Hébergement autonome de Bitwarden avec Docker : Guide de configuration complet

Dans cet article, je vais vous guider à travers l'installation de Bitwarden avec Docker sur un nouveau serveur Ubuntu, la configuration de HTTPS avec Let's Encrypt et la résolution des problèmes courants liés à la configuration.

Si vous débutez avec Docker, nous vous recommandons de vous inscrire à notre Introduction à Docker ou à notre cours Docker intermédiaire . Apprenez les bases avant de gérer plusieurs configurations de conteneurs.

Qu'est-ce que le déploiement Docker de Bitwarden ?

Bitwarden propose une installation officielle installation officielle basée sur Docker qui vous permet d'utiliser un gestionnaire de mots de passe selon vos propres conditions.

Il vous suffit d'exécuter un seul script d'installation. Il n'est pas nécessaire d'installer manuellement des bases de données ou des serveurs web, ni d'écrire du code. Docker récupère des conteneurs préconfigurés, établit la mise en réseau entre eux et assure le bon fonctionnement de l'ensemble. Les mises à jour fonctionnent de la même manière : il suffit d'exécuter le script de mise à jour et Docker s'occupe du reste.

La configuration Docker de Bitwarden fonctionne sous la forme de plusieurs conteneurs qui collaborent ensemble. Vous disposez d'un conteneur de coffre-fort Web pour l'interface utilisateur, d'un conteneur API pour le traitement des demandes, d'un conteneur de base de données pour le stockage des données cryptées du coffre-fort et de services de prise en charge pour les pièces jointes et les icônes. Docker Compose coordonne ces conteneurs afin qu'ils puissent communiquer entre eux.

Tout est préconfiguré pour vous.

Cette approche multi-conteneurs implique que chaque composant fonctionne de manière isolée. Si vous devez modifier la base de données, vous pouvez redémarrer uniquement ce conteneur sans affecter l'interface web. Si vous souhaitez consulter les journaux, chaque service dispose de son propre flux de journaux.

Le déploiement officiel utilise Docker Compose pour gérer l'ensemble à partir d'un seul fichier de configuration, ce qui rend le système plus facile à comprendre et à maintenir qu'une installation serveur traditionnelle.

Exigences préalables à l'exécution de Bitwarden avec Docker

Il est nécessaire de disposer de certains éléments avant de pouvoir utiliser Bitwarden, mais aucun d'entre eux ne nécessite de matériel professionnel ou de configuration complexe.

Un serveur Linux ou une machine virtuelle constitue votre point de départ. Ubuntu Server est tout ce dont vous avez besoin. Vous pouvez utiliser une instance cloud d'AWS, DigitalOcean ou Linode. Une instance de base avec 2 Go de RAM et 20 Go de stockage est suffisante pour utiliser Bitwarden à des fins personnelles ou pour de petites équipes.

Les commandes Docker et Docker Compose gèrent l'installation proprement dite. Vous installerez Docker Engine (et non Docker Desktop) et Docker Compose en tant que paquets distincts. La plupart des distributions Linux incluent les deux dans leurs gestionnaires de paquets.

Un nom de domaine est nécessaire car Bitwarden requiert le protocole HTTPS pour fonctionner. Il n'est pas possible de l'exécuter sur une adresse IP. Veuillez diriger votre domaine vers l'adresse IP de votre serveur avant de commencer l'installation.

Les ports 80 et 443 doivent être ouverts sur votre serveur. Le port 80 gère le trafic HTTP et la validation des certificats, tandis que le port 443 sert le trafic HTTPS proprement dit. Veuillez configurer votre pare-feu et les groupes de sécurité de votre fournisseur de services cloud afin d'autoriser les connexions entrantes sur les deux ports.

Il est également nécessaire de posséder des compétences de base en matière de ligne de commande. Vous vous connecterez à votre serveur via SSH, exécuterez des scripts d'installation et modifierez des fichiers de configuration. Si vous savez comment naviguer dans les répertoires et exécuter des commandes avec sudo, vous êtes prêt.

Et voilà ! Il y a certaines choses à savoir, bien sûr, mais presque toute personne ayant quelques connaissances techniques peut y parvenir. Permettez-moi de vous expliquer comment procéder.

Comment installer Bitwarden à l'aide de Docker (méthode officielle)

Ce guide utilise un droplet Ubuntu DigitalOcean et Cloudflare pour la gestion du domaine et du DNS. Vous êtes libre d'utiliser d'autres fournisseurs et services, mais si vous souhaitez suivre sans contrainte, je vous recommande de choisir les mêmes.

Configuration de votre environnement

Tout d'abord, veuillez créer un droplet DigitalOcean avec Ubuntu 24.04 LTS. Le droplet Basic à 12 $ par mois (2 Go de RAM, 1 CPU, 50 Go de SSD) permet d'utiliser Bitwarden de manière optimale pour un usage personnel ou en petites équipes. Veuillez sélectionner une région de centre de données proche de vous afin d'obtenir de meilleurs temps de réponse. Veuillez ne pas oublier d'ajouter une clé SSH existante ou d'en créer une nouvelle.

Une fois le droplet démarré, veuillez noter son adresse IP publique à partir du tableau de bord DigitalOcean.

Détails sur les droplets DigitalOcean

Veuillez ensuite configurer le DNS dans Cloudflare. Veuillez vous connecter à votre compte Cloudflare et ajouter un enregistrement A pointant votre domaine vers l'adresse IP du droplet :

• Type : A

• Nom : vault (ou votre sous-domaine préféré)

• Adresse IPv4 : L'adresse IP de votre droplet

• Statut du mandataire : Désactivé (cloud gris)

Veuillez désactiver le proxy Cloudflare pour la configuration initiale. Let's Encrypt nécessite un accès direct à votre serveur afin de vérifier la propriété du domaine. Vous pouvez activer le proxy une fois que Bitwarden est opérationnel et que les certificats ont été générés.

J'ai utilisé l'un de mes domaines actifs pour les besoins de cet article :

Configuration DNS Cloudflare

La propagation DNS prend quelques minutes. Veuillez exécuter cette commande shell pour vérifier que les modifications sont visibles :

nslookup vault.yourdomain.com

Vous devriez voir l'adresse IP de votre droplet dans la réponse.

Résultats de la recherche Nslookup

Vous pouvez désormais vous connecter à votre droplet via SSH :

ssh root@your-droplet-ip

Et vous êtes inscrit :

Connexion à l'instance Ubuntu

Tout d'abord, la priorité est de mettre à jour les paquets système. Veuillez exécuter la commande suivante :

apt update && apt upgrade -y

Vous êtes désormais prêt à installer Docker et Bitwarden.

Comme mentionné précédemment, vous aurez besoin à la fois de Docker et de Docker Compose. Veuillez exécuter les commandes suivantes pour les installer :

sudo apt install docker.io docker-compose-v2 -y
sudo systemctl enable docker
sudo systemctl start docker

Veuillez maintenant vérifier l'installation :

docker --version
docker compose version

Vous devriez voir les numéros de version pour les deux commandes.

Versions de Docker et Docker Compose

Ensuite, je vais vous expliquer comment installer Bitwarden.

Téléchargement et préparation du programme d'installation de Bitwarden

L'installateur officiel de Bitwarden est disponible dans leur référentiel GitHub. Vous pouvez le télécharger directement sur votre serveur :

curl -Lso bitwarden.sh "https://func.bitwarden.com/api/dl/?app=self-host&platform=linux" && chmod +x bitwarden.sh

Cela permet de télécharger le script d'installation et de le rendre exécutable. Le script gère toutes les étapes, du téléchargement des images Docker à la création des fichiers de configuration, en passant par la configuration de la structure des répertoires.

L'étape suivante consiste à créer un répertoire dans lequel Bitwarden stockera ses données :

sudo mkdir /opt/bitwarden

Vous pouvez maintenant déplacer le script d'installation à cet emplacement :

sudo mv bitwarden.sh /opt/bitwarden/
cd /opt/bitwarden

Enfin, veuillez exécuter le programme d'installation :

sudo ./bitwarden.sh install

Le script crée un répertoire bwdata qui contient tous les fichiers de configuration, certificats, journaux et fichiers de base de données de Bitwarden. C'est ici que tout est stocké, veuillez donc sauvegarder régulièrement ce répertoire.

Exécution de l'installation

Le programme d'installation vous posera plusieurs questions. Répondez avec attention, car une erreur vous obligerait à recommencer depuis le début.

Veuillez saisir votre nom de domaine exactement tel qu'il apparaît dans vos enregistrements DNS. Si vous avez configuré vault.yourdomain.com dans Cloudflare, veuillez saisir exactement cette chaîne de caractères. Veuillez ne pas inclure https:// ou les barres obliques finales.

Veuillez sélectionner Let's Encrypt pour les certificats SSL. Le programme d'installation se chargera automatiquement de la génération et du renouvellement des certificats. Si vous utilisez le proxy Cloudflare (le cloud orange), il peut être nécessaire de le désactiver temporairement lors de la configuration initiale afin que Let's Encrypt puisse vérifier votre domaine.

Veuillez saisir votre adresse e-mail:. C'est ici que vous recevrez vos rappels concernant l'expiration de votre certification.

Installation de Bitwarden (1)

Bitwarden procédera alors au téléchargement des images Docker requises. Cela prendra environ une minute, puis vous recevrez une nouvelle série d'invites.

Veuillez choisir un nom pour la base de données. Il n'est pas nécessaire de faire preuve de créativité ici, vault fonctionne parfaitement.

Installation de Bitwarden (2)

Ensuite, l'installation procédera au téléchargement d'images Docker supplémentaires.

Veuillez obtenir l'identifiant d'installation et la clé d'. Veuillez ouvrir le page d'accueil de Bitwarden et saisissez votre adresse e-mail d'administrateur ainsi que votre région. Vous obtiendrez alors les deux valeurs. Veuillez les copier/coller lorsque vous y serez invité pendant l'installation.

Identifiant et clé d'installation Bitwarden

Et voilà, l'installation est terminée :

Installation de Bitwarden (3)

Le script génère des fichiers de configuration dans ./bwdata/config.yml et ./bwdata/env/global.override.env. Vous pouvez modifier ces fichiers directement si vous avez besoin de changer les paramètres ultérieurement.

Il ne vous reste plus qu'à démarrer Bitwarden :

sudo ./bitwarden.sh start

Docker récupère toutes les images requises et démarre les conteneurs. Cela prend quelques minutes lors de la première utilisation. Le script affiche la progression à mesure que chaque conteneur démarre.

Installation de Bitwarden (4)

Après quelques minutes, vous devriez voir s'afficher le message « Bitwarden is up and running! » dans le terminal. Cela signifie que l'installation s'est déroulée avec succès et que vous pouvez passer à la section suivante.

Installation de Bitwarden (5)

Vérification de l'installation

Veuillez ouvrir votre domaine dans un navigateur. Vous devriez voir la page de connexion Bitwarden avec un certificat HTTPS valide.

Page de connexion Bitwarden

Si un avertissement concernant le certificat s'affiche, cela signifie que Let's Encrypt n'a probablement pas pu vérifier votre domaine. Veuillez vérifier ce qui suit :

• Vos enregistrements DNS indiquent l'adresse IP correcte.
• Les ports 80 et 443 sont ouverts dans votre pare-feu.
• Si vous utilisez le proxy Cloudflare, veuillez essayer de le désactiver temporairement.

Veuillez cliquer sur « Créer un compte » pour configurer votre premier utilisateur. Ce compte devient le propriétaire de votre coffre-fort, veuillez donc utiliser un mot de passe principal fort que vous n'oublierez pas. Bitwarden ne peut pas récupérer ce mot de passe. Si vous le perdez, les données de votre coffre-fort seront définitivement perdues.

Création d'un utilisateur Bitwarden

Après avoir créé votre compte, veuillez vous connecter pour vérifier que tout fonctionne correctement. Vous pouvez créer un élément de connexion test et vérifier qu'il s'enregistre correctement.

Ajouter un élément de connexion à Bitwarden

Cela fonctionne comme prévu. Je vais donc retourner au terminal pour vérifier que tout fonctionne correctement là aussi.

Veuillez exécuter cette commande pour vérifier que tous les conteneurs sont opérationnels :

sudo docker ps

Vous devriez voir plusieurs conteneurs portant des noms tels que bitwarden-web, bitwarden-api, bitwarden-db, etc.

Conteneurs en cours d'exécution

Si certains conteneurs apparaissent comme « Redémarrage » ou ne sont pas répertoriés, veuillez vérifier les journaux à l'aide des commandes suivantes :

sudo docker logs bitwarden-api
sudo docker logs bitwarden-web

Si vous rencontrez des problèmes au démarrage, ceux-ci sont généralement dus à des conflits de ports ou à des problèmes d'autorisation.

Des conflits de ports peuvent survenir si d'autres applications utilisent les ports 80 ou 443. Veuillez désactiver le service en conflit ou modifier les ports de Bitwarden dans ./bwdata/config.yml.

Les échecs d'initialisation de la base de données sont généralement liés à des problèmes d'autorisations. Veuillez vérifier que l'utilisateur Docker est autorisé à écrire dans le répertoire bwdata:

sudo chown -R root:root /opt/bitwarden/bwdata
sudo chmod -R 755 /opt/bitwarden/bwdata

Les échecs de génération de certificats indiquent que Let's Encrypt n'a pas pu accéder à votre serveur. Veuillez vérifier que votre domaine pointe vers la bonne adresse IP et que votre pare-feu autorise le trafic entrant sur les ports 80 et 443.

Si les conteneurs continuent de redémarrer, veuillez vérifier l'espace disque disponible et la mémoire. Bitwarden nécessite au moins 2 Go de RAM pour exécuter l'ensemble de ses services.

Configuration du protocole HTTPS et des certificats

Bitwarden nécessite le protocole HTTPS pour toutes les connexions. Il n'est pas possible de l'exécuter sur un simple HTTP.

Les extensions de navigateur et les applications mobiles de Bitwarden ne se connectent pas aux points de terminaison HTTP. Le protocole lui-même exige des connexions cryptées afin de protéger les données de votre coffre-fort pendant leur transfert.

Le script d'installation configure les certificats Let's Encrypt. Let's Encrypt est une autorité de certification gratuite qui délivre des certificats SSL/TLS et gère les renouvellements. Lorsque vous avez saisi votre domaine lors de l'installation, le script a configuré la génération automatique de certificats via le protocole ACME de Let's Encrypt.

Les certificats expirent après 90 jours, mais la configuration Docker de Bitwarden inclut le renouvellement automatique. Une tâche cron vérifie les certificats arrivant à expiration et les renouvelle avant leur date d'expiration. Il n'est pas nécessaire de procéder manuellement.

Les certificats personnalisés sont pertinents dans certaines situations. Si vous utilisez Bitwarden derrière un proxy inverse qui gère déjà la terminaison SSL, vous pouvez désactiver Let's Encrypt et laisser le proxy gérer les certificats. Si votre organisation dispose d'une autorité de certification interne, il est possible de configurer Bitwarden pour qu'il utilise ces certificats à la place.

Pour utiliser des certificats personnalisés, veuillez modifier le fichier ./bwdata/config.yml et définir ssl_certificate_path et ssl_key_path en fonction de vos fichiers de certificats.

Utilisation de certificats personnalisés

Veuillez ensuite redémarrer Bitwarden :

sudo ./bitwarden.sh restart

Lorsque le renouvellement du certificat échoue, il est recommandé de vérifier les journaux :

sudo docker logs bitwarden-nginx

Les échecs de renouvellement courants se produisent lorsque :

• Le DNS de votre domaine a été modifié et ne pointe plus vers le serveur.
• Le proxy Cloudflare est activé (le nuage orange), bloquant la vérification de Let's Encrypt.
• Le port 80 est bloqué, ce qui empêche les défis ACME d'aboutir.
• Les fichiers de certificat ont des autorisations incorrectes.

Veuillez résoudre le problème sous-jacent, puis déclencher manuellement le renouvellement :

sudo docker exec bitwarden-nginx certbot renew

Si cela réussit, la tâche cron de renouvellement automatique devrait fonctionner lors des prochaines tentatives.

Configuration de la messagerie électronique (SMTP)

Bitwarden requiert une adresse e-mail pour envoyer des invitations aux utilisateurs, des liens de réinitialisation de mot de passe et des codes d'authentification à deux facteurs.

Sans configuration SMTP, les utilisateurs ne peuvent pas réinitialiser leurs mots de passe. Il n'est pas possible d'inviter des membres de l'équipe à rejoindre votre organisation. Les demandes d'accès d'urgence ne seront pas acceptées. Le système fonctionne, mais vous perdez des fonctionnalités essentielles de récupération de compte et de gestion des utilisateurs.

Les paramètres SMTP se trouvent dans ./bwdata/env/global.override.env.

Fichier de paramètres SMTP

Veuillez ouvrir ce fichier et ajouter la configuration de votre fournisseur de messagerie électronique :

globalSettings__mail__replyToEmail=no-reply@yourdomain.com
globalSettings__mail__smtp__host=smtp.gmail.com
globalSettings__mail__smtp__port=587
globalSettings__mail__smtp__ssl=false
globalSettings__mail__smtp__username=your-email@gmail.com
globalSettings__mail__smtp__password=your-app-password

Le format utilise deux traits de soulignement pour représenter une configuration imbriquée. Chaque __ sépare un niveau dans la hiérarchie des paramètres.

Après avoir modifié le fichier, veuillez ne pas oublier de redémarrer Bitwarden :

sudo ./bitwarden.sh restart

Veuillez tester la livraison des e-mails en demandant une réinitialisation du mot de passe ou en envoyant un e-mail de test via le panneau d'administration.

Voici quelques erreurs SMTP courantes qu'il est préférable d'éviter :

• Utilisation de votre mot de passe de messagerie habituel au lieu d'un mot de passe spécifique à l'application. La plupart des fournisseurs exigent que vous créiez un mot de passe spécifique pour l'accès SMTP. Gmail les appelle « mots de passe d'application » et vous pouvez les créer dans les paramètres de sécurité de votre compte Google.

• Numéros de port incorrects. Le port 587 gère les connexions STARTTLS, le port 465 gère SSL/TLS, et le port 25 est généralement bloqué par les fournisseurs de services cloud. Si un port ne fonctionne pas, veuillez essayer un autre.

• Confusion SSL/TLS. Veuillez configurer ssl=false pour STARTTLS sur le port 587, ou ssl=true pour SSL direct sur le port 465. Le mélange de ces paramètres peut entraîner des échecs de connexion.

• Le pare-feu bloque les requêtes SMTP sortantes.. Certains fournisseurs de services cloud bloquent par défaut le port sortant 25. Veuillez utiliser les ports 587 ou 465 à la place, qui sont rarement bloqués.

Si les e-mails ne sont pas envoyés, veuillez vérifier les journaux du conteneur API :

sudo docker logs bitwarden-api

Veuillez vérifier s'il y a des erreurs de connexion SMTP ou des échecs d'authentification. Les journaux indiquent précisément ce qui n'a pas fonctionné lors de l'envoi de l'e-mail.

Mise à jour et sauvegarde de Bitwarden

Une installation auto-hébergée implique la nécessité d'effectuer des sauvegardes et des mises à jour manuelles. Heureusement, ces opérations sont simples à réaliser.

Mise à jour de Bitwarden

Avant de procéder à la mise à jour, veuillez fermer Bitwarden et sauvegarder vos données. Les mises à jour peuvent échouer ou entraîner des problèmes, et il est nécessaire de disposer d'un moyen de revenir en arrière si quelque chose ne fonctionne pas correctement.

cd /opt/bitwarden
sudo ./bitwarden.sh stop

Veuillez sauvegarder l'intégralité du répertoire bwdata:

sudo tar -czf bitwarden-backup-$(date +%Y%m%d).tar.gz bwdata/

Veuillez déplacer cette sauvegarde vers un emplacement sécurisé, tel qu'un disque dur externe ou un autre serveur.

Veuillez maintenant mettre à jour Bitwarden à l'aide de cette commande :

sudo ./bitwarden.sh update

Le script de mise à jour récupère les dernières images Docker, met à jour les fichiers de configuration si nécessaire et redémarre tous les conteneurs. Cela prend généralement quelques minutes.

Mise à jour de Bitwarden

Une fois la mise à jour terminée, veuillez vérifier que tout fonctionne correctement en vous connectant à votre coffre-fort Web et en vous assurant que vos données sont intactes.

Si la mise à jour provoque des dysfonctionnements, veuillez simplement restaurer votre sauvegarde :

sudo ./bitwarden.sh stop
sudo rm -rf bwdata/
sudo tar -xzf bitwarden-backup-YYYYMMDD.tar.gz
sudo ./bitwarden.sh start

Sauvegardes

Le répertoire bwdata contient tous les éléments nécessaires au fonctionnement de Bitwarden. Il est recommandé de le sauvegarder régulièrement.

Ce répertoire comprend :

• Votre base de données de coffre-fort contenant tous les mots de passe cryptés
• Certificats SSL
• Fichiers de configuration
• Journaux et pièces jointes
• Définitions Docker Compose

Veuillez fermer Bitwarden avant de procéder à la sauvegarde afin de garantir la cohérence des données.

sudo ./bitwarden.sh stop
sudo tar -czf bitwarden-backup-$(date +%Y%m%d).tar.gz bwdata/
sudo ./bitwarden.sh start

Veuillez stocker les sauvegardes à plusieurs endroits. Veuillez conserver une copie sur le serveur, une autre sur un autre ordinateur et, si possible, une troisième dans un espace de stockage en cloud.

Pour restaurer à partir d'une sauvegarde, veuillez fermer Bitwarden, supprimer le répertoire actuel bwdata, extraire votre sauvegarde et redémarrer. Le processus est identique à celui utilisé pour revenir en arrière après une mise à jour qui a échoué.

Vous pouvez également automatiser les sauvegardes à l'aide d'une tâche cron qui s'exécute quotidiennement ou hebdomadairement, en fonction de la fréquence à laquelle les données de votre coffre-fort sont modifiées.

Problèmes courants lors de l'exécution de Bitwarden dans Docker

Même avec une installation propre, des problèmes peuvent survenir. Voici comment diagnostiquer les plus courants.

Les conflits de ports surviennent lorsqu'un autre service utilise déjà les ports 80 ou 443. Veuillez vérifier ce qui utilise ces ports :

sudo netstat -tlnp | grep ':80\\|:443'

Si vous constatez qu'Apache, Nginx ou un autre serveur web est en cours d'exécution, il est nécessaire soit d'arrêter ce service, soit de modifier les ports de Bitwarden. Pour modifier les ports, veuillez éditer le fichier ./bwdata/config.yml et définir http_port et https_port sur des valeurs différentes, telles que 8080 et 8443. Veuillez ensuite redémarrer :

sudo ./bitwarden.sh restart

Les échecs de certificat se manifestent par des avertissements du navigateur ou par le refus de Bitwarden de démarrer. Veuillez vérifier les journaux du conteneur nginx à l'aide de la commande suivante :

sudo docker logs bitwarden-nginx

Veuillez rechercher les échecs des défis ACME ou les erreurs de validation des certificats. Voici les causes les plus courantes :

• Le DNS ne pointe pas encore vers votre serveur.
• Le proxy Cloudflare bloque la vérification Let's Encrypt.
• Le port 80 est bloqué par votre pare-feu.
• Le domaine dans votre configuration ne correspond pas à vos enregistrements DNS.

Veuillez résoudre le problème lié au DNS ou au pare-feu, puis demandez manuellement les certificats :

sudo docker exec bitwarden-nginx certbot renew --force-renewal

Les conteneurs qui ne démarrent pas indiquent généralement des problèmes de base de données ou des fichiers manquants. Veuillez vérifier quels conteneurs sont en cours d'exécution en exécutant ceci :

sudo docker ps -a

Les conteneurs dont le statut est « Quitté » ou « Redémarrage » rencontrent des difficultés. Veuillez vérifier leurs journaux :

sudo docker logs bitwarden-db
sudo docker logs bitwarden-api

Les erreurs d'initialisation de la base de données indiquent que le répertoire bwdata rencontre des problèmes d'autorisation. Veuillez corriger les autorisations :

sudo chown -R root:root /opt/bitwarden/bwdata
sudo chmod -R 755 /opt/bitwarden/bwdata

Si les conteneurs ne démarrent toujours pas, veuillez vérifier l'espace disque disponible :

df -h

Veuillez noter que Bitwarden nécessite au moins quelques Go d'espace libre pour fonctionner correctement.

Le dysfonctionnement du protocole SMTP empêche la réinitialisation des mots de passe et l'envoi d'invitations aux utilisateurs. Veuillez d'abord vérifier vos paramètres SMTP en consultant les journaux API lorsque vous essayez d'envoyer un e-mail :

sudo docker logs -f bitwarden-api

Veuillez déclencher une tentative de réinitialisation du mot de passe et surveiller les erreurs SMTP dans les journaux. Voici les problèmes les plus courants :

• Nom d'utilisateur ou mot de passe incorrect (veuillez utiliser les mots de passe spécifiques à l'application, et non votre mot de passe habituel)
• Paramètres de port ou SSL incorrects
• Pare-feu bloquant les connexions SMTP sortantes
• Fournisseur de messagerie électronique exigeant des étapes d'authentification supplémentaires

Veuillez vérifier que vos paramètres SMTP dans ./bwdata/env/global.override.env correspondent exactement à la documentation fournie par votre fournisseur. Même de petites erreurs de frappe dans le nom d'hôte ou le port peuvent empêcher la livraison des e-mails.

Après avoir configuré les paramètres SMTP, veuillez redémarrer Bitwarden et réessayer.

Bitwarden et Vaultwarden (choix des utilisateurs de Docker)

Vaultwarden est une implémentation non officielle du serveur Bitwarden, maintenue par la communauté et écrite en Rust.

Il n'est pas affilié à Bitwarden Inc., mais il est compatible avec tous les clients Bitwarden officiels. Vous utilisez les mêmes extensions de navigateur, applications mobiles et applications de bureau. La différence se situe entièrement du côté serveur.

Pourquoi les utilisateurs choisissent Vaultwarden

• . Vaultwarden fonctionne sur un seul conteneur léger qui nécessite moins de 100 Mo de RAM. La version officielle de Bitwarden utilise plusieurs conteneurs et nécessite au moins 2 Go. Si vous utilisez un petit VPS ou un Raspberry Pi, Vaultwarden est plus adapté.
• Configuration simplifiée. Un seul conteneur implique moins de pièces mobiles. Pas de conteneur de base de données distinct, pas de conteneur web distinct. Il suffit de sélectionner une image, de configurer un conteneur, et le tour est joué.
• Certaines fonctionnalités premium fonctionnent sans licence payante.. Vaultwarden offre des fonctionnalités telles que les pièces jointes et l'accès d'urgence, qui nécessitent un abonnement premium sur Bitwarden officiel.

Compromis avec Vaultwarden

• Il s'agit d'un projet communautaire. Les mises à jour sont effectuées par des bénévoles, et non par une entreprise disposant d'une équipe d'assistance dédiée.
• Aucune assistance officielle n'est disponible sur. Bitwarden Inc. ne fournira pas d'assistance pour les problèmes liés à Vaultwarden. Vous devez vous débrouiller seul avec les forums communautaires et les problèmes GitHub.
• Problèmes de compatibilité potentiels. Lorsque Bitwarden lance de nouvelles fonctionnalités, Vaultwarden doit s'adapter. Il y a généralement un délai avant que les nouvelles fonctionnalités ne soient opérationnelles.

Lequel devriez-vous utiliser ?

Veuillez utiliser Bitwarden officiel si vous souhaitez bénéficier d'une assistance professionnelle, d'une compatibilité garantie avec toutes les fonctionnalités et du soutien de la société qui développe les clients. Les besoins en ressources sont moins importants si vous disposez d'un VPS de taille adéquate.

Optez pour Vaultwarden si vous utilisez un matériel limité, si vous souhaitez une configuration plus simple ou si vous avez besoin de fonctionnalités premium sans frais supplémentaires. Veuillez noter que vous échangez le soutien officiel contre l'efficacité des ressources.

Les deux fonctionnent efficacement pour l'auto-hébergement et protègent vos mots de passe avec le même niveau de cryptage que celui attendu par les clients.

Meilleures pratiques de sécurité de base

Il est évident que Bitwarden stocke vos mots de passe, vous aurez donc besoin d'une protection qui va au-delà du simple cryptage. Voici quelques bonnes pratiques à suivre.

Veuillez maintenir votre serveur à jour. Les correctifs de sécurité sont importants, veuillez donc effectuer régulièrement les mises à jour. Voici une commande pour effectuer cette opération :

sudo apt update && sudo apt upgrade -y

Vous pouvez configurer des mises à jour de sécurité automatiques afin que les correctifs critiques soient installés sans intervention manuelle. Sous Ubuntu, veuillez installer unattended-upgrades:

sudo apt install unattended-upgrades -y
sudo dpkg-reconfigure --priority=low unattended-upgrades

Veuillez limiter l'accès au panneau d'administration. L'interface d'administration de Bitwarden est accessible à l'adresse /admin et utilise un jeton d'administration distinct pour l'authentification. Veuillez générer un jeton sécurisé lors de l'installation et le conserver dans un endroit sûr. Veuillez éviter d'exposer le panneau d'administration à l'Internet public si cela est possible.

Si vous avez besoin d'un accès administrateur à distance, veuillez utiliser un tunnel SSH ou un VPN au lieu de laisser /admin accessible au public.

Veuillez utiliser le protocole HTTPS partout. Veuillez ne jamais désactiver le protocole HTTPS ni ignorer les avertissements relatifs aux certificats. Si vos certificats ne fonctionnent pas, veuillez les corriger plutôt que de contourner le problème. Les clients Bitwarden refusent de se connecter via HTTP pour une raison valable.

Veuillez suivre les mises à jour de Bitwarden. Veuillez vous abonner aux publications GitHub de Bitwarden ou consulter leur blog pour obtenir les dernières mises à jour de sécurité. Lorsqu'une nouvelle version est disponible, veuillez consulter les notes de mise à jour avant de procéder à la mise à jour afin de comprendre les modifications apportées.

Veuillez activer l'authentification à deux facteurs sur votre compte coffre-fort. Même si quelqu'un venait à dérober votre mot de passe principal, la 2FA empêche tout accès non autorisé. Veuillez utiliser une application d'authentification ou une clé matérielle.

Veuillez utiliser un pare-feu. À titre de référence, voici comment configurer UFW pour n'autoriser que les ports nécessaires :

sudo ufw allow 22/tcp
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw enable

Bloquer tout le reste par défaut.

Veuillez vérifier régulièrement les journaux afin de détecter toute activité inhabituelle. Veuillez rechercher les tentatives de connexion infructueuses ou les appels API inattendus :

sudo docker logs bitwarden-api | grep -i "failed\\|error"

Comme vous pouvez le constater, l'utilisation de Bitwarden en auto-hébergement implique que vous devrez effectuer certaines tâches de temps à autre. C'est le coût du contrôle total.

Conclusion

Docker facilite l'auto-hébergement de Bitwarden et vous n'avez pas besoin d'une infrastructure d'entreprise.

Le script d'installation officiel effectue toutes les opérations nécessaires pour vous. Vous bénéficiez de mises à jour automatiques, d'une gestion des certificats et d'un coffre-fort opérationnel en moins d'une heure. La configuration m'a pris environ 15 minutes, y compris l'approvisionnement des instances de calcul et la configuration DNS. La plupart des utilisateurs n'ont jamais besoin de plus que ce que j'ai abordé dans cet article.

Veuillez commencer par la configuration de base sur un seul serveur. Familiarisez-vous avec les sauvegardes, les mises à jour et le dépannage de base avant d'ajouter des proxys inversés, des bases de données externes ou des configurations à haute disponibilité. Ces configurations avancées résolvent des problèmes que vous n'avez probablement pas encore rencontrés.

Si vous préférez ne pas confier vos mots de passe à des tiers, cette solution est la plus appropriée. Cependant, il est également important de ne pas compliquer excessivement la configuration et de ne pas causer de dysfonctionnement. Veuillez exécuter le déploiement officiel de Docker, le sauvegarder régulièrement, et vous disposerez d'un gestionnaire de mots de passe fiable sous votre contrôle.

Êtes-vous prêt à en savoir plus sur Docker ? Commencez par nos cours sur les concepts de conteneurisation et de virtualisation, puis observez leur mise en pratique avec Docker et Kubernetes.