在LXC容器（如Proxmox）中安装Bitwarden

众所周知，我非常重视安全性，因此坚信一个无法从互联网访问的服务（如密码管理器）比可访问的服务更难被攻击。在选择密码管理器时，这使决策变得不那么简单。虽然Keepass及其衍生版本存在，但它们的安全仅依赖于主密码和终端设备安全。看到朋友使用Google Drive同步密码文件，我考虑过这一选项，但它不适合我（例如浏览器集成、双因素认证等）。

Lastpass或1Password等密码管理器也不是我的理想选择。是的，我相信它们的加密技术很好，且从不查看用户密码，但双因素认证的安全性仅等同于密码丢失/双因素重置功能的安全性。我读过并见过太多相关攻击，无法依赖它们。

这一切让我选择了Bitwarden，它提供与Lastpass或1Password相同的功能级别，但是开源的，并且可以托管在我自己的服务器上。不向互联网开放，仅通过VPN远程使用（我本来就有VPN），大大减少了攻击面。这篇博客文章展示了我如何在Proxmox LXC容器中安装它，这样做是为了将其与其他服务隔离，因此在升级时没有依赖关系。我不喜欢在Proxmox主机上直接安装任何东西。由于这是我的首次尝试，并且在非特权容器和Docker中遇到了问题，当前设置仅适用于特权容器。我知道这不太好，但在此情况下，这是一个我可以接受的风险。如果您找到在非特权容器中运行的方法，请发送电子邮件或留言。

LXC容器

使用Debian 9创建LXC容器（2GB RAM，>5GB硬盘）后，不要立即启动容器。您需要将以下内容添加到/etc/modules-load.d/modules.conf：

1
2


aufs
overlay

如果您不想启动时加载模块，可以使用：

1
2


modprobe aufs
modprobe overlay

如果不这样做，您的安装将变得巨大（超过30GB）。现在，我们只需将以下内容添加到/etc/pve/lxc/<vid>.conf：

1
2
3
4


#insert docker part below
lxc.apparmor.profile: unconfined
lxc.cgroup.devices.allow: a
lxc.cap.drop:

现在您可以启动容器并进入它，稍后我们将检查一切是否正确，但我们需要Docker来完成此操作。

Docker和Docker Composer

Docker的一些要求：

1

apt install apt-transport-https ca-certificates curl gnupg2 software-properties-common

现在我们可以添加Docker的存储库：

1
2


curl -fsSL https://download.docker.com/linux/debian/gpg | apt-key add -
add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/debian $(lsb_release -cs) stable"

现在我们可以安装它：

1
2


apt-get update
apt-get install docker-ce

Debian附带的Docker Composer太旧，无法与此Docker配合使用，因此我们需要：

1
2


curl -L "https://github.com/docker/compose/releases/download/1.23.1/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose
chmod +x /usr/local/bin/docker-compose

并通过将以下内容添加到.bashrc来将/usr/local/bin/添加到路径变量中：

1

PATH=/usr/local/bin:$PATH

并在bash中直接调用它，以便在不启动新bash实例的情况下设置它。我知道使用软件包会更好，但找不到，因此这是一个临时解决方案。如果有人找到更好的方法，请在下方留言。

现在我们需要通过调用docker info来检查overlay功能是否正常工作，希望您也能看到overlay2作为存储驱动程序：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


Containers: 0
Running: 0
Paused: 0
Stopped: 0
Images: 0
Server Version: 18.06.1-ce
Storage Driver: overlay2
Backing Filesystem: extfs
Supports d_type: true
Native Overlay Diff: true
Logging Driver: json-file

Bitwarden

现在我们只需要：

1
2
3
4
5


curl -s -o bitwarden.sh https://raw.githubusercontent.com/bitwarden/core/master/scripts/bitwarden.sh
chmod +x bitwarden.sh
./bitwarden.sh install
./bitwarden.sh start
./bitwarden.sh updatedb

现在您完成了，您拥有了自己的密码管理器服务器，它还支持Google Authenticator（基于时间的一次性密码算法（TOTP）作为第二因素。也许我稍后会写一篇博客文章，介绍如何设置Yubikey作为双因素认证（桌面和移动设备）。

Mike — 2019年7月6日
谢谢您的教程。不幸的是，我在数据库迁移后总是收到SQL错误消息。

Drew — 2020年9月26日
谢谢您的教程。我是新手，不确定如何完成第一步：“使用Debian 9创建LXC容器（2GB RAM，>5GB硬盘）后，不要立即启动容器。您需要将以下内容添加到/etc/modules-load.d/modules.conf：aufs overlay”。我在Proxmox服务器中创建了LXC容器，但不知道如何在不启动容器的情况下访问/etc/modules-load.d/modules.conf。我假设我必须在Proxmox shell中执行此操作，但多次搜索几乎没有找到如何在不启动容器的情况下修改LXC文件的方法。任何建议都将不胜感激，谢谢！

robert — 2020年9月27日
抱歉，我的文本有误导性，您只需将其添加到Proxmox系统的modules.conf中，而不是容器中。

Lawr — 2021年4月29日
嗨，谢谢您！我将尝试一下。您找到使用特权容器的方法了吗？

Lawr — 2021年4月29日
打字错误，抱歉，我意思是“非特权” 🙂