Initial vault setup
This commit is contained in:
@@ -0,0 +1,161 @@
|
||||
---
|
||||
title: Vaultwarden
|
||||
created: 2026-06-06
|
||||
updated: 2026-06-06
|
||||
type: app
|
||||
tags: [catalogue, 2FA, password-manager, security, rust]
|
||||
confidence: high
|
||||
contested: false
|
||||
sources: [https://selfh.st/apps/?tag=2FA, https://github.com/dani-garcia/vaultwarden]
|
||||
---
|
||||
# 🔐 Vaultwarden
|
||||
|
||||
> **Serveur Bitwarden-compatible**, écrit en Rust. Le standard de facto pour auto-héberger son gestionnaire de mots de passe.
|
||||
|
||||
## 📋 Informations Générales
|
||||
|
||||
| Champ | Valeur |
|
||||
| :--- | :--- |
|
||||
| **Site web** | [github.com/dani-garcia/vaultwarden](https://github.com/dani-garcia/vaultwarden) |
|
||||
| **GitHub** | [dani-garcia/vaultwarden](https://github.com/dani-garcia/vaultwarden) |
|
||||
| **License** | AGPL-3.0 |
|
||||
| **Langage** | Rust |
|
||||
| **Étoiles GitHub** | 62k ⭐ |
|
||||
| **Dernière MAJ** | 2026-06-05 |
|
||||
| **Catégorie** | [[cat-2fa|2FA]], [[cat-password-manager|Password Manager]] |
|
||||
| **Mainteneur** | dani-garcia + communauté |
|
||||
|
||||
## 📝 Description
|
||||
|
||||
**Vaultwarden** est une réécriture non-officielle du serveur Bitwarden en Rust, beaucoup plus légère que l'original. Elle supporte **tous les clients Bitwarden** (browser, mobile, desktop) et inclut :
|
||||
- Stockage chiffré de mots de passe
|
||||
- Authentification 2FA (TOTP, WebAuthn, YubiKey, Duo, Email)
|
||||
- Partage sécurisé entre utilisateurs
|
||||
- Génération de mots de passe
|
||||
- Audit des mots de passe compromis (HaveIBeenPwned)
|
||||
- Support de fichiers joints chiffrés
|
||||
- API compatible avec tous les clients Bitwarden officiels
|
||||
|
||||
**Avantage clé** : consomme ~100 Mo de RAM (vs 1+ Go pour le serveur officiel Bitwarden en C#/.NET).
|
||||
|
||||
## 🚀 Installation
|
||||
|
||||
### Option 1 : Docker Compose (recommandé)
|
||||
|
||||
```yaml
|
||||
# docker-compose.yml
|
||||
version: '3.8'
|
||||
services:
|
||||
vaultwarden:
|
||||
image: vaultwarden/server:latest
|
||||
container_name: vaultwarden
|
||||
restart: unless-stopped
|
||||
environment:
|
||||
- DOMAIN=https://vault.example.com
|
||||
- SIGNUPS_ALLOWED=true
|
||||
- INVITATIONS_ALLOWED=true
|
||||
- SHOW_PASSWORD_HINT=false
|
||||
- LOG_LEVEL=info
|
||||
- ROCKET_PORT=80
|
||||
volumes:
|
||||
- ./data:/data
|
||||
ports:
|
||||
- "8080:80"
|
||||
# Optionnel : désactiver les nouvelles inscriptions après setup
|
||||
# - SIGNUPS_ALLOWED=false
|
||||
```
|
||||
|
||||
Avec **[[traefik]]** (reverse proxy), voici un exemple plus complet :
|
||||
|
||||
```yaml
|
||||
version: '3.8'
|
||||
services:
|
||||
vaultwarden:
|
||||
image: vaultwarden/server:latest
|
||||
container_name: vaultwarden
|
||||
restart: unless-stopped
|
||||
environment:
|
||||
- DOMAIN=https://vault.example.com
|
||||
- SIGNUPS_ALLOWED=true
|
||||
- LOG_LEVEL=info
|
||||
volumes:
|
||||
- vw-data:/data
|
||||
labels:
|
||||
- "traefik.enable=true"
|
||||
- "traefik.http.routers.vaultwarden.rule=Host(`vault.example.com`)"
|
||||
- "traefik.http.routers.vaultwarden.entrypoints=websecure"
|
||||
- "traefik.http.routers.vaultwarden.tls.certresolver=letsencrypt"
|
||||
- "traefik.http.services.vaultwarden.loadbalancer.server.port=80"
|
||||
networks:
|
||||
- proxy
|
||||
|
||||
traefik:
|
||||
# ... votre config Traefik existante
|
||||
|
||||
volumes:
|
||||
vw-data:
|
||||
|
||||
networks:
|
||||
proxy:
|
||||
external: true
|
||||
```
|
||||
|
||||
### Option 2 : Docker run
|
||||
|
||||
```bash
|
||||
docker run -d \
|
||||
--name vaultwarden \
|
||||
--restart unless-stopped \
|
||||
-e DOMAIN=https://vault.example.com \
|
||||
-v /path/to/data:/data \
|
||||
-p 8080:80 \
|
||||
vaultwarden/server:latest
|
||||
```
|
||||
|
||||
## ⚙️ Configuration Initiale
|
||||
|
||||
1. **Démarrer le conteneur** (Docker Compose ci-dessus)
|
||||
2. **Créer un compte** sur `https://vault.example.com`
|
||||
3. **Désactiver les inscriptions** après votre premier compte :
|
||||
```yaml
|
||||
- SIGNUPS_ALLOWED=false
|
||||
```
|
||||
4. **Activer le 2FA** dans les paramètres de votre compte
|
||||
5. **Installer les clients** :
|
||||
- Browser : extension Bitwarden
|
||||
- Mobile : app Bitwarden (iOS/Android)
|
||||
- Desktop : app Bitwarden
|
||||
|
||||
## 🔄 Alternatives
|
||||
|
||||
### Open Source
|
||||
- [[app-bitwarden]] — Serveur officiel (plus lourd, C#/.NET)
|
||||
- [[app-passbolt]] — Orienté équipes, PHP
|
||||
- **KeePassXC** — Local only (pas de sync cloud)
|
||||
|
||||
### Propriétaires (ce que Vaultwarden remplace)
|
||||
- **1Password** — Propriétaire, ~60$/an
|
||||
- **LastPass** — Piraté en 2022, déconseillé
|
||||
- **Dashlane** — Propriétaire
|
||||
- **Keeper** — Propriétaire
|
||||
|
||||
## 🔐 Sécurité
|
||||
|
||||
- **Chiffrement** : AES-256 côté serveur, zéro-knowledge (Bitwarden ne peut pas lire vos mots de passe)
|
||||
- **2FA** : Supporte TOTP, WebAuthn/FIDO2, YubiKey, Duo, Email
|
||||
- **Backups** : `./data` contient la base SQLite — sauvegarder régulièrement !
|
||||
- **HTTPS obligatoire** : Ne JAMAIS exposer en HTTP
|
||||
|
||||
## 📚 Ressources
|
||||
|
||||
- [Documentation officielle](https://github.com/dani-garcia/vaultwarden/wiki)
|
||||
- [Wiki — Reverse proxy config](https://github.com/dani-garcia/vaultwarden/wiki/Proxy-examples)
|
||||
- [Reddit r/Vaultwarden](https://www.reddit.com/r/Vaultwarden/)
|
||||
- [Discord Vaultwarden](https://discord.gg/vaultwarden)
|
||||
|
||||
## Pages Liées
|
||||
- [[cat-2fa]] — Catégorie 2FA
|
||||
- [[cat-password-manager]] — Catégorie Password Manager
|
||||
- [[traefik]] — Reverse proxy
|
||||
- [[securisation-home-lab]] — Sécurité du serveur
|
||||
- [[recettes-docker-compose]] — Templates Docker
|
||||
Reference in New Issue
Block a user