利用闲置vps搭建bitwarden私人密码管理，榨干小鸡价值

mmmmmiku

~利用virmach或者其他家的垃圾小鸡配上dropbox备份数据，好处在于成本极其低，一年甚至不到5刀！比没有80端口的NAS强多了
~使用bitwarden_rs搭建并每天备份两次到dropbox保证数据安全。
~理论上能跑docker就行，我搭建在virmach 1c384mb的小鸡上
~搭建环境为Centos7，只要能装docker就行。
~bitwarden的app和浏览器插件可以在对应的应用商店里找到，自动填充非常方便。安装后可以在设置里填自己的域名。

1. yum -y install docker
   
2. systemctl enable docker
   
3. systemctl start docker
   
4. curl -L https://github.com/docker/compose/releases/download/1.25.0/docker-compose-`uname -s`-`uname -m` -o /usr/local/bin/docker-compose
   
5. chmod +x /usr/local/bin/docker-compose
   
6. mkdir /usr/local/bitwarden
   
7. vi /usr/local/bitwarden/config.env
   
8. vi /usr/local/bitwarden/docker-compose.yml
   
9. cd /usr/local/bitwarden
   
10. docker-compose up -d

复制代码

config.env

1. SIGNUPS_ALLOWED=true
   
2. DOMAIN=https://xxx.com
   
3. DATABASE_URL=/data/bitwarden.db
   
4. ROCKET_WORKERS=10
   
5. WEB_VAULT_ENABLED=true
   
6. ADMIN_TOKEN=wwwwwwwwwwwwwwww
   
7. WEBSOCKET_ENABLED=true

复制代码

docker-compose.yml

1. version: '3'
   
2. 
   
3. services:
   
4.   bitwarden:
   
5.     image: bitwardenrs/server:latest
   
6.     container_name: bitwarden
   
7.     restart: always
   
8.     volumes:
   
9.       - ./data:/data
   
10.     env_file:
    
11.       - config.env
    
12.     ports:
    
13.       - "9999:80"
    
14.       - "9998:3012"

复制代码

DOMAIN填自己的域名，需要HTTPS。
ADMIN_TOKEN为管理面板密码，推荐使用“openssl rand -base64 48”生成。
SIGNUPS_ALLOWED=true，此项控制注册，只想自己用的话注册后可以改为false。

然后通过nginx反代开启SSL
由于vir的网络非常垃圾，建议去cf里生成orgin证书，套上cf食用。这样可以不用考虑源站证书续期

1. server
   
2.     {         
   
3.          listen 80;
   
4.          server_name    pw.xx.com ;  
   
5.          return      301 https://$server_name$request_uri;
   
6. }
   
7. 
   
8. server
   
9.     {
   
10.         listen 443 ssl http2;
    
11.         #listen [::]:443 ssl http2;
    
12.         #listen [::]:80;
    
13.         server_name pw.xx.com ;
    
14.         ssl_certificate /xx.crt;
    
15.         ssl_certificate_key /xx.key;
    
16.                
    
17.             server_tokens        off;
    
18.             ssl_protocols              TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
    
19.             ssl_prefer_server_ciphers on;
    
20.             ssl_ciphers "EECDH+AES128:RSA+AES128:EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5";
    
21.             ssl_session_cache shared:SSL:10m;
    
22.             ssl_session_timeout        1d;
    
23.             ssl_stapling               on;
    
24.             ssl_stapling_verify        on;
    
25.             resolver 8.8.8.8 8.8.4.4;
    
26.             resolver_timeout           10s;
    
27.             add_header Strict-Transport-Security "max-age=63072000;includeSubdomains; preload";
    
28.             add_header X-Frame-Options DENY;
    
29.             add_header X-Content-Type-Options nosniff;
    
30.             add_header X-XSS-Protection "1; mode=block";
    
31.             client_max_body_size 128M;
    
32.                
    
33.             location / {
    
34.            proxy_pass http://localhost:9999;
    
35.            proxy_set_header Host $host;
    
36.            proxy_set_header X-Real-IP $remote_addr;
    
37.            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    
38.            proxy_set_header X-Forwarded-Proto $scheme;
    
39.         }
    
40.                 location /notifications/hub {
    
41.            proxy_pass http://localhost:9998;
    
42.            proxy_set_header Upgrade $http_upgrade;
    
43.            proxy_set_header Connection "upgrade";
    
44.         }
    
45.                 location /notifications/hub/negotiate {
    
46.            proxy_pass http://localhost:9999;
    
47.         }
    
48.                
    
49.                 # Optionally add extra authentication besides the AUTH_TOKEN
    
50.         # If you don't want this, leave this part out
    
51.         location /admin {
    
52.         # See: https://docs.nginx.com/nginx/admin-guide/security-controls/configuring-http-basic-authentication/
    
53.            proxy_set_header Host $host;
    
54.            proxy_set_header X-Real-IP $remote_addr;
    
55.            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    
56.            proxy_set_header X-Forwarded-Proto $scheme;
    
57.            proxy_pass http://localhost:9999;
    
58.         }
    
59. 
    
60.         access_log  /home/wwwlogs/pw.xx.com.log;
    
61.     }
    
62. 
    

复制代码

然后vi /etc/rc.d/rc.local在最后加上
/usr/local/bin/docker-compose -f /usr/local/bitwarden/docker-compose.yml up -d
这样开机就会自动启动bitwarden
访问https://你的域名/admin可以进去管理面板
到这里bitwarden就搭建完成可以使用了，不过个人还是建议配置数据备份。

先来个骚操作，安装7Z，为的是把数据加密打包然后再传到dropbox

1. wget https://astuteinternet.dl.sourceforge.net/project/p7zip/p7zip/16.02/p7zip_16.02_src_all.tar.bz2
   
2. tar -jxvf p7zip_16.02_src_all.tar.bz2
   
3. cd p7zip_16.02
   
4. make && make install
   
5. mkdir /usr/local/backup
   
6. vi /usr/local/backup/backup.sh
   
7. wget https://raw.githubusercontent.com/andreafabrizi/Dropbox-Uploader/master/dropbox_uploader.sh
   
8. chmod +x backup.sh dropbox_uploader.sh
   
9. /usr/local/backup/dropbox_uploader.sh
   
10. /usr/local/backup/backup.sh
    
11. crotab -e

复制代码

backup.sh，这个是用军哥lnmp的备份脚本改的。

1. #!/bin/bash
   
2. 
   
3. #Funciont: Backup website and mysql database
   
4. #Author: licess
   
5. #Website: https://lnmp.org
   
6. 
   
7. Bit_name="bitwarden"
   
8. dropboxshell_dir="/usr/local/backup/dropbox_uploader.sh"
   
9. drop_dir=/${Bit_name}/$(date +"%Y%m%d%H")
   
10. password="wwwwwwww"
    
11. 
    
12. #IMPORTANT!!!Please Setting the following Values!
    
13. Zip_Dir="/usr/local/bin/7za"
    
14. Backup_Home="/usr/local/backup/"
    
15. ######~Set Directory you want to backup~######
    
16. Backup_Dir=("/usr/local/bitwarden")
    
17. 
    
18. 
    
19. #Values Setting END!
    
20. 
    
21. OldBackup=${Bit_name}$(date -d -7day +"%Y%m%d%H").7z
    
22. Old_DROPBOX_DIR=/${Bit_name}/$(date -d -30day +"%Y%m%d%H")
    
23. 
    
24. Backup_Dir()
    
25. {
    
26.     Backup_Path=$1
    
27.     Dir_Name=`echo ${Backup_Path##*/}`
    
28.     Pre_Dir=`echo ${Backup_Path}|sed 's/'${Dir_Name}'//g'`
    
29.     tar zcf ${Backup_Home}bit-${Dir_Name}-$(date +"%Y%m%d%H").tar.gz -C ${Pre_Dir} ${Dir_Name}
    
30. }
    
31. 
    
32. if [ ! -f ${MySQL_Dump} ]; then  
    
33.     echo "mysqldump command not found.please check your setting."
    
34.     exit 1
    
35. fi
    
36. 
    
37. if [ ! -d ${Backup_Home} ]; then  
    
38.     mkdir -p ${Backup_Home}
    
39. fi
    
40. 
    
41. 
    
42. echo "Backup bitwarden files..."
    
43. for dd in ${Backup_Dir[@]};do
    
44.     Backup_Dir ${dd}
    
45. done
    
46. 
    
47. 
    
48. 
    
49. echo "compass with 7z..."
    
50. ${Zip_Dir} a -mhe -p${password} ${Backup_Home}${Bit_name}$(date +"%Y%m%d%H").7z ${Backup_Home}bit-${Dir_Name}-$(date +"%Y%m%d%H").tar.gz
    
51. rm -rf ${Backup_Home}bit-${Dir_Name}-$(date +"%Y%m%d%H").tar.gz
    
52. 
    
53. echo "upload to dropbox..."
    
54. ${dropboxshell_dir} upload $Backup_Home/${Bit_name}$(date +"%Y%m%d%H").7z $drop_dir/${Bit_name}$(date +"%Y%m%d%H").7z
    
55. ${dropboxshell_dir} delete $Old_DROPBOX_DIR
    
56. 
    
57. echo "Delete old backup files..."
    
58. rm -f ${Backup_Home}${OldBackup}
    

复制代码

password这里填你想设置的压缩包密码。

需要注册dropbox（需要f~q）验证邮箱后，进入https://www.dropbox.com/developers/apps建立一个app并生成密钥





运行dropbox_uploader.sh后将密钥填进去
运行一次backup.sh是为了测试备份是否有效

最后crontab添加定时任务
0 13 * * * /usr/local/backup/backup.sh
0 22 * * * /usr/local/backup/backup.sh
在每天13点和22点备份到dropbox

搭建好的演示站参考我的签名。
↓↓↓↓↓↓↓↓↓↓↓

小旭

自建不安全 我入你小鸡拿到所有密码 包括所在的网站地址
入侵你的dropbox获取备份拿到密码
密码丢失 备份丢失
dropbox账号被封
所以。。。。

mmmmmiku

小旭 发表于 2019-11-26 13:02
自建不安全 我入你小鸡拿到所有密码 包括所在的网站地址
入侵你的dropbox获取备份拿到密码
密码丢失 备份丢 ...

首先，你拿到bitwarden的数据库文件也拿不到密码，然后上传dropbox的压缩包通过7Z加了密，你能破解16位带字符的密码那你牛皮。担心dropbox被封可以ftp发回你家里或者使用其他安全的备份途径。

mmmmmiku

快乐风男 发表于 2019-11-26 13:48
dropbox空间好小，伸手党坐等备份到onedrive教程

2g存密码都不够，想想有点恐怖

无时崩溃

Tql

w742152012

马克

lunatic

支持，我之前基于宝塔面板搞了一次，但是总感觉哪有问题。

♠♣♥❤

这个有什么方便的地方 跟lastpass 有啥不一样？

lixiaojun

然后呢？如何食用，自己再做个chrome插件，再搞个app？

mmmmmiku

lixiaojun 发表于 2019-11-26 12:56
然后呢？如何食用，自己再做个chrome插件，再搞个app？

官方提供了全部平台的插件和app，你装好后在app或者插件里把域名设置为自己的就可以了

suantong

主要要有插件自动填充。这种程度本地直接keepassx+Dropbox足够，不放心还可以在备份目录用git同步。