Bitwarden ist ein webbasierter Passwort-Manager, ähnlich LastPass, aber Open Source und der Möglichkeit diesen selbst zu betreiben (hosten). Wie sich Bitwarden im Vergleich zu anderen Passwort-Managern einordnet, habe ich auf folgender Seite überlegt: Passwort-Manager sicher? KeePass vs. LastPass vs. Bitwarden.

Damit der Aufruf auf meine Webservices über sichere HTTPS-Verbindungen stattfindet, setze ich in Docker einen Let's Encrypt Reverse-Proxy ein. Zuerst habe ich Nginx als Reverse-Proxy verwendet, diesen aber später mit Traefik ersetzt. Der Proxy kümmert sich um die Zertifikatsverwaltung und stellt die Verbindung auf die dahinterliegenden Webservices sicher. So können über eine IP-Adresse und einem Port (gemeinsamer Server) mehrere verschiedene Domänen und dessen Webservices betrieben werden.

Schritt für Schritt

Für den Reverse-Proxy wird folgendes Setup vorausgesetzt:

1. Hardware auswählen: PC, Notebook oder besser: virtueller Server, Raspberry PI oder eine NAS: QNAP, Synology oder Eigenbau-NAS
2. virtueller Server eines Providers, oder OS installieren: Windows, Linux
3. Docker installieren, siehe: Docker
4. DNS-Eintrag im Internet auf die öffentliche IP-Adresse erstellen und
   nginx-Reverse Proxy Setup: Let's Encrypt Reverse Proxy in der Praxis

1. docker-compose.yml anlegen und anpassen
2. Container starten und 
3. Einrichten

Bitwarden docker-compose.yml

Wer alle Voraussetzungen erfüllt hat, kann Bitwarden nach Anlage der folgenden Datei starten:

# docker-compose.yml
version: '3'

services:
  bitwarden:
    image: vaultwarden/server
    restart: always
    expose:
       - "80"
    volumes:
      - ./bw-data:/data
    environment:
      WEBSOCKET_ENABLED: 'true' # Required to use websockets
      SIGNUPS_ALLOWED: 'true'   # set to false to disable signups
      ADMIN_TOKEN: "mytoken2change"
    labels:
      - "traefik.enable=true"
      - "traefik.http.routers.home.rule=Host(`bitwarden.domain.tld`)"      
      - "traefik.http.routers.home.entrypoints=web"
      - "traefik.http.routers.home.entrypoints=websecure"
      - "traefik.http.routers.home.tls.certresolver=myresolver"
      - "traefik.http.services.home.loadbalancer.server.port=80"
networks:
  default:
    external:
      name: webproxy

Natürlich sollte vor dem Start die Domäne und der ADMIN_TOKEN angepasst werden. 

Container starten

Der eigentliche Start erfolgt wieder mit docker-compose up:

docker-compose up -d

Nach dem Start des Containers meldet sich Bitwarden auf der angegebenen Domäne.

Konto erstellen

Für die Verwendung wird natürlich ein Benutzerkonto vorausgesetzt:

Als Speicher wird für Bitwarden eine SQLite-DB verwendet, diese befindet sich nach dem Starten im Ordner bw-data.

Admin-Portal

Einstellungen zum Setup können im Admin-Portal erfolgen. Für den Zugriff wird der in der docker-compose.yml-Datei festgelegte Admin-Token und die URL "/admin" verwendet:

Damit ich bestimmen kann, wer den Passwort-Manager verwenden kann, habe ich die Signups deaktiviert.

Eingeladene Benutzer können den Passwort-Manager dennoch verwenden. Sollte sich eine unbekannte Person registrieren, wird der folgende Fehler angezeigt:

Ein Fehler ist aufgetreten. Registration not allowed or user already exists. 

SMTP-Settings

Für das Versenden von Mails habe ich folgende Einstellungen verwendet.

Als Mailserver verwende ich dafür folgendes Setup: Docker Mailserver selbst betreiben | ein Erfahrungsbericht