在LXC容器（如Proxmox）中安装Bitwarden

众所周知，我十分重视安全性，因此坚信一个无法从互联网访问的服务遭受攻击的难度远高于可公开访问的服务。在选择密码管理器时，这使决策变得不那么简单。虽然Keepass及其衍生版本存在，但它们的安全仅依赖于主密码和终端设备的安全性。看到朋友使用Google Drive同步密码文件，我考虑过这一选项，但它并不适合我（例如浏览器集成、双因素认证等）。

Lastpass或1Password等密码管理器也不适合我。是的，我相信它们的加密技术良好，且从不查看用户密码，但双因素认证的安全性仅等同于密码丢失/双因素重置功能的安全性。我读过并目睹过太多针对此功能的攻击，因此无法依赖它。

这一切让我选择了Bitwarden，它提供与Lastpass或1Password相同的功能级别，但是开源的，并且可以托管在我自己的服务器上。不向互联网开放，仅通过VPN（我本就使用）远程访问，极大地减少了攻击面。这篇博文展示了我如何在Proxmox LXC容器中安装它，目的是将其与其他服务隔离，从而在升级时没有依赖关系。我不喜欢在Proxmox主机上直接安装任何东西。由于这是首次尝试，我在非特权容器和Docker中遇到了问题，因此当前设置仅适用于特权容器。我知道这并不理想，但在此情况下，这是一个我可以接受的风险。如果您找到在非特权容器中运行的方法，请发送电子邮件或留言。

LXC容器

使用Debian 9创建LXC容器（2GB RAM，>5GB硬盘）后，不要立即启动容器。您需要将以下内容添加到/etc/modules-load.d/modules.conf：

1
2

aufs
overlay

如果您不想启动时加载模块，可以使用：

1
2

modprobe aufs
modprobe overlay

如果不这样做，安装将变得巨大（超过30GB）。现在，我们只需将以下内容添加到/etc/pve/lxc/<vid>.conf：

1
2
3
4

#insert docker part below
lxc.apparmor.profile: unconfined
lxc.cgroup.devices.allow: a
lxc.cap.drop:

现在您可以启动容器并进入它，稍后我们将检查一切是否正确，但我们需要Docker来完成此操作。

Docker和Docker Composer

Docker的一些要求：

1

apt install apt-transport-https ca-certificates curl gnupg2 software-properties-common

现在我们可以添加Docker的仓库：

1
2

curl -fsSL https://download.docker.com/linux/debian/gpg | apt-key add -
add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/debian $(lsb_release -cs) stable"

现在我们可以安装它：

1
2

apt-get update
apt-get install docker-ce

Debian自带的Docker Composer版本太旧，无法与此Docker配合使用，因此我们需要：

1
2

curl -L "https://github.com/docker/compose/releases/download/1.23.1/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose
chmod +x /usr/local/bin/docker-compose

并通过添加以下内容将/usr/local/bin/添加到路径变量中：

1

PATH=/usr/local/bin:$PATH

到.bashrc，并在bash中直接调用它以在不启动新bash实例的情况下设置它。我知道使用软件包会更好，但找不到，因此这是一个临时解决方案。如果有人找到更好的方法，请在下方留言。

现在我们需要通过调用docker info来检查overlay功能是否正常工作，希望您也能看到overlay2作为存储驱动程序：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11

Containers: 0
Running: 0
Paused: 0
Stopped: 0
Images: 0
Server Version: 18.06.1-ce
Storage Driver: overlay2
Backing Filesystem: extfs
Supports d_type: true
Native Overlay Diff: true
Logging Driver: json-file

Bitwarden

现在我们只需要：

1
2
3
4
5

curl -s -o bitwarden.sh https://raw.githubusercontent.com/bitwarden/core/master/scripts/bitwarden.sh
chmod +x bitwarden.sh
./bitwarden.sh install
./bitwarden.sh start
./bitwarden.sh updatedb

现在您完成了，您拥有了自己的密码管理器服务器，它还支持Google Authenticator（基于时间的一次性密码算法（TOTP）作为第二因素。也许我稍后会写一篇博文介绍如何设置Yubikey作为双因素认证（桌面和移动端）。

在IT安全、Linux | 5条评论

5条评论 »

Hi， 感谢本教程。不幸的是，我在数据库迁移后总是收到SQL错误消息。 Mike 评论由MZ — 2019年7月6日 #

感谢教程。我对此非常陌生，不确定如何完成第一步： “使用Debian 9创建LXC容器（2GB RAM，>5GB硬盘）后，不要立即启动容器。您需要将以下内容添加到/etc/modules-load.d/modules.conf： aufs overlay” 我已经在proxmox服务器中创建了LXC容器，但不知道如何在不启动容器的情况下访问/etc/modules-load.d/modules.conf。我假设我必须在proxmox shell中操作，但多次搜索几乎没有找到如何修改LXC文件而不启动容器的方法。任何建议都将不胜感激，谢谢！ 评论由Drew — 2020年9月26日 #

抱歉我的文字误导了，您只需要将此添加到proxmox系统的modules.conf中，而不是容器。 评论由robert — 2020年9月27日 #

Hi， 感谢这个！我将尝试一下。您找到使用特权容器的方法了吗？ Lawr 评论由Lawr — 2021年4月29日 #

打字错误，抱歉，我意思是“非特权”

评论由Lawr — 2021年4月29日 #

留下评论

名称（必填）

邮件（不会发布）（必填）

网站 Δ

XHTML:

由WordPress提供支持 条目和评论订阅源。 有效的XHTML和CSS。

37次查询。0.068秒。