Conseils Vaulwarden/passbolt

Bonjour à tous,
Chez @Raoull, pour nos mots de passe et autres données sensibles, on utilise keepassx et syncthing pour la synchronisation. C’est pas idéal comme solution et nous testons en ce moment 2 alternatives: passbolt et vaultwarden.

Est ce que vous avez des retours d’expérience a partager et surtout, des conseils techniques ou carrément des modop d’installation pour Vaultwarden.

De mon coté, l’installation par compilation n’a pas aboutit. La méthode par container docker fonctionne. Et il existe aussi des packets/snap debian, solution que je n’ai pas testé. Selon vous, quelle est la meilleure methode en terme de simplicité, de sécurité et de maintenabilité ?

La solution passbolt est simple a installer. Mais a l’usage, est-elle aussi efficace que vaultawarden et sa version communautaire n’est-elle pas trop limitée ?

Au passage, petit clin d’oeil à @tedomum dont j’utilise l’instance vaultwarden a titre perso avec bonheur.

Amicalement
Sebastien

1 Like

Chez ARN, on utilise aussi le format keepass. On évite les instances hébergées car ça fait quand même un peu peur d’avoir des mots de passe déchiffrés via une page de navigateur (qui pourrait être vérolée).

Mon rêve ce serait un genre de keepass pour équipe qui fonctionne avec des fichiers et que l’on puisse synchroniser.

Chez katzei on utilise vaultwarden en le compilant. c’est un peu lourd et gourmand en ram pour al compilation (environ 10 min sur 2 cpu +2Go de RAM) mais a l’époque ou on a mis en place il n’y avait pas de paquets debian. Par contre pour la partie web (facultative) on prend directement celle compilée par l’équipe de vaultwarden.

Si tu le souhaite on peut te donner les infos pour réussir a le compiler sous debian bookworm :).

Chez Picasoft, on est passé d’un pass + git + gpg (assez compliqué à maintenir, et compliqué pour les personnes pas tech donc assez élitiste mine de rien) à un Vaultwarden auto-hébergé avec Docker. C’est vraiment rien du tout en maintenance. À titre perso j’en héberge un sur mon homeserver aussi via le paquet NixOS, très simple aussi.
L’extension Firefox supporte le multi-comptes depuis quelques semaines, c’est un point chouette.

3 Likes

C’est possible : Keepass + Nextcloud (partagé via des group folders dans mon cas). Je n’ai jamais vu de problème à l’usage, d’autant que Nextcloud a une application Keepass qui permet de lire et modifier le fichier via le navigateur.

@sekil Non justement l’idée c’est de ne surtout pas utiliser l’app nextcloud keeweb. Et par gestion d’équipe, j’entendais que chacun à une clé de déchiffrement et qu’il y ai une gestion des expirations lorsque quelqu’un de l’équipe part…

En fait chez ARN, on a plusieurs .kdbx selon le type de rôle ou de serveurs (adminsys, communication, ca, educpop, sans-nuage, etc.)

1 Like

Hello @Meewan,
J’ai essayé avec le meme dimensionnement mais ca utilise toute la ram et ca n’aboutit pas. Je suis preneur de quelques conseils :wink:

Mais dans le cas d’une compilation comment se passe les mises a jour ? Il faut recompiler ? Du coup c’est pas tres pratique ?

Sebastien

hello @ppom,
J’aime beaucoup la solution Pass + gpg + git pour mon usage perso. Mais j’arrive à entrer en conflit avec moi même sur divers appareils. J’imagine meme pas en equipe :scream:

Merci pour ton retour d’expérience sur vaulwarden

Sebastien

âpres avoir essayé de recompiler sur un serveur neuf: 2 cpu, 2Go de RAM pas de swap j’ai 2 problèmes:

  • une dépendance de la version 1.29.2 (et 1.29.1) est cassée, on ne peut même pas commencer la compilation
  • la version 1.28.0 échoue sur un sigkill probablement la RAM.

notes: sur la machine ou je compile normalement il y a 1Go de swap (qui n’est pas présent sur ma machine de test) donc je vais re-essayer de compiler avec 3Go de RAM sans swap

Mais dans le cas d’une compilation comment se passe les mises a jour ? Il faut recompiler ? Du coup c’est pas tres pratique ?

Je recompile puis j’arrête le service, remplace l’exécutable, relance le service en une commande
systemctl stop vaultwarden.service && cp target/release/vaultwarden /opt/bitwarden/vaultwarden && chown www-data:www-data /opt/bitwarden/vaultwarden && systemctl start vaultwarden.service

je continue a bricoler et je t’envoie la doc quand j’ai un truc qui marche :wink:

Edit: En fait la dernière est la 1.30.3 qui n’a pas le problème, je ne sais pas pourquoi j’ai considéré que la dernière était la 1.29 :person_facepalming:

edit 2 ça échoue aussi avec 3Go re RAM sur le servuer de test. Je regarde sur le serveur de build habituel (2Go de RAM + 1Go de swap)

Du coup après avoir testé il faut au moins 4Go de RAM (ou RAM + SWAP) pour compiler les dernières versions de vaultwarden (apres la 1.30.1 en tout cas j’ai pas testé la 1.30.2).

Voila la procédure que j’ai utilisé (c’est notre format de doc interne donc c’est pas ultra rédigé, plus un pense bete):

# bitwarden server
# install utils for quality of life
sudo apt install curl
# install utils for rust compilation
sudo apt install pkg-config libssl-dev build-essential git
# install rust management
curl https://sh.rustup.rs -sSf > rustup.sh
chmod +x rustup.sh
# install last rust version
./rustup.sh --default-host x86_64-unknown-linux-gnu --default-toolchain nightly
# clone vaultwarden repo
git clone git@github.com:dani-garcia/vaultwarden.git
# move to repo
cd vaultwarden
# move to last tag
git checkout 1.30.3
# compilation of bitwarden_rs
source ~/.cargo/env
rustup update
git pull
cargo build --release --features sqlite
# clean cargo cache
cargo cache -r all

Sinon sous debian tu as des package non officiels Third party packages · dani-garcia/vaultwarden Wiki · GitHub

Effectivement, c’est la limite de keepass.

Chez caracos, on a installer un vaultwarden sur Yunohost (donc installation en presqu’un clic)
On a un seul mot de passe partagé pour l’équipe admin, le reste est uniquement les utilisateurs perso.
seul bemol, Le container Yunohost ne prend pas en charge le SSO yunohost.

Chelou… Nous on l’utilise depuis quelques années pour l’équipe des Racines, sans souci de synchro.

Il y a une série de PR en cours pour gérer du SSO dans vaultwarden, le chantier est ouvert depuis plus d’un an et est actif (d’après les dernières remarques sur la pr on est sur la fin du chantier) donc un jour vous l’aurez :slight_smile:

Du coup personne n’utilise passbolt ?

1 Like

Je n’en suis pas certain·e, mais je suppose qu’utiliser l’option --jobs 1 de cargo build permettrait de diminuer l’usage de la RAM, en limitant le nombre de tâches concurrentes.

1 Like

Nous aussi on utilise Vaultwarden et ça fonctionne super bien, mot de passe, OTP, carte, partage entre équipe…

J’ai mis en place la fonctionnalité SSO qui n’est pas encore intégré mais c’est pour bientôt. Il faut évidemment entrer la clé de son coffre au moins on n’a pas besoin de retaper son utilisateur/mot de passe en plus.

1 Like

Je suis en déplacement, je fais le test quand je rentres chez moi :slight_smile:

Mais je suis assez pessimiste, au moment ou il faisait un OOM il y avait que la compilation de vaultwarden qui tournait (les dépendances étaient compilés) et il n’utilisait qu’un seul CPU.

1 Like

@ppom je te confirme ça ne change rien :sob: il faut donc forcement 4Go de RAM pour compiler vaultwarden

1 Like

Au @distrilab nous utilisons aussi la solution pass + gpg + git
Nous nous partageons le depot git via un gitea autohébergé sur un serveur yunohost.
pass permet de faire de la gestion d’équipe comme l’entend @ljf
Après c’est vrai que c’est un peu réservé aux initiés de git, gpg et de la ligne de commande.
Pour les allergiques a la ligne de commande il y a bien une extension firefox, qui ne fonctionne pas toujours très bien, et qui ne gère que la partie déchiffrement des mots de passe, pas la gestion git/gpg.

2 Likes