для атаки на другой софт на той же машине. Понятно, что безопасности много не бывает, но всё-таки критичное — клиент.

Существует легковесная неофициальная имплементация серверного API Bitwarden на Rust. Хороший вариант для домашнего использования, у меня крутится уже год без проблем. Все клиенты и веб-морда работают.

А мог бы кто-нибудь написать чуть подробнее — как это всё завязано на «официалов»? А то вроде self-hosted и из исходников, но нужны какие-то id с оф.сервера? Как клиенты настраиваются на self-hosted сервер? Официальный iOS клиент из AppStore просто даст ввести адрес моего сервера вместо родного?

Да, и в статье это сказано.

Наверное туманно выразился. Что id от официалов нужен — видел, вопрос — для чего? Self-hosted сервер будет как-то связан с официальным? Или это просто лицензионный ключ чтобы посчитать self-hosted пользователей?

Для:
1) оповещений о критических уязвимостях
2) авторизации на их Push Relay серверах (синхронизация изменений вроде)
3) валидации платной лизенции

Источник: bitwarden.com/help/article/hosting-faqs/#q-what-are-my-installation-id-and-installation-key-used-for
Пользуюсь (и хостю) bitwarden уже около двух лет, впечатления только хорошие. Хотел бы ещё добавить что на гитхабе есть неофициальная имплементация на Rust: github.com/dani-garcia/bitwarden_rs
Из плюсов: гораздо меньшее потребление ресурсов и сразу открыты премиум фичи за которые надо платить (например 2FA).

только хотел спросить про 2FA, которым активно пользуюсь :)

Дальше установщик запросит id и ключ установки.

Кто может объяснить, self-hosted решение разве предполагает получение каких-то ключей с оф. сервера резработчика? Без этого ключа, установка невозможна?

С информации на оф. сайте, выглядит это так, что нужно только чтобы собрать email адниминистраторов, для важных объявлений и не более того. Так ли это?
Проверил, не устанавливается без ID и ключа с сервера разработчика.

Если ввести неправильные значения:

image

Установка обрывается.

Если попытаться пропустить ввод:

image

Установка обрывается.

Похоже, не такое и self-hosted официальное решение у Bitwarden. Если их сайт перестанет работать, установить этот официальный «open-source» нельзя будет.

Однако, есть неофициальный сервер (без аудита безопасности) github.com/dani-garcia/bitwarden_rs

Подскажите, есть ли там поддержка
LDAP аутентификации
Разграничение по access листам (ACL — сетевикам одни пароли, админам доступны другие, хелпдеску третьи и т.п.)

Все есть за деньги. Об этом тактично умолчали, а жаль. Ну то есть фичи там есть, но все очень дико урезано. LDAP, SSO есть, бесплатно нет, но для этнерпрайза есть квота на целых 2 юзера.


https://bitwarden.com/help/article/about-bitwarden-plans/


Планы для "дома" на 1 юзера.
image

очень жаль. интересно как реализовано плата за self-hosted решение, если я решу развернуть её у себя в закрытой инфраструктуре без доступа к инету?
Менеджер паролей на хостинге? Или на вашем личном сервере, который стоит физически у вас в офисе или дома?

Если на хостинге — то есть, вы создавая его там, на каком-то шаге, всё равно вводите *какой-то* мастер пароль, по которому можно будет расшифровать всё. Что мешает хостеру этот пароль перехватить? Сервер-то в его распоряжение и, по-умолчанию, нужно считать, что хостер видит всё. И где же тут безопасность-то? Вы свои пароли хостеру заливаете добровольно.
Что мешает хостеру этот пароль перехватить?

То, что этот мастер-пароль никогда не уходит за пределы клиента. Клиент занимается шифрованием и расшифровкой полностью самостоятельно.

На хостинге работает приложение, которое оперируют полностью зашифрованными данными, и которые создаётся таковыми на вашем личном компьютере?

Я полный аудит всех реализаций не проводил, но насколько я могу судить по мониторингу сети — именно так. Нешифрованными светится только всякая бесполезная мета-информация, вроде идентификаторов организаций

docker?
отказать

www.passwordstore.org

Не требует никаких Docker, Kubernetes, AWS, OMG-technology. Гарантированно запустится где угодно, где есть gnupg и bash. Если настроить git-репозиторий, пароли можно _в_зашифрованном_ виде передавать по сети и иметь историю изменений. Unix-way в чистом виде, расшифрованный пароль можно запайпить другой программе, например mutt, mcabber, etc.

Вышупомянутый bitwarden_rs успешно запускается без докера


А passwordstore вообще из другой оперы

Я бы посоветовал вам поменять название ваших серверов. Всё «эпичное» берут лишь люди недалёкого ума, как мне кажется, кто любит броское и яркое, а не логичное и функциональное.
Да нет, много клиентов без лишних клише заказывают данные серверы ;)
как вы ограничивается свой self-hosted от левых пользователей?

В смысле? Регистрация отключена.

и если нужен новый пользователь — включать, заводить и потом выключать?

Наверное, не я вам должен отвечать :) Подозреваю, что вас интересует корпоративное облако, а у меня семейное. Новые пользователи ну уж очень редко заводятся

Через управление организацией можно отослать инвайт на e-mail

это платная история

В bitwarden_rs бесплатная

Я правильно понял, что self hosted решение, так же требует оплату лицензии?

В чем тогда опенсорсность?

Во-первых, не требует (платные только дополнительные плюшки). Во-вторых, опенсорсность и оплата никак не противоречат друг другу, никто не запрещает создателям опенсорсного софта требовать за него плату

Без дополнительных плюшек он бесполезен. Даже нет 2FA.

Тогда vaultwarden в помощь

Мне пока KeePassXC с головой хватает

Зарегистрируйтесь на Хабре , чтобы оставить комментарий