1.前言
这期我们来更新一下之前分享过的vaultwarden的搭建教程。
之前的教程:威联通docker部署Vaultwarden并通过frp内网穿透,10分钟搭建一个专属的本地密码管理工具
3. 相关地址
官方GitHub地址:https://github.com/dani-garcia/vaultwarden
官方docker镜像地址(官方构建镜像在3个不同的容器注册中心都可用):
- GitHub: ghcr.io/dani-garcia/vaultwarden
- Docker Hub: docker.io/vaultwarden/server
- Quay: quay.io/vaultwarden/server
3. 搭建环境
- 服务器:我搭建用的是腾讯轻量应用服务器 (最好是选 非大陆(香港)的服务器)如果是小白刚开始玩的话,还可以购买 Racknerd 的服务器(地区选美西),最低一年不到 100 块
- 系统:Debian 10 或以上。 DD 脚本 非必需 DD,用原来的系统也 OK,之后教程都是用 Debian 或者 Ubuntu 搭建~)
- 需要一个域名(域名购买参考:Namesilo 域名购买 )
- Docker 环境(具体看这篇:【Docker 系列】不用宝塔面板,小白一样可以玩转 VPS 服务器!)
- 【非必需但建议】域名一枚,并做好解析到服务器上
- 【非必需】提前安装好宝塔面板海外版本 aapanel,并安装好 Nginx
- 【非必需本教程选用】安装好 Nginx Proxy Manager(相关教程)
服务器建议:1C1G,能搭建docker即可
4. 搭建方式
如果你不是用的腾讯云的轻量应用服务器,可以直接跳到 6.1 部分。
安装系统(腾讯云轻量应用服务器)
腾讯云轻量服务器最大的特点就是 “轻量”,相比 CVM,更适合小白上手,这边我们之间选择 Docker 基础镜像,就可以省去后面安装 Docker 的步骤 (如果你非要用国内的服务器,这边装的 Docker 镜像还会帮你配置好国内镜像源,让你加速访问 docker 镜像资源) 不建议用国内的 。
登陆(腾讯云轻量应用服务器)
腾讯云轻量服务器最大的特点就是 “轻量”,相比 CVM,更适合小白上手,这边我们之间选择 Docker 基础镜像,就可以省去后面安装 Docker 的步骤 (如果你非要用国内的服务器,这边装的 Docker 镜像还会帮你配置好国内镜像源,让你加速访问 docker 镜像资源) 不建议用国内的 。
登陆(腾讯云轻量应用服务器)
4.1 安装 Docker 与 Nginx Proxy Manager
可以直接参考这篇内容:
https://www.iigeek.com/archives/331
4.2 创建安装目录
创建一下安装的目录:
sudo -i
mkdir -p /root/data/docker_data/vaultwarden
cd /root/data/docker_data/vaultwarden
vim docker-compose.yml英文输入法下,按 i
version: '3'
services:
vaultwarden:
container_name: vaultwarden
image: vaultwarden/server:latest
restart: unless-stopped
volumes:
- ./data/:/data/
ports:
- 8080:80
environment:
- DOMAIN=https://subdomain.yourdomain.com # 这是您希望与您的Vaultwarden实例关联的域名。
- LOGIN_RATELIMIT_MAX_BURST=10 # 允许在一阵登录/两步验证尝试中的最大请求次数。
- LOGIN_RATELIMIT_SECONDS=60 # 这是来自同一IP的登录请求之间的平均秒数,在Vaultwarden限制登录次数之前。
- ADMIN_RATELIMIT_MAX_BURST=10 # 这与LOGIN_RATELIMIT_MAX_BURST相同,只争对admin面板。
- ADMIN_RATELIMIT_SECONDS=60 # 这与LOGIN_RATELIMIT_SECONDS相同
- ADMIN_SESSION_LIFETIME=20 # 会话持续时间
- ADMIN_TOKEN=YourReallyStrongAdminTokenHere # 此值是Vaultwarden管理员面板的令牌(一种密码)。为了安全起见,这应该是一个长的随机字符串。如果未设置此值,则管理员面板将被禁用。建议openssl rand -base64 48 生成ADMIN_TOKEN确保安全
- SENDS_ALLOWED=true # 此设置决定是否允许用户创建Bitwarden发送 - 一种凭证共享形式。
- EMERGENCY_ACCESS_ALLOWED=true # 此设置控制用户是否可以启用紧急访问其账户的权限。例如,这样做可以在用户去世后,配偶可以访问密码库以获取账户凭证。可能的值:true / false。
- WEB_VAULT_ENABLED=true # 此设置决定了网络保险库是否可访问。一旦您配置了您的账户和客户端,停止您的容器,然后将此值切换为false并重启Vaultwarden,可以用来防止未授权访问。可能的值:true/false。
- SIGNUPS_ALLOWED=true # 此设置控制新用户是否可以在没有邀请的情况下注册账户。可能的值:true / false。简单说一下:
DOMAIN改成最后你要用的域名形式ADMIN_TOKEN可以在ssh里面输入openssl rand -base64 48生成SIGNUPS_ALLOWED等你注册好之后,如果你只是想自己用,可以把这边改成false
切换成英文输入法,修改好之后,按一下 esc,然后 :wq 保存退出。
4.3 打开服务器防火墙(非必需)并访问网页
打开防火墙的端口 8090为例
举例,腾讯云打开方法如下(部分服务商没有自带的面板防火墙,就不用这步操作了):
图中示例填的是 5230,备注填的是 memos,这边我们填 8090,示例填 shop ,确定即可(如果你在 docker-compose 文件里换了 9009,这边就需要填 9009,以此类推)
查看端口是否被占用(以 8090 为例),输入:
lsof -i:8090 #查看 8090 端口是否被占用,如果被占用,重新自定义一个端口如果啥也没出现,表示端口未被占用,我们可以继续下面的操作了~
如果出现:
-bash: lsof: command not found运行:
apt install lsof #安装 lsof如果端口没有被占用(被占用了就修改一下端口,比如改成 8081,注意 docker 命令行里和防火墙都要改)
理论上我们就可以输入 http://ip:8090 访问了。
注意:
1、不知道服务器 IP,可以直接在命令行输入:
curl ip.sb,会显示当前服务器的 IP。2、遇到访问不了的情况,请再次检查在宝塔面板的防火墙和服务商的后台防火墙是否打开对应了端口。
一般情况下,我们都需要给网页加上 https!让网页更安全!
namesilo 上面 xyz 后缀的域名一年就 7 块钱,可以年抛。(冷知识,namesilo 上 6 位数字的 xyz 续费永远都是 0.99 美元 = =)
如果想要长期使用,还是建议买 com 后缀的域名,更加正规一些,可以输入 laodade 来获得 1 美元的优惠(不知道现在还有没有)
namesilo 自带隐私保护,我一直在用这家,价格也是这些注册商里面比较低的,关键是他家不像其他家域名注册商,没有七七八八的套路!(就是后台界面有些丑古老 = =)
我们接着往下看!
5. 反向代理
我们要用域名而不是 IP + 端口的方式来访问我们的服务!
5.1 利用 Nginx Proxy Manager
在添加反向代理之前,确保你已经完成了域名解析,不会的可以看这个:域名一枚,并做好解析到服务器上(域名购买、域名解析)
之后,登陆 Nginx Proxy Manager(不会的看这个:安装 Nginx Proxy Manager(相关教程))
注意:
Nginx Proxy Manager(以下简称 NPM)会用到
80、443端口,所以本机不能占用(比如原来就有 Nginx)
直接丢几张图:
注意填写对应的
域名、IP和端口,按文章来的话,应该是8090
IP 填写:
如果 Nginx Proxy Manager 和 shop 在同一台服务器上,可以在终端输入:
bash
ip addr show docker0查看对应的 Docker 容器内部 IP。
[
否则直接填 shop 所在的服务器 IP 就行。
[
再次打开,勾选这些:
然后就可以用域名来安装访问了。
5.2 利用宝塔面板
发现还是有不少小伙伴习惯用宝塔面板,这边也贴一个宝塔面板的反代配置:
直接新建一个站点,不要数据库,不要 PHP,纯静态即可。
然后打开下面的配置,修改 Nginx 的配置。
[
代码如下:
location / {
proxy_pass http://127.0.0.1:8090/; # 注意改成你实际使用的端口
rewrite ^/(.*)$ /$1 break;
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Upgrade-Insecure-Requests 1;
proxy_set_header X-Forwarded-Proto https;
}此方法对 90% 的反向代理都能生效,然后就可以用域名来安装访问了。
有同学可能会问,为什么不直接用宝塔自带的反向代理功能。
也可以,不过我自己之前遇到过当有多个网站需要反代的时候,在这边设置会报错的情况 = =
所以后来就不用了,直接用上面的方法来操作了。
6. 使用教程
建议参考视频,或者自己尝试一下。
6.1 更新 vaultwarden
cd /root/data/docker_data/vaultwarden
docker-compose pull
docker-compose up -d # 请不要使用 docker-compose stop 来停止容器,因为这么做需要额外的时间等待容器停止;docker-compose up -d 直接升级容器时会自动停止并立刻重建新的容器,完全没有必要浪费那些时间。
docker image prune # prune 命令用来删除不再使用的 docker 对象。删除所有未被 tag 标记和未被容器使用的镜像提示:
WARNING! This will remove all dangling images.
Are you sure you want to continue? [y/N] 输入 y
利用 Docker 搭建的应用,更新非常容易~
6.2 卸载 vaultwarden
同样进入安装页面,先停止所有容器。
cd /root/data/docker_data/vaultwarden
docker-compose down
cd ..
rm -rf /root/data/docker_data/vaultwarden # 完全删除可以卸载得很干净。
7. 常见问题及注意点
关于启用WebSocket
](https://img.laoda.de/i/2023/11/24/ikp6qg-0.webp)
自v1.29.0版本起,Vaultwarden默认启用了WebSocket。
WebSocket通知用于通知浏览器、桌面和浏览器扩展Bitwarden客户端某些事件已经发生,例如密码数据库中的条目被修改或删除时。收到通知后,客户端可以采取适当的行动,比如刷新被修改的条目,或者从其本地缓存中移除被删除的条目。在这种通知方案中,Bitwarden客户端与Bitwarden服务器(在这种情况下是Vaultwarden)建立一个持久的WebSocket连接。每当服务器有事件要报告时,它就通过这个持久连接将事件发送给客户端。
之前的版本需要一个反向代理,因为WebSocket运行在与默认HTTPS端口不同的端口上。
自Vaultwarden版本 1.29.0 起,您可以激活移动客户端推送通知,以便在移动应用、网页扩展和网页保险库之间自动同步您的个人保险库,无需手动同步。
详情请见wiki ——Enabling WebSocket notifications
admin页面
此页面允许服务器管理员查看所有已注册用户并删除他们。即使在禁用注册的情况下,它也允许邀请新用户。
8. 结尾
祝大家用得开心,有问题可以去 GitHub 提 Issues,也可以在评论区互相交流探讨。
同时,有能力给项目做贡献的同学,也欢迎积极加入到 项目 中来,贡献自己的一份力量!
最后,感谢开发人员们的辛苦付出,让我们能用到这么优秀的项目!
参考资料
https://github.com/dani-garcia/vaultwarden
暂无评论内容