Bonjour à tous,
Chez @Raoull, pour nos mots de passe et autres données sensibles, on utilise keepassx et syncthing pour la synchronisation. C’est pas idéal comme solution et nous testons en ce moment 2 alternatives: passbolt et vaultwarden.
Est ce que vous avez des retours d’expérience a partager et surtout, des conseils techniques ou carrément des modop d’installation pour Vaultwarden.
De mon coté, l’installation par compilation n’a pas aboutit. La méthode par container docker fonctionne. Et il existe aussi des packets/snap debian, solution que je n’ai pas testé. Selon vous, quelle est la meilleure methode en terme de simplicité, de sécurité et de maintenabilité ?
La solution passbolt est simple a installer. Mais a l’usage, est-elle aussi efficace que vaultawarden et sa version communautaire n’est-elle pas trop limitée ?
Au passage, petit clin d’oeil à @tedomum dont j’utilise l’instance vaultwarden a titre perso avec bonheur.
Chez ARN, on utilise aussi le format keepass. On évite les instances hébergées car ça fait quand même un peu peur d’avoir des mots de passe déchiffrés via une page de navigateur (qui pourrait être vérolée).
Mon rêve ce serait un genre de keepass pour équipe qui fonctionne avec des fichiers et que l’on puisse synchroniser.
Chez katzei on utilise vaultwarden en le compilant. c’est un peu lourd et gourmand en ram pour al compilation (environ 10 min sur 2 cpu +2Go de RAM) mais a l’époque ou on a mis en place il n’y avait pas de paquets debian. Par contre pour la partie web (facultative) on prend directement celle compilée par l’équipe de vaultwarden.
Si tu le souhaite on peut te donner les infos pour réussir a le compiler sous debian bookworm :).
Chez Picasoft, on est passé d’un pass + git + gpg (assez compliqué à maintenir, et compliqué pour les personnes pas tech donc assez élitiste mine de rien) à un Vaultwarden auto-hébergé avec Docker. C’est vraiment rien du tout en maintenance. À titre perso j’en héberge un sur mon homeserver aussi via le paquet NixOS, très simple aussi.
L’extension Firefox supporte le multi-comptes depuis quelques semaines, c’est un point chouette.
C’est possible : Keepass + Nextcloud (partagé via des group folders dans mon cas). Je n’ai jamais vu de problème à l’usage, d’autant que Nextcloud a une application Keepass qui permet de lire et modifier le fichier via le navigateur.
@sekil Non justement l’idée c’est de ne surtout pas utiliser l’app nextcloud keeweb. Et par gestion d’équipe, j’entendais que chacun à une clé de déchiffrement et qu’il y ai une gestion des expirations lorsque quelqu’un de l’équipe part…
En fait chez ARN, on a plusieurs .kdbx selon le type de rôle ou de serveurs (adminsys, communication, ca, educpop, sans-nuage, etc.)
hello @ppom,
J’aime beaucoup la solution Pass + gpg + git pour mon usage perso. Mais j’arrive à entrer en conflit avec moi même sur divers appareils. J’imagine meme pas en equipe
âpres avoir essayé de recompiler sur un serveur neuf: 2 cpu, 2Go de RAM pas de swap j’ai 2 problèmes:
une dépendance de la version 1.29.2 (et 1.29.1) est cassée, on ne peut même pas commencer la compilation
la version 1.28.0 échoue sur un sigkill probablement la RAM.
notes: sur la machine ou je compile normalement il y a 1Go de swap (qui n’est pas présent sur ma machine de test) donc je vais re-essayer de compiler avec 3Go de RAM sans swap
Mais dans le cas d’une compilation comment se passe les mises a jour ? Il faut recompiler ? Du coup c’est pas tres pratique ?
Je recompile puis j’arrête le service, remplace l’exécutable, relance le service en une commande systemctl stop vaultwarden.service && cp target/release/vaultwarden /opt/bitwarden/vaultwarden && chown www-data:www-data /opt/bitwarden/vaultwarden && systemctl start vaultwarden.service
je continue a bricoler et je t’envoie la doc quand j’ai un truc qui marche
Edit: En fait la dernière est la 1.30.3 qui n’a pas le problème, je ne sais pas pourquoi j’ai considéré que la dernière était la 1.29
edit 2 ça échoue aussi avec 3Go re RAM sur le servuer de test. Je regarde sur le serveur de build habituel (2Go de RAM + 1Go de swap)
Du coup après avoir testé il faut au moins 4Go de RAM (ou RAM + SWAP) pour compiler les dernières versions de vaultwarden (apres la 1.30.1 en tout cas j’ai pas testé la 1.30.2).
Voila la procédure que j’ai utilisé (c’est notre format de doc interne donc c’est pas ultra rédigé, plus un pense bete):
# bitwarden server
# install utils for quality of life
sudo apt install curl
# install utils for rust compilation
sudo apt install pkg-config libssl-dev build-essential git
# install rust management
curl https://sh.rustup.rs -sSf > rustup.sh
chmod +x rustup.sh
# install last rust version
./rustup.sh --default-host x86_64-unknown-linux-gnu --default-toolchain nightly
# clone vaultwarden repo
git clone git@github.com:dani-garcia/vaultwarden.git
# move to repo
cd vaultwarden
# move to last tag
git checkout 1.30.3
# compilation of bitwarden_rs
source ~/.cargo/env
rustup update
git pull
cargo build --release --features sqlite
# clean cargo cache
cargo cache -r all
Chez caracos, on a installer un vaultwarden sur Yunohost (donc installation en presqu’un clic)
On a un seul mot de passe partagé pour l’équipe admin, le reste est uniquement les utilisateurs perso.
seul bemol, Le container Yunohost ne prend pas en charge le SSO yunohost.
Il y a une série de PR en cours pour gérer du SSO dans vaultwarden, le chantier est ouvert depuis plus d’un an et est actif (d’après les dernières remarques sur la pr on est sur la fin du chantier) donc un jour vous l’aurez
Je n’en suis pas certain·e, mais je suppose qu’utiliser l’option --jobs 1 de cargo build permettrait de diminuer l’usage de la RAM, en limitant le nombre de tâches concurrentes.
Nous aussi on utilise Vaultwarden et ça fonctionne super bien, mot de passe, OTP, carte, partage entre équipe…
J’ai mis en place la fonctionnalité SSO qui n’est pas encore intégré mais c’est pour bientôt. Il faut évidemment entrer la clé de son coffre au moins on n’a pas besoin de retaper son utilisateur/mot de passe en plus.
Je suis en déplacement, je fais le test quand je rentres chez moi
Mais je suis assez pessimiste, au moment ou il faisait un OOM il y avait que la compilation de vaultwarden qui tournait (les dépendances étaient compilés) et il n’utilisait qu’un seul CPU.
Au @distrilab nous utilisons aussi la solution pass + gpg + git
Nous nous partageons le depot git via un gitea autohébergé sur un serveur yunohost. pass permet de faire de la gestion d’équipe comme l’entend @ljf
Après c’est vrai que c’est un peu réservé aux initiés de git, gpg et de la ligne de commande.
Pour les allergiques a la ligne de commande il y a bien une extension firefox, qui ne fonctionne pas toujours très bien, et qui ne gère que la partie déchiffrement des mots de passe, pas la gestion git/gpg.