From d3093ca3a6b2fe60873e4489d43f11e27cb394b4 Mon Sep 17 00:00:00 2001 From: MilesTEG Date: Sun, 11 Apr 2021 18:48:02 +0200 Subject: [PATCH] Modification pour Bitwarden_RS : suppression de certains echo dans le script, et quelques corrections/ajouts dans le docker-compose. --- .../Bitwarden_RS__Enable_Websocket.sh | 39 +- .../Tuto - forum-nas.bbcode | 552 ++++++++++++++++++ .../bitwardenrs_backup/docker-compose.yml | 29 +- 3 files changed, 591 insertions(+), 29 deletions(-) create mode 100644 docker-compose/bitwardenrs_backup/Tuto - forum-nas.bbcode diff --git a/docker-compose/bitwardenrs_backup/Bitwarden_RS__Enable_Websocket.sh b/docker-compose/bitwardenrs_backup/Bitwarden_RS__Enable_Websocket.sh index 00fda7a..4b05a92 100644 --- a/docker-compose/bitwardenrs_backup/Bitwarden_RS__Enable_Websocket.sh +++ b/docker-compose/bitwardenrs_backup/Bitwarden_RS__Enable_Websocket.sh @@ -41,23 +41,18 @@ ##=========================================================================================================== ## ## ## Ma commande à lancer : ## -## bash /volume1//docker/_Scripts-DOCKER/Bitwarden_RS__Enable_Websocket.sh mon-ndd-a-moi.tld 8001 30120 ## +## bash /volume1/docker/_Scripts-DOCKER/Bitwarden_RS__Enable_Websocket.sh mon-ndd-a-moi.tld 8001 30120 ## ## ## ##=========================================================================================================== LOC_DIR="/etc/nginx" part1=0 part2=0 -# declare -r nb_param=$# # Nombre d'argument(s) fourni(s) au script. -# declare -r param_1="$1" # 1er argument fourni -# declare -r param_2="$2" # 1er argument fourni -# declare -r param_3="$3" # 1er argument fourni echo -e "\n$(date "+%R:%S - ") Script Bitwarden_RS__Enable_Websocket.sh pour activer les Notifications Websockets" -echo "$(date "+%R:%S - ") Exécution des commandes..." f_affiche_parametre() { - echo " bash /volume1/docker/bitwarden/enable_ws.sh vault.example.com 5555 5556 " + echo " bash /volume1/docker/_Scripts-DOCKER/Bitwarden_RS__Enable_Websocket.sh vault.example.com 5555 5556 " echo " -- vault.example.com = Nom de domaine de Bitwarden_rs (celui du Reverse Proxy de DSM) " echo " -- 5555 = Port exposé ROCKET_PORT par Docker (Identique à celui du Reverse Proxy de DSM)" echo " -- 5556 = Port exposé WEBSOCKET_PORT par Docker" @@ -73,9 +68,11 @@ if [ ! $# -eq 3 ]; then f_affiche_parametre fi echo -e "$(date "+%R:%S - ") ECHEC de lancement du script !!!!!!!!!\n" - exit + exit 1 fi +echo "$(date "+%R:%S - ") Exécution des commandes..." + ############################################################################################################# ## Début de la partie de création/modification de fichiers @@ -96,31 +93,29 @@ location /notifications/hub/negotiate { } """ >> $LOC_DIR/ws.locations -if [ $part1 -eq 1 ]; then - echo "$(date "+%R:%S - ") -- 1ère étape du script : le fichier existait déjà, il a été supprimé." -fi -echo "$(date "+%R:%S - ") -- 1ère étape du script : écriture du fichier $LOC_DIR/ws.locations ." - if ! grep -q "ws.locations" /etc/nginx/app.d/server.ReverseProxy.conf; then sed -i "/$1;/ a\ include $LOC_DIR/ws.locations;" /etc/nginx/app.d/server.ReverseProxy.conf if nginx -t 2>/dev/null; then synoservicecfg --reload nginx; else exit 1; fi - echo "$(date "+%R:%S - ") -- Étape finale du script atteinte : Écriture dans le fichier server.ReverseProxy.conf." - part2=1 + part2=1 # Variable pour indiquer que cette partie a été exécutée fi ## ## Fin de la partie de création/modification de fichiers ############################################################################################################# - - -echo "$(date "+%R:%S - ") -- Vérification du fichier créé lors de la 1ère étape du script (qu'elle ait été exécuté maintenant ou précédemment) :" -echo "cat /etc/nginx/ws.locations" -cat /etc/nginx/ws.locations -if [ ! $part2 -eq 1 ]; then - echo "$(date "+%R:%S - ") -- 2ème étape du script inutile donc non exécutée : la modification du fichier server.ReverseProxy.conf a déjà été effectuée lors d'une précédente exécution" +if [ $part1 -eq 1 ]; then + echo "$(date "+%R:%S - ") -- Le fichier $LOC_DIR/ws.locations existait déjà, il a été supprimé puis recréé." +else + echo "$(date "+%R:%S - ") -- Le fichier $LOC_DIR/ws.locations n'existait pas, il a été créé." fi +if [ $part2 -eq 1 ]; then + echo "$(date "+%R:%S - ") -- !!!!!! ---> La modification dans le fichier /etc/nginx/app.d/server.ReverseProxy.conf n'existait pas. Elle a été écrite." + echo "$(date "+%R:%S - ") -- !!!!!! ---> Le fichier /etc/nginx/app.d/server.ReverseProxy.conf a du être réinitialisé après un reboot ou lors d'une modification du reverse-proxy dans DSM." +else + echo "$(date "+%R:%S - ") -- La modification du fichier /etc/nginx/app.d/server.ReverseProxy.conf a déjà été effectuée lors d'une précédente exécution. Aucune modification n'est donc nécessaire." +fi + echo "$(date "+%R:%S - ") Script Bitwarden_RS__Enable_Websocket.sh terminé" exit \ No newline at end of file diff --git a/docker-compose/bitwardenrs_backup/Tuto - forum-nas.bbcode b/docker-compose/bitwardenrs_backup/Tuto - forum-nas.bbcode new file mode 100644 index 0000000..6451f7d --- /dev/null +++ b/docker-compose/bitwardenrs_backup/Tuto - forum-nas.bbcode @@ -0,0 +1,552 @@ +[size=200][color=#800000][b]( [u] > TUTO mis à jour < [/u] )[/b][/color][/size] + + +Bonjour à toutes et à tous, + +[color=#BF40BF][b][size=200]Préambule[/size][/b][/color] +Tout d'abord, pourquoi je fais un nouveau tuto d'installation de [url=https://github.com/dani-garcia/bitwarden_rs]Bitwarden_rs[/url]... En fait je n'ai pas vu de tuto vraiment à mon goût sur l'installation de [url=https://github.com/dani-garcia/bitwarden_rs]Bitwarden_rs[/url], soit il manque des explications, soit c'est fait via l'interface DSM de docker... Donc je me décide à en faire un moi-même. +Je précise qu'il n'y aura pas beaucoup de différences avec ceux trouvés sur le NET, si ce n'est ceci : +[list] +[*] L'utilisation de Portainer ou de la ligne de commande (=CLI) avec docker-compose +[*] Des commentaires expliquants la plupart des options utilisées tout le long du docker-compose.yml +[*] Une utilisation combinée avec un conteneur faisant automatiquement des sauvegardes de la base de données, là aussi avec des commentaires dans le docker-compose.yml : [url]https://gitlab.com/1O/bitwarden_rs-backup[/url] + [/list] + + +[color=#4040BF][b][size=200]Sommaire :[/size][/b] +1. Prérequis +2- Mise en place et création des conteneurs [color=#800000][b]( [u] > Mise à jour < [/u] )[/b][/color] + 2.1- Petites explications sur ce qui suivra + 2.2- Création du docker-compose.yml [color=#800000][b]( [u] > Mise à jour < [/u] )[/b][/color] + 2.3- Création des dossiers et du réseau + 2.4- Création des conteneurs (2 méthodes) +3- 1er lancement et sécurisation 2FA +4- Ajout d'un script pour les notifications Websocket [color=#800000][b]( [u] > Ajout < [/u] )[/b][/color] + 4.1- Explications : Pourquoi ? Comment ? [color=#800000][b]( [u] > Ajout < [/u] )[/b][/color] + 4.2- Comment lancer le script ? [color=#800000][b]( [u] > Ajout < [/u] )[/b][/color] + 4.3- Enfin le script lui même ! [color=#800000][b]( [u] > Ajout < [/u] )[/b][/color] +... +[/color] + +[color=#BF40BF][b][size=200]1- Prérequis[/size][/b][/color] + +Pour mettre en oeuvre ce tuto, il faudra au préalable : +[list][*] que vous ayez mis en place [b][u]Portainer[/u][/b] ([url=https://www.forum-nas.fr/viewtopic.php?f=56&t=14030]voir le tuto d'EVOTk[/url]) ; +[*] que vous sachiez vous connecter en SSH au NAS et lancer [i]docker-compose up -d[/i] si vous optez pour la création des conteneurs en ligne de commande (vous trouverez ici un tuto explicatif : [url=https://www.forum-nas.fr/viewtopic.php?f=56&t=11461][Tuto] Acceder à son NAS en lignes de commande[/url]) ; +[*] savoir identifier les PUID et PGID d'un utilisateur avec une ligne de commande en SSH sur le NAS. + [/list] + + +[size=200][color=#BF40BF][b]2- Mise en place et création des conteneurs[/b][/color] [color=#800000][b]( [u] > Mise à jour < [/u] )[/b][/color][/size] + +[color=#BF40BF][b][size=150]2.1- Petites explications sur ce qui suivra[/size][/b][/color] + +Le but de ce tuto est de tout préparer sur l'ordinateur avant de placer les fichiers/dossiers au bon endroit, tout en comprenant bien ce qui est fait et les implications de certaines options. +On va tout d'abord commencer par créer un fichier [i]docker-compose.yml[/i] qui pourra servir pour les deux méthodes d'installation (Portainer, ou CLI). +J'opte pour combiner la création des deux conteneurs ([b]bitwarden_rs[/b] et [b]Bitwarden_rs Backup[/b]) en un seul fichier [i]docker-compose.yml[/i]. J'ai également choisi de placer ces deux conteneurs dans un même réseau (network) que je nomme [i]bitwarden_network[/i]. +Ensuite il faudra créer ce réseau et les dossiers utilisés avant de créer les conteneurs. +Pour les dossiers, je pars sur cette organisation : (sur le volume1) +[url=https://i.imgur.com/4A40l2A.png][img]https://i.imgur.com/4A40l2A.png[/img][/url] + + +[b][color=#800000]Note : Tout ce qui sera XXxxXX sera à remplacer par vos valeurs. J'indiquerais comment les obtenir si ce n'est pas évident.[/color][/b] + +[size=150][color=#BF40BF][b]2.2- Création du docker-compose.yml[/b][/color] [color=#800000][b]( [u] > Mise à jour < [/u] )[/b][/color][/size] +Vous pouvez télécharger le fichier ci-joint : +[list][*] Ancienne version [attachment=1]ANCIEN--docker-compose--bitwardenrs-et-backup.7z[/attachment] +[*] [b][color=#800000]Nouvelle version du fichier docker-compose :[/color][/b] [attachment=2]NOUVEAU - bitwardenrs_backup_docker-compose.7z[/attachment] +[/list] +[size=150][color=#800000][b]( Dans la mise à jour du tuto, j'ai ajouté pas mal de commentaires dans le fichier docker-compose.yml. Lisez-les attentivement )[/b][/color][/size] + +Ce fichier est composé de trois parties : une partie dédiée à bitwarden_rs et à sa configuration, et une autre partie dédiée à bitwarden_rs backup et à sa configuration, et enfin une pour le réseau. + +[u][b]Explications sur la partie configuration ([b][color=#4040FF]partie 1[/color][/b]) de bitwarden_rs (1ère partie du docker-compose.yml) :[/b][/u] + +Ce qui suit met en place la version de docker-compose à utiliser : pour plus de compatibilité (et par simplicité car je ne maitrise pas la v3...) on part sur une v2. +Je place dans l'extrait ci-dessous des commentaires supplémentaires (non présents dans le fichier joint) pour expliquer les choix faits. +[code]##============================================================================================== +## ## +## Fichier docker-compose.yml pour Bitwarden_RS avec Bitwarden-Backup ## +## ## +##============================================================================================== +## ## +## Attention, avec ce fichier, il faut avoir créer le réseau "bitwarden_network" avant de ## +## créer les conteneurs. ## +## ## +## La mise en place de fail2ban se fera avec un docker-compose dédié. ## +## ## +##============================================================================================== +## ## +## Ajout des Notifications Websocket ## +## ## +## Pour qu'elles'fonctionnent, il faut configurer le reverse-proxy correctement. ## +## Pour celui de DSM, il n'est malheureusement pas possible de configurer les ## +## redirections /notifications/hub vers le serveur WebSocket ni celles vers le port normal ## +## /notifications/hub/negotiate ## +## Voir cet article pour tout ce qui n'est pas possible via l'interface de DSM : ## +## https://github.com/dani-garcia/bitwarden_rs/wiki/Enabling-WebSocket-notifications ## +## ## +## Dès lors, il faut ruser et passer par l'exécution d'un petit script qui va créer un ## +## fchier ws.locations contenant les modifications précédentes, et qui va écrire une ## +## ligne dans le fichier /etc/nginx/app.d/server.ReverseProxy.conf pour inclure le ## +## fichier ws.locations au niveau de la section concernant le nom de domaine pour ## +## bitwarden_RS. ## +## Comme cela, il n'est pas nécessaire de passer par le changement de reverse-proxy, assez ## +## complexe à mettre en oeuvre... ## +## ## +## Le script est : Bitwarden_RS__Enable_Websocket.sh ## +## ## +## Il faudra la lancer régulièrement et à chaque redémarrage du NAS, via deux tâches ## +## plannifiées dédiées, en donnant 3 paramètres au fichier : ## +## - le nom de domaine de bitwarden ## +## - le port HTTP exposé (donc pas l'interne du conteneur) pour l'interface graphique ## +## - le port websocket exposé (donc pas l'interne du conteneur) ## +## Voir les commentaires de ce fichier Bitwarden_RS__Enable_Websocket.sh pour plus ## +## d'explications. ## +## ## +##============================================================================================== + +--- +version: "2" + +services: + bitwardenrs: # Voir : https://github.com/dani-garcia/bitwarden_rs + image: bitwardenrs/server:latest + container_name: bitwardenrs + networks: + - bitwarden_network + environment: + # Utiliser la commande (en SSH) : id NOM_UTILISATEUR + - PUID=XXxxXX + - PGID=XXxxXX + - TZ=Europe/Paris + + # Pour l'envoi d'emails + - SMTP_HOST=XXxxXX + - SMTP_FROM=XXxxXX + - SMTP_FROM_NAME=BlaBla + - SMTP_PORT=XXxxXX + - SMTP_SSL=true + - SMTP_USERNAME=XXxxXX + - SMTP_PASSWORD=XXxxXX + + - INVITATION_ORG_NAME=Bitwarden_RS [Votre Nom, pseudo...] # Permet de spécifier un nom d'application pour les invitations d'organisation + + # Nécessaire pour activer le 2FA pour la connexion à notre serveur bitwarden_rs + # Il est possible de spécifier un port de connexion dans l'URL. Le https:// est obligatoire. + # Pour cette option, il est donc OBLIGATOIRE d'avoir fait le nécessaire pour avoir du HTTPS (certificats, reverse-proxy, ...) + - DOMAIN=XXxxXX + + # Pour enregistrer les log avec un niveau particulier + - LOG_FILE=/data/bitwarden.log + - LOG_LEVEL=warn + - EXTENDED_LOGGING=true + + # je n'aime pas les indices pour les mots de passe... + - SHOW_PASSWORD_HINT=false + + # Pour activer la console d'administation, accessible via : https://mon.domaine.tld/admin/ + # Voir détails ici : https://github.com/dani-garcia/bitwarden_rs/wiki/Enabling-admin-page + # /!\ + # /!\ N'importe qui pourra accéder à la page de connexion, alors blinder le token d'amdin ci-dessous (64 caractères pour moi) ! + # /!\ Il est de plus TRÈS important d'avoir ACTIVÉ le HTTPS avant l'activation de cette option. + # /!\ + # Je conseille de ne l'activer qu'en cas de nécessité, et de la désactiver après. + # Pour désactiver, il suffit de commenter la ligne ci-dessous. + - ADMIN_TOKEN=XXxxXX + # À noter : + # La première fois que vous enregistrez un paramètre dans la page d'administration, 'config.json' sera généré + # dans votre 'DATA_FOLDER'. Les valeurs de ce fichier auront priorité sur les valeurs 'environnement'. + + - SIGNUPS_ALLOWED=false # Fait en sorte que les inscriptions soient bloquées, seul l'admin pourra inviter + # des utilisateurs avec un envoi d'email depuis la console d'administation + + - WEBSOCKET_ENABLED=true # Active les WebSocket notifications (Nécessite la configuration du reverse-proxy) + # Durant le nombre importants d'essais, j'en suis venu à laisser le port par défaut + # pour le WEBSOCKET_PORT. Il est possible que ça fonctionne avec un port différent. + # Il faudra alors décommenter la ligne suivante, et changer le port exposé plus bas. + #- WEBSOCKET_PORT=3012 # Par défaut = 3012 + + # Pour activer la récupération des icones des IP LAN, il faut mettre sur false la variable ICON_BLACKLIST_NON_GLOBAL_IPS + - ICON_BLACKLIST_NON_GLOBAL_IPS=false # Par défaut = true + + labels: + - "com.centurylinklabs.watchtower.enable=true" + + volumes: + - "/volume1/docker/bitwarden_rs/bitwarden-data/:/data/" + ports: + - XXxxXX:3012 # Choisir un port libre pour le websocket + - XXxxXX:80 # Choisir un port libre pour l'interface WEB + restart: unless-stopped[/code] + + +[u][b]Maintenant la deuxième partie ([b][color=#4040FF]partie 2[/color][/b]) qui peut ne pas être utilisée si vous ne souhaitez pas sauvegarder automatiquement la BDD :[/b][/u] [color=#800000][b]( [u] > Mise à jour < [/u] )[/b][/color] + +Comme précédemment, les indications sont en commentaires) +[code] # Sauvegarde automatique de la base de données, au-cas-où ! + bitwarden_backup: # Voir : https://gitlab.com/1O/bitwarden_rs-backup + image: bruceforce/bw_backup:latest + container_name: bitwarden_backup + networks: + - bitwarden_network + restart: always + depends_on: + bitwardenrs: + condition: service_healthy + labels: + - "com.centurylinklabs.watchtower.enable=true" + volumes: + #- /etc/localtime:/etc/localtime:ro # Devenu inutile sur nos Syno avec la variable d'env. TZ (voir plus bas) + - /volume1/docker/bitwarden_rs/bitwarden-data/:/data/ + # Chemin d'accès pour stocker le backup, voir https://gitlab.com/1O/bitwarden_rs-backup#wrong-permissions + - /volume1/docker/bitwarden_rs/bitwarden-backup:/backup_folder/ + + environment: + # Path to the Bitwarden sqlite3 database inside the container + - DB_FILE=/data/db.sqlite3 + + # Path to the desired backup location inside the container + # - BACKUP_FILE=/data/db_backup/backup.sqlite3 + - BACKUP_FILE=/backup_folder/backup.sqlite3 + + # Sets the permissions of the backup file + # The permissions should at least be 700 since the backup folder itself gets the same permissions + # and with 600 it would not be accessible. + - BACKUP_FILE_PERMISSIONS=700 + + # Cronjob format "Minute Hour Day_of_month Month_of_year Day_of_week Year" + # https://crontab.guru/#0_9_*_*_* + # minutes | heures | jour du mois | mois | jour de la semaine + - CRON_TIME=0 18 * * * + + # Set to true to append timestamp to the BACKUP_FILE + - TIMESTAMP=true + + # User ID to run the cron job with + - UID=1038 # J'ai créé un utilisateur dédié à Bitwarden, utiliser la commande 'id nom_user' + + # Group ID to run the cron job with + - GID=100 + + # Path to the logfile inside the container + #- LOGFILE + + # Path to the cron file inside the container + #- CRONFILE + + # Delete old backups after X many days + - DELETE_AFTER=14 + + # If you need timestamps in your local timezone you should mount /etc/timezone:/etc/timezone:ro and + # /etc/localtime:/etc/localtime:ro like it's done in the docker-compose.yml. + # An other possible solution is to set the environment variable accordingly (like TZ=Europe/Berlin) + # (see https://en.wikipedia.org/wiki/List_of_tz_database_time_zones for more information). + - TZ=Europe/Paris +[/code] + + +[u][b]Et enfin une dernière partie ([b][color=#4040FF]partie 3[/color][/b]) qui est obligatoire, celle qui concerne le réseau :[/b][/u] +[code]networks: # On indique ici de quel réseau on parlait précédement + bitwarden_network: + external: # C'est un réseau créé en dehors du docker-compose. + name: bitwarden_network # Je précise toujours un nom, car sinon ça va prendre un nom à rallonge avec + # le nom du conteneur et du réseau voulu... +[/code] + +Il est à préciser que ces trois parties sont à fusionner en un seul et même fichier. Je les ai séparer pour les explications. +Voir le fichier docker-compose.yml joint précédement. + +[color=#BF40BF][b][size=150]2.3- Création des dossiers et du réseau[/size][/b][/color] + +La partie explications des options à placer dans le fichier [i]docker-compose.yml[/i] étant faite, passons à la [b]création des dossiers sur le NAS[/b]. +Vous pouvez soit passer par DSM, soit par la ligne de commande. +Si vous optez pour la CLI, voilà les commandes à taper : +[code]sudo -i +cd /volume1/docker +mkdir -p bitwarden_rs bitwarden_rs/bitwarden-data bitwarden_rs/bitwarden-backup[/code] +Une fois ces dossiers créés, copier votre [i]docker-compose.yml[/i] dans le dossier [b]/volume1/docker/bitwarden_rs[/b]. + +Il faut maintenant créer le réseau. Plusieurs possibilités existent. +Soit vous passez par DSM (non expliquée ici), soit vous passez par Portainer, soit enfin via la CLI. +[list][*] [b][color=#008040] Utilisation de Portainer :[/color][/b] +Dans Portainer, il faut aller dans la section [b]Networks[/b], et ensuite cliquer sur le bouton [b]Add Network[/b] : +[url=https://i.imgur.com/GleZg5t.png][img]https://i.imgur.com/GleZg5t.png[/img][/url] +Ensuite, il suffit juste de rentrer le nom du réseau à créer (ici : ) et de bien choisir Bridge comme Driver : +[url=https://i.imgur.com/g3AJxFC.png][img]https://i.imgur.com/g3AJxFCl.png[/img][/url] +Il n'y a pas besoin de toucher au reste. Portainer choisir les IP en fonction de ce qui est déjà créé chez vous. +________________ + +[*] [b][color=#008040] Utilisation de la CLI :[/color][/b] +Pour créer le réseau bitwarden_network : +[code]sudo docker network create bitwarden_network[/code] +Si vous voulez supprimer le réseau ainsi créé, il faut taper : +[code]sudo docker network rm bitwarden_network[/code] +Au besoin, si vous voulez lister les réseeaux : +[code]sudo docker network ls[/code] +Note : Si vous avez plusieurs commandes à taper en mode root, il faut faire : [i]sudo -i[/i] +Et ensuite taper vos commande sans le [i]sudo[/i] devant. +[/list] + + + +[color=#BF40BF][b][size=150]2.4- Création des conteneurs (2 méthodes)[/size][/b][/color] +Maintenant tout est prêt pour qu'on se lance dans la création des conteneurs. +Deux possibilités : passer par Portainer, ou bien la CLI. +[list] +[*] [b][color=#008040] Par [u]Portainer[/u] :[/color][/b] +Il faut aller dans la section "[b]Stacks[/b]", puis cliquer sur le bouton "[b]+ Add stack[/b]" : +[url=https://i.imgur.com/CIMB1gp.png][img]https://i.imgur.com/CIMB1gp.png[/img][/url] +Ensuite, on donne un nom à la stack que l'on va créer et on copie/colle le contenu du fichier [b][i]docker-compose.yml[/i][/b] créé précédemment : +[url=https://i.imgur.com/c1oY59d.png][img]https://i.imgur.com/c1oY59dl.png[/img][/url] +Il est également possible d'uploader ce dit fichier en utilisant le bouton "Upload" : (je n'ai personnellement jamais utiliser cette option, mais il n'y a pas de raison pour qu'elle ne fonctionne pas) +[url=https://i.imgur.com/XxbFs6F.png][img]https://i.imgur.com/XxbFs6Fl.png[/img][/url] + +Il ne reste plus qu'à cliquer sur le bouton "Deploy the stack" tout en bas à gauche de la page : +[url=https://i.imgur.com/nJE7Z2R.png][img]https://i.imgur.com/nJE7Z2Rl.png[/img][/url] + +Si une erreur apparait, ce sera dans le coin supérieur droit dans un rectangle rouge, essayer d'en faire une capture avant sa disparition. +Si non, un message en vert apparait et les conteneurs seront créés : +[url=https://i.imgur.com/3jMl1BF.png][img]https://i.imgur.com/3jMl1BF.png[/img][/url] +[url=https://i.imgur.com/fixEiJh.png][img]https://i.imgur.com/fixEiJh.png[/img][/url] +Vous noterez dans cette stack, il est possible de l'éditer pour la modifier avec l'onglet [b]Editor[/b] : +[url=https://i.imgur.com/IaHNqZZ.png][img]https://i.imgur.com/IaHNqZZ.png[/img][/url] +__________ + +[*] [b][color=#008040] Par [u]la CLI[/u] :[/color][/b] +Avec la ligne de commande, il faut être en root (voir remarque faite précédemment à ce propos...). +Il faut aussi être dans le dossier contenant le fichier docker-compose, sinon il faut spécifier avec un argument supplémentaire le fichier et son chemin. Je choisi la facilité : on se place dans le bon dossier : +[code]cd /volume1/docker/bitwarden_rs +sudo docker-compose up -d[/code] +La création des deux conteneurs se fait et ils démarrent. +[/list] + + + +[color=#BF40BF][b][size=200]3- 1er lancement et sécurisation 2FA[/size][/b][/color] +Une fois les étapes précédentes accomplies, il faut accéder au serveur avec l'url que vous avez indiqué dans la configuration. +Si vous essayer d'accéder via l'IP LAN en http ça ne fonctionnera pas, car le HTTPS est activé, vous aurez l'erreur suivante : +[url=https://i.imgur.com/fgfVIHs.png][img]https://i.imgur.com/fgfVIHs.png[/img][/url] +Et si vous essayer toujours avec l'IP mais en HTTPS, vous aurez cette erreur : +[url=https://i.imgur.com/NpwOycm.png][img]https://i.imgur.com/NpwOycml.png[/img][/url] +Bref, il faut y accéder avec votre nom de domaine : +[url=https://i.imgur.com/YnfDVX9.png][img]https://i.imgur.com/YnfDVX9l.png[/img][/url] +Il faut ensuite créer votre compte et vous pourrez alors créer vos mots de passe, importer depuis un autre logiciel de mot de passe... +[url=https://i.imgur.com/5sIki2u.png][img]https://i.imgur.com/5sIki2u.png[/img][/url] + +Voilà voilà. +Reste plus qu'à sécuriser le compte avec le 2FA. Pour cela, il faut aller dans le compte : +[url=https://i.imgur.com/f9Kfhru.png][img]https://i.imgur.com/f9Kfhru.png[/img][/url] +[url=https://i.imgur.com/IlJMcNs.png][img]https://i.imgur.com/IlJMcNsl.png[/img][/url] +Puis il faut choisir votre méthode. J'ai choisi de passer par une application d'authentification comme MS Authenticator, ou Authy, ou même une autre application de mot de passe comme EnPass que j'utilise aussi. +Cliquer sur le bouton Gérer de la méthode choisie : [url=https://i.imgur.com/SX17nHB.png][img]https://i.imgur.com/SX17nHB.png[/img][/url] +Entre votre mot de passe maitre (celui du compte BW) : +[url=https://i.imgur.com/wiwWUcd.png][img]https://i.imgur.com/wiwWUcdl.png[/img][/url] +À l'aide de l'application d'authentification, après y avoir entrer les infos (QR-Code ou Code alphanumérique), entrer le code à usage unique générer pour valider le 2FA : +[url=https://i.imgur.com/dCv6lEB.png][img]https://i.imgur.com/dCv6lEBl.png[/img][/url] + +Voilà, le compte est protégé :) + +PS : si vous n'avez plus besoin de compte sur votre serveur, il est possible de désactiver la création des comptes. +Dans la section : +[code] environment:[/code] +Il faut ajouter ceci : +[code] - SIGNUPS_ALLOWED=false[/code] + + + + +[size=200][color=#800000][b]( [u] > Mise à jour : AJOUT < [/u] )[/b][/color][/size] + + +[color=#BF00BF][size=200][b]4- Ajout d'un script pour les notifications Websocket[/b][/size][/color] +Alors, après pas mal de temps de recherche, j'ai finalement trouvé comment activer les notifications Websocket et j'ai aussi compris leur utilité. +J'ai trouvé la méthode sur le forum officiel de Bitwarden_RS, où ce lien a été posté : https://gist.github.com/nstanke/3949ae1c4706854d8f166d1fb3dadc81 +J'ai pris ce script, et je l'ai amélioré selon mes goûts de sureté, et d'explications (vous verrez plus bas de quoi je parle). + +[color=#BF40BF][b][size=150]4.1- Explications : Pourquoi ? Comment ?[/size][/b][/color] + +Ces notifications servent à mettre à jour automatiquement les extensions navigateurs et les clients non mobiles, donc les applications windows, macos, etc, mais pas android et iOS. Pour ces derniers OS, ce n'est juste pas possible avec Bitwarden_RS, car il faudrait passer par les serveurs de Bitwarden pour les notifications push. Et Bitwarden_RS ne peut pas le faire. + +Pour activer ces notifications Websocket, il faut faire plusieurs choses. Seul ce qui suit est faisable directement depuis DSM, dans le reverse-proxy : +[url=https://i.imgur.com/LP6lRid.png][img]https://i.imgur.com/LP6lRid.png[/img][/url] +Lors de la création de la règle pour BitwardenRS, il faut ajouter les entêtes personnalisés suivants : (pensez à utiliser le bouton pour créer automatiquement les deux premières lignes) +[url=https://i.imgur.com/PenfXww.png][img]https://i.imgur.com/PenfXww.png[/img][/url] [url=https://i.imgur.com/B3nlyXP.png][img]https://i.imgur.com/B3nlyXP.png[/img][/url] + +Pour le reste, malheureusement il n'est pas possible de le faire depuis DSM... car bien le moteur du reverse-proxy est nginx, il n'y a pas d'interface graphique pour le faire. +Il faut faire passer /notifications/hub avec les mêmes entêtes et /notifications/hub/negotiate au conteneur. Et ça, pas moyen de le faire depuis DSM. +Il faut passer par un script qui va créer un fichier [b]ws.locations[/b] contenant ces propriétés, et modifier le fichier de configuration [b]/etc/nginx/app.d/server.ReverseProxy.conf[/b] afin d'inclure le fichier créé [b]ws.locations[/b] au bon endroit, c'est-à-dire dans la section du nom de domaine pour bitwardenRS. +C'est donc un prérequis (voir les captures précédentes). +Le fichier qui sera créé ressemblera à ceci : +[url=https://i.imgur.com/BFfTHvA.png][img]https://i.imgur.com/BFfTHvA.png[/img][/url] +[color=#800040][b]Il faudra adapter le script suivant [u]pour tenir compte de votre adresse IP de l'hôte[/u] du conteneur bitwarden.[/b][/color] C'est-à-dire remplacer 192.168.2.200 par l'IP de votre NAS. + +Il est à noter que le fichier [b]/etc/nginx/app.d/server.ReverseProxy.conf[/b] est réinitialisé à chaque démarrage du NAS, mais aussi à chaque changement dans l'interface graphique du reverse-proxy dans DSM. Il faut donc le lancer périodiquement. +Il faudra créer une tâche planifiée en conséquence. +En ce qui me concerne j'ai créé une tâche déclenchée à chaque démarrage du NAS, et une programmée toutes les 6h. Vous pouvez mettre une fréquence plus grande (toutes les 1h) ou moins, c'est selon votre utilisation du NAS et des modifications dans le reverse-proxy. +La modification du fichier ressemblera à ceci : +[url=https://i.imgur.com/TPJOBIk.png][img]https://i.imgur.com/TPJOBIk.png[/img][/url] + +[color=#BF40BF][b][size=150]4.2- Comment lancer le script ?[/size][/b][/color] + +Le script (présent dans le § suivant) doit être lancé avec 3 arguments, sinon vous aurez un beau message indiquant que vous avez fait n'importe quoi... (mais sans rien casser, j'ai bien fait les choses). +Si le script n'est pas lancé avec le bon nombre d'arguments, vous aurez ce message : +[url=https://i.imgur.com/YpocS4D.png][img]https://i.imgur.com/YpocS4D.png[/img][/url] + +Attention, s'il y a bien 3 arguments, je n'ai pas fait de vérification, à vous de savoir ce que vous faites ! +Voici quelques explications sur les arguments à placer. +[list=][*] Le premier est votre nom de domaine pour Bitwarden-RS. +[*] Le second est le port déclaré dans le reverse proxy pour accéder à l'interface web : par défaut c'est 80. Il sera probablement modifié dans votre installation (voir fichier docker-compose). +[*] Le troisième est le port websocket qui par défaut est le 3012. Il sera probablement modifié dans votre installation (voir fichier docker-compose).[/list] + +Exemple de commande à placer dans le planificateur de tâches : +[code]bash /volume1/docker/_Scripts-DOCKER/Bitwarden_RS__Enable_Websocket.sh mon-ndd-a-moi.tld 8001 3012[/code] + +Voilà voilà pour les explications. +Il faudra le lancer une fois après avoir paramétré les tâches. + +[color=#BF40BF][b][size=150]4.3- Enfin le script lui même ![/size][/b][/color] + +Voilà le script. Attention, j'ai mis pas mal de commentaires dans le script, et que j'ai mis des lignes echo permettant d'avoir un retour d'exécution pour le log qu'on obtient. +Lisez bien les commentaire ;) (pièce jointe : [attachment=0]Bitwarden_RS__Enable_Websocket.7z[/attachment] + +[code]#!/bin/bash +##============================================================================================== +## ## +## Script Bitwarden_RS__Enable_Websocket.sh ## +## ## +## Source : https://gist.github.com/nstanke/3949ae1c4706854d8f166d1fb3dadc81 ## +## ## +##============================================================================================== +## ## +## Ce script pemet de router ce qui ne peut pas être fait avec le reverse-proxy ## +## de DSM (Synology) pour faire fonctionner les notifications Websocket ## +## Doc. Bitwarden_RS : ## +## Route the /notifications/hub endpoint to the WebSocket server, by default ## +## at port 3012, making sure to pass the Connection and Upgrade headers. ## +## (Note the port can be changed with WEBSOCKET_PORT variable) ## +## https://github.com/dani-garcia/bitwarden_rs/wiki/Enabling-WebSocket-notifications ## +## ## +##============================================================================================== +## ## +## Principe de Tâche planifier à créer ## +## ## +## Il faut lancer régulièrement le script car toutes modifications faites dans l'interface ## +## graphique du Reverse-Proxy de DSM va modifier le fichier de configuration. Il en va de ## +## même lorsque le NAS redémarre. ## +## ## +##============================================================================================== +## ## +## /!\ Il faut modifier l'adresse IP en ligne 89 et 95 par l'IP du NAS /!\ ## +## ## +##============================================================================================== +## ## +## Paramètres de lancement du script : ## +## bash /volume1/docker/bitwarden/enable_ws.sh vault.example.com 5555 5556 ## +## ## +## -- vault.example.com = Nom de domaine de Bitwarden_rs (celui du Reverse Proxy de DSM) ## +## -- 5555 = Port exposé ROCKET_PORT par Docker (Identique à celui du Reverse Proxy de DSM) ## +## -- 5556 = Port exposé WEBSOCKET_PORT par Docker ## +## ## +##============================================================================================== + +##=========================================================================================================== +## ## +## Ma commande à lancer : ## +## bash /volume1//docker/_Scripts-DOCKER/Bitwarden_RS__Enable_Websocket.sh mon-ndd-a-moi.tld 8001 30120 ## +## ## +##=========================================================================================================== + +LOC_DIR="/etc/nginx" +part1=0 +part2=0 + +echo -e "\n$(date "+%R:%S - ") Script Bitwarden_RS__Enable_Websocket.sh pour activer les Notifications Websockets" + +f_affiche_parametre() { + echo " bash /volume1//docker/_Scripts-DOCKER/Bitwarden_RS__Enable_Websocket.sh vault.example.com 5555 5556 " + echo " -- vault.example.com = Nom de domaine de Bitwarden_rs (celui du Reverse Proxy de DSM) " + echo " -- 5555 = Port exposé ROCKET_PORT par Docker (Identique à celui du Reverse Proxy de DSM)" + echo " -- 5556 = Port exposé WEBSOCKET_PORT par Docker" +} + +if [ ! $# -eq 3 ]; then + if [ $# -eq 0 ]; then + # Aucun paramètre n'a été fourni. On va afficher la liste de ce qui peut être utilisé. + echo "$(date "+%R:%S - ") Aucun paramètre fourni ! Revoir l'appel du script :" + f_affiche_parametre + else + echo "$(date "+%R:%S - ") Le nombre de paramètres fournis n'est pas correct ! Revoir l'appel du script :" + f_affiche_parametre + fi + echo -e "$(date "+%R:%S - ") ECHEC de lancement du script !!!!!!!!!\n" + exit 1 +fi + +echo "$(date "+%R:%S - ") Exécution des commandes..." + + +############################################################################################################# +## Début de la partie de création/modification de fichiers +## +if [ -f $LOC_DIR/ws.locations ]; then + rm /etc/nginx/ws.locations + part1=1 +fi +echo """ +location /notifications/hub { + proxy_pass http://192.168.2.200:$3; + proxy_set_header Upgrade \$http_upgrade; + proxy_set_header Connection \"upgrade\"; +} + +location /notifications/hub/negotiate { + proxy_pass http://192.168.2.200:$2; +} +""" >> $LOC_DIR/ws.locations + + +if ! grep -q "ws.locations" /etc/nginx/app.d/server.ReverseProxy.conf; then + sed -i "/$1;/ a\ include $LOC_DIR/ws.locations;" /etc/nginx/app.d/server.ReverseProxy.conf + if nginx -t 2>/dev/null; then synoservicecfg --reload nginx; else exit 1; fi + + part2=1 # Variable pour indiquer que cette partie a été exécutée +fi +## +## Fin de la partie de création/modification de fichiers +############################################################################################################# + +if [ $part1 -eq 1 ]; then + echo "$(date "+%R:%S - ") -- Le fichier $LOC_DIR/ws.locations existait déjà, il a été supprimé puis recréé." +else + echo "$(date "+%R:%S - ") -- Le fichier $LOC_DIR/ws.locations n'existait pas, il a été créé." +fi +if [ $part2 -eq 1 ]; then + echo "$(date "+%R:%S - ") -- !!!!!! ---> La modification dans le fichier /etc/nginx/app.d/server.ReverseProxy.conf n'existait pas. Elle a été écrite." + echo "$(date "+%R:%S - ") -- !!!!!! ---> Le fichier /etc/nginx/app.d/server.ReverseProxy.conf a du être réinitialisé après un reboot ou lors d'une modification du reverse-proxy dans DSM." +else + echo "$(date "+%R:%S - ") -- La modification du fichier /etc/nginx/app.d/server.ReverseProxy.conf a déjà été effectuée lors d'une précédente exécution. Aucune modification n'est donc nécessaire." +fi + +echo "$(date "+%R:%S - ") Script Bitwarden_RS__Enable_Websocket.sh terminé" + +exit[/code] + + + +[i][size=150]Plus tard viendra la partie fail2ban.[/size][/i] + + + + + + + + + + + +________________ + +[size=150][color=#00BF80]À venir : intégration de fail2ban pour sécuriser un poil plus, même si avec le HTTPS et la 2FA c'est déjà bien :) +[/color][/size] \ No newline at end of file diff --git a/docker-compose/bitwardenrs_backup/docker-compose.yml b/docker-compose/bitwardenrs_backup/docker-compose.yml index 0c2320a..a6ccbf3 100644 --- a/docker-compose/bitwardenrs_backup/docker-compose.yml +++ b/docker-compose/bitwardenrs_backup/docker-compose.yml @@ -66,13 +66,13 @@ services: - SMTP_USERNAME=XXxxXX - SMTP_PASSWORD=XXxxXX + - INVITATION_ORG_NAME=Bitwarden_RS [Votre Nom, pseudo...] # Permet de spécifier un nom d'application pour les invitations d'organisation + # Nécessaire pour activer le 2FA pour la connexion à notre serveur bitwarden_rs # Il est possible de spécifier un port de connexion dans l'URL. Le https:// est obligatoire. # Pour cette option, il est donc OBLIGATOIRE d'avoir fait le nécessaire pour avoir du HTTPS (certificats, reverse-proxy, ...) - DOMAIN=XXxxXX - - INVITATION_ORG_NAME=Bitwarden_RS [Votre Nom, pseudo...] # Permet de spécifier un nom d'application pour les invitations d'organisation - # Pour enregistrer les log avec un niveau particulier - LOG_FILE=/data/bitwarden.log - LOG_LEVEL=warn @@ -84,7 +84,7 @@ services: # Pour activer la console d'administation, accessible via : https://mon.domaine.tld/admin/ # Voir détails ici : https://github.com/dani-garcia/bitwarden_rs/wiki/Enabling-admin-page # /!\ - # /!\ N'importe qui pourra accéder à la page de connextion, alors blinder le token d'amdin ci-dessous (64 caractères pour moi) ! + # /!\ N'importe qui pourra accéder à la page de connexion, alors blinder le token d'amdin ci-dessous (64 caractères pour moi) ! # /!\ Il est de plus TRÈS important d'avoir ACTIVÉ le HTTPS avant l'activation de cette option. # /!\ # Je conseille de ne l'activer qu'en cas de nécessité, et de la désactiver après. @@ -101,8 +101,13 @@ services: # Durant le nombre importants d'essais, j'en suis venu à laisser le port par défaut # pour le WEBSOCKET_PORT. Il est possible que ça fonctionne avec un port différent. # Il faudra alors décommenter la ligne suivante, et changer le port exposé plus bas. - #- WEBSOCKET_PORT=3012 + #- WEBSOCKET_PORT=3012 # Par défaut = 3012 + # Pour activer la récupération des icones des IP LAN, il faut mettre sur false la variable ICON_BLACKLIST_NON_GLOBAL_IPS + - ICON_BLACKLIST_NON_GLOBAL_IPS=false # Par défaut = true + + labels: + - "com.centurylinklabs.watchtower.enable=true" volumes: - "/volume1/docker/bitwarden_rs/bitwarden-data/:/data/" @@ -119,11 +124,14 @@ services: - bitwarden_network restart: always depends_on: - - bitwardenrs + bitwardenrs: + condition: service_healthy + labels: + - "com.centurylinklabs.watchtower.enable=true" volumes: - - /etc/localtime:/etc/localtime:ro + #- /etc/localtime:/etc/localtime:ro # Devenu inutile sur nos Syno avec la variable d'env. TZ (voir plus bas) - /volume1/docker/bitwarden_rs/bitwarden-data/:/data/ - # Chemin d'accès pour stocker le backup + # Chemin d'accès pour stocker le backup, voir https://gitlab.com/1O/bitwarden_rs-backup#wrong-permissions - /volume1/docker/bitwarden_rs/bitwarden-backup:/backup_folder/ environment: @@ -161,6 +169,13 @@ services: # Delete old backups after X many days - DELETE_AFTER=14 + + # If you need timestamps in your local timezone you should mount /etc/timezone:/etc/timezone:ro and + # /etc/localtime:/etc/localtime:ro like it's done in the docker-compose.yml. + # An other possible solution is to set the environment variable accordingly (like TZ=Europe/Berlin) + # (see https://en.wikipedia.org/wiki/List_of_tz_database_time_zones for more information). + - TZ=Europe/Paris + networks: bitwarden_network: -- 2.45.2