davebastard
Vinyl-Sammler
|
Da ich grad mein email Postfach umgestellt hab auf mailbox.org und protected und meine email Adresse bei allen Services ändern muss hab ich mir gedacht ich änder gleich alle Passwörter mit und stell auf bitwarden oder vaultwarden um... Dazu würden mich folgende Dinge interessieren
1. Wie ist eure Erfahrung, zahlt sich selber hosten mit vaultwarden aus? ich mein ist updaten recht viel Aufwand/recht häufig? ist irgendwie viel zu tun oder nur die neue containerversion pullen? Oder soll ich vll doch den cloud Service von bitwarden benutzen? 10€ im jahr ist jetzt ned allzuviel. zu beidem würden mich Erfahrungsberichte interessieren. 2. Falls ich self hostet mach: habt ihr es über VPN oder mittels portforward auf den homeserver/NAS? einen virtual server in der cloud oder daheim am NAS/homeserver? wireguard (VPN) ins Heimnetzwerk hab ich bereits konfiguriert und am Handy auch eingerichtet. aber beim PC in der Firma geht das eher nicht. Außerdem ist das VPN eine zusätzliche Fehlerquelle... 3. Im Browser (firefox) verwendet man am besten die bitwarden plugins? auch mobil (android)? 4. kann man offline verfügbar irgendwie einfach realisieren? also z.B. am handy?
edit: 5. Noch was wichtiges: kann ich meine DB einfach von vaultwarden exportieren und bei bitwarden importieren wenn ich draufkomme dass das managed service von bitwarden zuverlässiger wäre?
TIA
Bearbeitet von davebastard am 26.12.2024, 11:14
|
quilty
Ich schau nur
|
1. Gute Erfahrung mit vaultwarden. Updates gibt es regelmäßig, ich mach sie unregelmäßig. "docker-compose pull" & "docker-compose up -d" ist nicht die Hexerei mehr war die letzten Jahre nicht zu tun. 2. "Port forward" übern reverse proxy. Home server. 3. Browser plugins auf desktops. App am handy. Hab auch den Standalone-Client auf den Desktops installiert aber brauche ich "nie". Vielleicht jetzt bald öfter, wenn SSH Key Unterstützung kommt. 4. k.a., keine Anforderung für mich 5. Export/Import kann jeder User für sich machen, keine Ahnung ob man eine komplette Infrastruktur migrieren kann, bezweifle es aber
Fragen in die andere Richtung. Hast eine stabile Hosting Umgebung? Hast ein bestehendes Backup Konzept? Off-site? Ohne beides würde ich etwas so Essenzielles nicht selbst hosten.
|
Viper780
ModeratorEr ist tot, Jim!
|
Ich hab aktuell nur vaultwarden als test im LAN laufen, somit kann ich dir bis auf die update frage nichts beantworten.
Updates kommen alle 1-3 Monate hält sich also in Grenzen und war bei mir jedesmal problemlos.
Bei der Mailadresse rate ich dir aber mache [Vorname]+[site]@domain.TLD
Damit kannst du später leichter Filter einrichten und bei einem Breach/Spam weißt du dann auch woher es kommt
Also zB dave+ocat@bastard.net Dazu brauchst du keine weiteren Mailboxen
|
davebastard
Vinyl-Sammler
|
k, mal danke für die Antworten 1. Gute Erfahrung mit vaultwarden. Updates gibt es regelmäßig, ich mach sie unregelmäßig. "docker-compose pull" & "docker-compose up -d" ist nicht die Hexerei mehr war die letzten Jahre nicht zu tun. Das hatte ich gehofft dass es nicht mehr ist. passt 2. "Port forward" übern reverse proxy. Home server. k also kein VPN, tendiere eh auch dazu. Was verwendest du als reverse proxy + letsencrypt zeug automatisieren, caddy oder traefik oder ganz was anderes? Oder hast du eine fw die die Funktionalität bietet (opnsense iirc z.B.)? 3. Browser plugins auf desktops. App am handy. Hab auch den Standalone-Client auf den Desktops installiert aber brauche ich "nie". Vielleicht jetzt bald öfter, wenn SSH Key Unterstützung kommt. k, also am Handy machst du dann die App auf kopierst das Passwort und fügst es im Browser ein? 5. Export/Import kann jeder User für sich machen, keine Ahnung ob man eine komplette Infrastruktur migrieren kann, bezweifle es aber ja das würd fürs erste eh reichen, hab im ersten Schritt nicht vor jemand dazuzuholen. Hast eine stabile Hosting Umgebung? Hast ein bestehendes Backup Konzept? Off-site? Ohne beides würde ich etwas so Essenzielles nicht selbst hosten. -Backup, ja externe Festplatte und offsite die wichtigsten Sachen auf Dropbox, bzw. bald dann stattdessen der mailbox.org Cloud Speicher der dabei ist. - Hosting Umgebung, ja einen Homeserver (HP Microserver) mit RAID1 und debian. Leitung von Magenta ist stabil. aber dyndns muss ich mir wohl konfiguirieren, hatte letztens den Fall das sich die IP geändert hat was mich eh etwas nervt... hat da jemand Tipps für einen gscheiten dyndns Anbieter für ein paar euro im Jahr? die wirken irgendwie alle so fishy... -falls virtual server dann würd ich wsl ein kleines Paket von netcup oder so nehmen, ABER da gibts dann zu überlegen ob nicht gleich bitwarden selber gemanaged nehmen gscheiter is. Also wsl würd ichs zuerst eher mal am Homeserver verwenden Bei der Mailadresse rate ich dir aber mache [Vorname]+[site]@domain.TLD jop den Schmäh kenn ich eh, aber danke fürs erinnern hatte ich jetzt noch gar nicht bedacht. edit: Noch was wichtiges: wie kann man Bitwarden also die SaaS Variante einschätzen? gabs da schon irgendwelche Troubles im Sinne von Datenschutz und/oder Security?
Bearbeitet von davebastard am 26.12.2024, 15:48
|
quilty
Ich schau nur
|
k also kein VPN, tendiere eh auch dazu. Was verwendest du als reverse proxy + letsencrypt zeug automatisieren, caddy oder traefik oder ganz was anderes? Oder hast du eine fw die die Funktionalität bietet (opnsense iirc z.B.)? Ich hab einen Caddy container der das für meine Homeserver Umgebung macht. Eben reverse proxy + letsencrypt Automatisierung. k, also am Handy machst du dann die App auf kopierst das Passwort und fügst es im Browser ein? Nein. Zumindest unter Android ist das glaube ich mittlerweile Standard, dass das System (oder der Browser?) verfügbare PW-Manager erkennt und es entsprechend anbietet beim Autocomplete. Ich habe mich aber nicht mit Details beschäftigt. Einfach die App installiert, zum Server verbunden und seitdem funktioniert das aus dem Browser (Chrome) heraus. Kann sein, dass ich mal den Default PW Manager gesetzt habe. aber dyndns muss ich mir wohl konfiguirieren, hatte letztens den Fall das sich die IP geändert hat was mich eh etwas nervt... hat da jemand Tipps für einen gscheiten dyndns Anbieter für ein paar euro im Jahr? die wirken irgendwie alle so fishy... Hab duckdns.org. Kostet nix, funktioniert einwandfrei, mein Router (mit FreshTomato Firmware) macht das alles Hab noch nie von irgendeinem Breach oder Problem bei Bitwarden gehört. Sollte ich irgendwann nicht mehr selbst hosten können/wollen, würde ich fix zu deren SaaS Angebot wechseln.
|
davebastard
Vinyl-Sammler
|
Ich hab einen Caddy container der das für meine Homeserver Umgebung macht. Eben reverse proxy + letsencrypt Automatisierung. k super dann werd ich mir den auch anschauen. Verwenden wir eh @work auch wo, hatte aber nur sehr wenig Berührungspunkte bisher. super wenn das mit pw Manager integrieren auf android schon quasi automatisch geht, hoffentlich auch mit Firefox ... Hab duckdns.org. Kostet nix, funktioniert einwandfrei, mein Router (mit FreshTomato Firmware) macht das alles habs eben eingerichtet, Einrichtung war supereinfach, auf der website gibts sogar einen conffile generator für openwrt. Danke für den Tipp, wie ich das Logo gesehen hab ist mir eingefallen dass das auf oc.at eh schon mal Thema war, aber hatte es schon wieder vergessen.
|
watercool
BYOB
|
Ich hab’s über cloudflare Tunnel erreichbar und auf meine IP gesperrt. Wenn ich’s unterwegs brauch dann geh ich über WireGuard oder Tailscale rein. Trotzdem natürlich 2FA zur Sicherheit.
Überleg mir noch andere Authentifizierung als IP aber derweil rennst so gut und hab auch andere Services so erreichbar über meine eigene Domain.
Läuft bei mir als proxmox Container und Backup jeden Tag aufs NAS
Bearbeitet von watercool am 26.12.2024, 17:40
|
davebastard
Vinyl-Sammler
|
stimmt ich könnt auch nur die ausgehende ip von der Arbeit erlauben und mit dem Handy per wireguard... würde auch schon die meisten Fälle abdecken. Für Urlaub müsst ich halt wireguard auch am Laptop einrichten... Es ist zwar nur ein klick mehr aber das Verbinden mit dem VPN ist halt trotzdem wieder ein schritt mehr... muss ich mir noch überlegen
|
watercool
BYOB
|
Brauchen tust du’s ja nur wenn du neue PW hinzufügst. Der Rest liegt meines Wissens nach eh lokal und du brauchst kein VPN? Bin mir ned ganz sicher aber ein Teil is lokal recht sicher.
|
davebastard
Vinyl-Sammler
|
ich probiers mal nur im LAN aus und stop den container, seh ich dann eh
|
davebastard
Vinyl-Sammler
|
Habs jetzt mit Vaultwarden in einem container auf meinem Homeserver mit caddy,duckdns und einem cname mit foo.nachname.net domain konfiguriert. hab aber zusätzlich das admin interface von extern abgedreht (nona), den login auf 2FA gestellt, register funktion aus und fail2ban eingerichtet bei mehr als 5 Versuchen. Ich denke das sollte reichen. Backup geht auf das WebDAV von mailbox.org die letzten 30 Tage Am Handy und PC/Laptop hab ich auch schon getestet. Klappt alles wunderbar was ich jetzt brauchen würde ist folgendes, dazu muss ich etwas ausholen, ich mach das ja gleich in einem Aufwasch dass ich die email Adresse (neu auf protected) und das pw bei allen Accounts auf ein generiertes von vaultwarden ändere. Dazu hab ich auch schon alle mails aus gmail exportiert (im mbox format). Gibts irgend ein Tool mit dem ich mir damit eine liste der häufigsten Mailadressen ausgeben kann? ich weiß für python gibts mail-parser und chatgpt hätt mir auch den code dazu ausgespuckt, hat aber nicht geklappt (ich vermute irgend eine library fehlt). irgendwie hab ich grad keine Lust das zu debuggen jetzt dachte ich vielleicht gibts ja schon was fertiges? edit: k grad gesehen es gibt mboxgrep im debian repo + bisserl shell scripting sollte eigentlich eh schon genug sein. edit2: k habs mboxgrep hat immer segmentation fault... kA was es da hat, das mbox file lässt sich aber eh mit normalem grep durchforsten, das wars dann: grep -E '^From:' Posteingang.mbox | grep -o "[a-zA-Z0-9._%+-]\+@[a-zA-Z0-9.-]\+\.[a-zA-Z]\{2,\}"|grep -oE '([a-zA-Z0-9-]+\.){1}[a-zA-Z]{2,}$'| sort | uniq -c | sort -nr > addr_list.txt
gibt eine Liste mit nach häufigkeit des Vorkommens gereiten domains... also nur top level und second level (wegen diverser newsletter subdomains und dergleichen).
Bearbeitet von davebastard am 07.01.2025, 00:28
|