Auto-hébergement : installer Vaultwarden (Bitwarden) sur son NAS Synology
Sommaire
I. Présentation
Dans ce tutoriel, nous allons apprendre à déployer un serveur Vaultwarden sur un NAS Synology afin d'héberger notre propre solution de gestion de mots de passe ! Vous connaissez déjà surement Vaultwarden, car il s'agit d'une version non officielle de Bitwarden destinée à l'auto-hébergement ! Avant, elle s'appelait "bitwarden_rs".
Le gestionnaire de mots de passe Bitwarden peut être utilisé en mode SaaS, c'est-à-dire hébergé sur les serveurs de l'éditeur dans le Cloud, mais il peut aussi être auto-hébergé sur son propre serveur (voir la documentation officielle). Par contre, il est considéré comme étant assez lourd, ce qui n'est pas très pratique si l'on veut utiliser un NAS ou pourquoi pas un Raspberry Pi.
La bonne nouvelle, c'est qu'il existe Vaultwarden, une solution libre codée en Rust, beaucoup plus légère et que l'on peut héberger soi-même. Avant, elle s'appelait "Bitwarden_RS" mais il y a eu un changement de nom pour une raison compréhensible : "Ce projet était connu sous le nom de Bitwarden_RS et a été renommé pour se séparer du serveur officiel de Bitwarden dans l'espoir d'éviter toute confusion et tout problème de marque." - Vaultwarden est totalement adapté pour un NAS, un serveur en ligne (par exemple : un VPS), un Raspberry Pi ou un serveur en local.
Vaultwarden est une solution fiable et sécurisée qui reprend les fonctionnalités clés de Bitwarden, à savoir :
- Solution de type coffre-fort numérique pour stocker vos identifiants et mots de passe, vos informations de carte de paiement, des notes, etc...
- Gestion de plusieurs utilisateurs sur un même serveur (via un système d'inscription) et gestion d'organisations pour partager les identifiants entre utilisateurs
- Accès à votre coffre-fort sur tous les appareils associés à votre compte.
- Sécurité des données grâce au chiffrement bout en bout (seul l'utilisateur peut accéder à ses données)
- Générateur de mots de passe et de passphrases pour vous faciliter la création de mots de passe robustes
- Authentification à deux facteurs pour renforcer l'accès aux comptes
- Partage de fichiers ou de texte à l'aide de la fonctionnalité Send
Plutôt sympa pour garder la maitrise de son coffre-fort de mots de passe, tout en ayant accès à une solution moderne accessible via un navigateur, des extensions pour navigateur et une application mobile. D'ailleurs, Vaultwarden est compatible avec les applications et extensions Bitwarden.
Pour installer Vaultwarden sur un NAS Synology, nous allons utiliser un container Docker via l'application Container Manager de DSM. Ce sera stable et facile à déployer, mais il conviendra de sauvegarder les données du container compte tenu de leur criticité. Il est à noter que l'application Docker s'appelle Container Manager depuis DSM 7.2.
II. DSM : installer Container Manager (Docker)
Connectez-vous à l'interface DSM de votre NAS afin d'installer l'application "Container Manager" ou "Docker", si ce n'est pas encore fait. Celle-ci s'installe en quelques clics à partir du "Centre de paquets".
III. Créer un container Docker "Vaultwarden"
Le NAS étant équipé de Container Manager, vous allez pouvoir créer un nouveau container Vaultwarden (en lieu et place de Bitwarden_rs).
Ouvrez Container Manager, cliquez à gauche sur "Registre" (1), recherchez "vaultwarden" en haut à droite (2), puis sélectionnez "vaultwarden/server" dans la liste (3) et cliquez sur "Télécharger" (4) pour que l'image de ce container soit téléchargée sur le NAS.
Au moment où vous cliquez sur "Télécharger", la fenêtre "Choisir une identification" apparaît. Choisissez la dernière version du container via "latest" et validez.
Quand le téléchargement est effectué, cliquez à gauche sur "Conteneur" dans l'interface de Container Manager. Créez un nouveau conteneur en cliquant sur "Créer".
Commencez par choisir l'image "vaultwarden/server:latest" que vous venez de télécharger. Même si ce n'est pas obligatoire, vous pouvez activer la limitation des ressources comme sur l'image ci-dessous. Ce conteneur n'est pas très gourmand. Au besoin, c'est ajustable par la suite. Activez aussi le redémarrage automatique pour que le NAS essaie de le relancer automatiquement en cas de crash.
Poursuivez.
L'étape "Paramètres des ports" s'affiche. Les ports "3012/TCP" et "80/TCP" correspondent aux deux ports utilisés par le conteneur. Celui qui correspond à l'accès à l'interface Web, c'est bien sûr le port 80 correspondant au HTTP. L'autre port correspond au Websocket. Tout à gauche, c'est le port à attribuer au niveau du NAS.
Dans l'exemple ci-dessous, l'accès au NAS sur le port 3012/TCP va renvoyer vers le port 3012/TCP du conteneur. Tandis que le port 3013/TCP va renvoyer vers le port 80/TCP du conteneur. Vous devez utiliser des ports qui ne sont pas encore utilisés sur votre NAS (il y a des chances pour que le port 80 soit utilisé par un autre service). Vous pouvez personnaliser ces valeurs.
Vous devez prévoir un espace de stockage sur votre NAS afin que le container Vaultwarden puisse écrire ses données. Dans le répertoire "docker" du NAS, créez un répertoire nommé "vaultwarden" et vous allez ensuite l'associer au container.
Dans la configuration du container, cliquez sur "ajouter un dossier", sélectionnez le répertoire "/docker/vaultwarden" et montez-le en "/data" afin que le container stocke ses données à cet endroit. Il est important de sauvegarder le répertoire "/docker/vaultwarden" pour protéger votre coffre-fort (vous pouvez utiliser Hyper Backup, par exemple).
Ne touchez pas à la section "Environnement", nous allons revenir dessus par la suite.
Il n'est pas nécessaire de configurer de fonctionnalités ou d'adapter la configuration réseau. Cliquez sur "Suivant".
Cliquez sur "Effectué" pour créer le conteneur Vaultwarden !
La section "Conteneur" contient un petit nouveau nommé "vaultwarden" et qui est actif.
Afin de pouvoir accéder à l'interface Web de Vaultwarden, vous devez autoriser le port 3013/TCP (ou autre, selon votre configuration) dans le pare-feu de DSM. Enfin, ceci est vrai uniquement si vous avez activé et configuré le pare-feu de DSM, ce qui est recommandé. Pour rappel, on accède au pare-feu de cette façon : Panneau de configuration > Sécurité > Pare-feu.
Une fois la règle de pare-feu créée, il est possible d'accéder à Vaultwarden via un navigateur en précisant l'adresse IP du NAS et le port 3013.
IV. Configurer le reverse proxy
Accéder à l'interface de Vaultwarden, c'est bien, mais ce n'est pas très propre : l'accès s'effectue en HTTP, donc les communications ne sont pas chiffrées. C'est gênant pour accéder à un gestionnaire de mots de passe... En plus, certaines fonctionnalités de Vaultwarden ne pourront pas fonctionner.
Notre objectif va être le suivant : utiliser un nom de domaine et un certificat SSL valide pour accéder à Vaultwarden en HTTPS. Pour le nom de domaine, il est envisageable d'utiliser votre propre nom de domaine ou d'utiliser le système "synology.me", totalement gratuit. Par exemple si vous accédez à votre NAS via l'adresse "https://mon-nas.synology.me", vous pouvez envisager d'accéder à Vaultwarden via l'adresse "https://vaultwarden.mon-nas.synology.me" (ou utiliser un autre sous-domaine).
Dans un précédent tutoriel, j'ai déjà abordé l'utilisation du système DDNS "synology.me" et l'obtention d'un certificat SSL gratuitement :
Pour publier l'application Bitwarden en HTTPS sur le port 443 (ou un autre port exotique), sans pour autant modifier la configuration effectuée jusqu'ici, vous devez utiliser la fonction de reverse proxy de DSM.
Ouvrez le "Panneau de configuration", cliquez sur "Portail de connexion" à gauche (2), puis sur l'onglet "Avancé" (2) et sur "Proxy inversé" (3). Enfin, cliquez sur "Créer".
Nommez cette configuration, par exemple "vaultwarden" et définissez les paramètres suivants :
- Protocole : HTTPS, pour un accès sécurisé
- Nom d'hôte : Quel est le nom de domaine à utiliser ? Par exemple, vaultwarden.mon-nas.synology.me
- Port : 443, soit le port HTTPS par défaut, mais vous pouvez utiliser autre chose
- Activer HSTS pour plus de sécurité
- Destination :
- Protocole : HTTP, car le conteneur écoute en HTTP
- Nom d'hôte : On redirige le flux en local, car le conteneur tourne sur le NAS
- Port : 3013, ce qui est le port du NAS qui renvoie vers le conteneur Vaultwarden
Cliquez sur "Sauvegarder" !
V. Accès à Vaultwarden (Bitwarden)
Grâce à cette configuration, l'accès à Vaultwarden peut être effectué avec une URL beaucoup plus propre et avec un certificat SSL valide !
Sur la page de connexion de Vaultwarden, vous ne pouvez pas vous authentifier : vous n'avez pas encore créé de compte sur votre instance. Pour vous inscrire sur votre propre serveur, cliquez sur "Créez un compte". Renseignez un e-mail, un nom et un mot de passe principal qui doit être robuste, car il s'agit du mot de passe qui sert à déverrouiller votre coffre-fort ! Validez quand c'est fait !
Voilà, vous êtes connecté à votre coffre-fort ! Vous pouvez créer vos premiers identifiants dans votre coffre ! Toutes les informations resteront en sécurité sur votre NAS Synology.
Remarque : si vous avez plusieurs utilisateurs à créer, chaque personne doit s'inscrire via le lien sur la page de connexion. Ensuite, pour partager des identifiants entre plusieurs utilisateurs, une nouvelle organisation doit être créée.
Si vous utilisez déjà un autre gestionnaire de mots de passe, peut-être même Bitwarden en mode SaaS, et bien sachez que vous pouvez importer vos données pour faciliter la migration. Tout d'abord, il conviendra d'exporter vos données depuis votre gestionnaire de mots de passe actuel pour effectuer un import dans Vaultwarden via la section "Outils" puis "Importer des données".
Lorsque vous allez installer l'extension Bitwarden dans votre navigateur préféré (par exemple celle-ci pour Edge), il conviendra de choisir "Auto-hébergé" comme région pour avoir la possibilité de spécifier l'adresse de votre serveur Vaultwarden.
Au sein du champ "URL du serveur", il conviendra de spécifier l'URL complète (nom de domaine + port) vers l'instance Vaultwarden hébergée sur le NAS.
Ensuite, il suffira de se connecter avec son adresse e-mail et son mot de passe pour accéder à son coffre-fort ! 🙂
VI. Sécuriser et configurer son container Vaultwarden
Pour finir, nous allons revenir sur la configuration de notre container pour ajouter deux variables d'environnement :
- SIGNUPS_ALLOWED : pour empêcher la création de nouveaux comptes, sinon n'importe quelle personne qui accède à l'interface de votre Vaultwarden pourrait s'inscrire dessus et l'utiliser. Autrement dit, on désactive les inscriptions.
- DOMAIN : pour déclarer le nom de domaine, ce qui permet à Vaultwarden d'avoir connaissance de son propre nom de domaine
Pour configurer ces deux options, retournez dans "Container Manager", arrêtez le conteneur "vaultwarden" et accédez à ses paramètres. Créez deux variables comme sur l'image ci-dessous :
Validez et relancez le conteneur. Désormais, si un utilisateur essaie de s'inscrire, il obtiendra une erreur : "Registration not allowed or user already exists." - En positionnant la variable d'environnement sur "true", vous pouvez autoriser les inscriptions à tout moment.
Par ailleurs, une fois connecté à votre coffre Vaultwarden, pensez à configurer l'authentification multifacteurs pour protéger votre compte. Pour cela, cliquez sur votre avatar en haut à droite, puis sur : Paramètres du compte > Sécurité > Authentification à deux facteurs. Pour utiliser une clé de sécurité physique Yubikey, il y a une configuration supplémentaire à prévoir (voir ici).
VII. Conclusion
En suivant ce tutoriel, vous êtes en mesure de déployer Vaultwarden sur votre NAS dans le but d'héberger votre propre gestionnaire de mots de passe multi-utilisateurs : très pratique pour une petite équipe, des salariés en entreprise ou encore pour les membres de sa famille !
Pour aller plus loin, vous êtes invité à consulter la documentation officielle sur le GitHub (en lien avec la documentation Bitwarden) ou à publier un commentaire sur cet article pour poser vos questions (sans oublier le serveur Discord).
Bonjour, Florian
Très intéressant et parfaitement expliqué, merci pour cet excellent tutoriel.
Petite question : cela est-il possible d’être installé sur tous les NAS ?
Bonjour Thierry
Le principe de l’installation de VaultWarden est sur un Container, donc tu as besoin d’un NAS qui peut virtualisé Docker/Container : pour synology, tu as la liste complete ici : https://www.synology.com/fr-fr/dsm/packages/ContainerManager
Bonjour,
Merci pour le tutoriel.
SImple, rapide, efficace comme toujours.
Je suis parvenu à créer le conteneur, créer les règles de pare feu sur le NAS et la box, j’arrive bien à contacter le vault depuis Internet, mais le certificat ne fonctionne pas.
J’en ai bien créé un, il existe, mais il semble ne pas fonctionner.
J’ai un certificat pour le nas, les autres applications, toutes reliées au nom Mon_NAS.synology.me, mais si je créé un sous domaine vaultwarden.mon_nas.synology.me, le certificat se créé bien mais il n’est associé à aucune application, a savoir le docker vaultwarden. Je ne peux pas associer le certificat a l’application Docker, l’option n’est pas proposée.
Par conséquent, la connexion n’est pas sécurisée en https, alors que j’ai demandé, dans le pare feu, le conteneur et le reverse proxy de passer par https.
Une idée du pourquoi du comment et comment remédier à cela svp ?
Merci d’avance
j’ai fini par affecter le certificat, le nom de domaine, a l’application VaultWarden, mais ça ne chane rien.
J’ai vu que je n’ai pas créé de nouveau nom de domaine sur le ddns, peut êtrq que c’est l’origine du problème ?
Mais j’en doute, car, sans https, j’arrive sur vaultwarden, via l’url que j’ai créé sur le certificat, le reverse proxy, le conteneur.
Mais je ne peux pas créer d’autre nom de domaine sur le ddns, car il m’indique que je ne peux pas créer 2 domaines différents, pour le même fournisseur de service, soit Synology.
Bonjour,
Tutoriel parfait : tout est opérationnel en moins de 30 minutes 😀
Merci pour le travail.
Petite question concernant la sauvegarde : j’ai bien configuré Hyper Backup pour sauvegarder le dossier « vaulwarden » (qui est ridiculement petit = moins de 2 Mo !) vers un autre NAS mais comment se passe la restauration du conteneur ?
Si le NAS d’origine est HS, il faut refaire toute la procédure d’installation et remplacer le contenu du dossier de réinstallation par celui sauvegardé ?
Y a-t-il d’autres « choses » à remettre en place ? des petites subtilités ?
Pas de problème de « version » d’application, de certificat…
Merci encore pour ces tutos.
Cordialement,
David C.
Bonjour David,
Si tu dois récupérer un jour ton container, tu auras besoin de :
– Refaire l’ensemble de tes configurations lié au container(Port, Password, Email, …)
– La base de données se trouvant dans le dossier data.
– Prier les dieux de l’informatique
Si tu veux te donner le maximum de chance dans la récupération, je te conseillerais alors de faire ton container via un fichier docker-Compose où tu vas y stocker les informations clés de la configurations de ton conteneur.
– Si tu utilise un NAS Synology (en DSM 7.2), au lieu de crée un container directement dans l’onglet Conteneur mais dans Projet => Tu vas devoir utilisé un fichier Docker-compose qui sera sauvegarder automatiquement dans le dossier de tes données.
– Sinon, tu peux aussi Portainer qui utilisera aussi le principe de Docker-Compose mais tu devras manuellement garder le fichier de configuration.
Dans tous les cas, chez Synology, tu as également la possibilité de faire un export de tes données de configuration : Dans un contener => Action => Exporter.
Si tu as une crainte pour la version, lorsque que tu télécharges et installe le conteneur, tu ne sélectionne pas Latest, mais la version que tu as initialement.
Bonjour à toutes et à tous,
Merci beaucoup pour ce tuto. J’ai procédé à l’installation sur un NAS Synology sans aucun problème.
Par contre j’ai une petite question concernant les mises à jour. En effet on installe la dernière version en choisissant « vaultwarden/server:latest » mais si une nouvelle version est disponible, en est-on informé ? Et la mise à jour se fait elle toute seule ou faut-il faire des actions spécifiques ?
En vous remerciant par avance et en vous souhaitant une très bonne fin de journée.
Bien cordialement.
Stéphane C.
Bonjour
J’ai bien aimé le tuto et suivi comme indiqué mais je n’arrive pas à acceder via url créer avec synology.me une idée ?
Bonjour,
Pareil chez moi avec le port 65001. En changeant par 443 ça fonctionne (config reverse proxy à modifier en conséquence bien sûr).
Cordialement,
Bonjour
Merci pour ce tutoriel, j’ai presque réussi…
Quand je tente de me connecter à
« https://vaultwarden.[mondomaine perso].synology.me:[le port choisi]/
j’ai firefox qui me dit ça :
Hum, nous ne parvenons pas à trouver ce site.
Impossible de se connecter au serveur à l’adresse vaultwarden.sypqys.synology.me.
« Si l’adresse saisie était correcte, vous pouvez :
Réessayer plus tard
Veuillez vérifier votre connexion réseau
Vérifier que Firefox a l’autorisation d’accéder au Web (votre connexion pourrait être effective, mais protégée par un pare-feu) »
en fin de compte je ne comprends pas. Merci de m’aiguiller si vous voulez.
en fait c’est Portmaster qui bloquait…
en fait, j’ai l’interface mais pas sous Chrome.
J’ai NextDNS et AdGuard, mais sous Ungoogled Chromium ça fonctionne…
Je ne comprends pas ce qui bloque.. Ni pourquoi ?
En fait, ce n’est pas Portmaster. SI vous aviez une aide à m’apporter.
sous Firefox :
https://www.cjoint.com/doc/23_08/MHxoCD7pIAI_chrome-pAVvewj2vl.png
Sous Chrome :
https://www.cjoint.com/doc/23_08/MHxoC7rYT3I_chrome-jqaRePjUBb.png
j’ai mis un port à 5 chiffres au lieu et place du 443.
Merci par avance
https:// vaultwarden.[monnomdedomainepersonnel].synology.me
dans DOMAIN on écrit juste ça, pas le port ?
Pour SIGNUP_ALLOWED = false, ça sous entends que personne ne pourra se logger en dehors de moi ?
J’ai du mal à comprendre ce que ça signifie.
Quand vous dites d’ouvrir une exception dans le pare feu, avec le port 3013 mais vous ne dites pas à quelle IP le lier… J’ai mis celle du NAS (DSM).
C’est tout bon ?
Pardon j’arrête ici, je crois j’ai été complet avec tous ces messages.
Mon NAS est le Synology DS720+ avec 6 Go de RAM.
Pas de SSD en cache.
2×8 To Seagate IronWolf (ST8000VN0022) SHR avec protection de données – DSM 7.2-64570 Update 1
Merci encore beaucoup pour vos réponses futures !
Bonjour,
tout est réglé, il fallait aller dans l’interface de AdGuard Home, à réécriture DNS, et rentrer le domaine et l’adresse IP du NAS DSM.
Donc tout est bon !!
Merci encore 🙂
Bonjour,
j’ai suivi le tuto cependant lorsque je saisie le « https:// vaultwarden.[monnomdedomainepersonnel].synology.me »
mon navigateur me renvoie sur l’interface de gestion du NAS.
Une idée d’où peux venir le problème ?
Pareil, je ne trouve pas d’où vient l’erreur.
Bonjour,
Si vous avez la dernières version de vaultwarden (1.29.0) et que vous voulez la mises à jour automatique des extensions dans le navigateur et les applications Win & OSX (je ne parle pas des applications mobiles)
Vous pouvez modifier le reverse proxy et les En-tête personnalisé avec ces 2 variables :
Upgrade = $http_upgrade
Connection =$connection_upgrade
Pour cela cliquer sur créer puis WebSocket
Sauvegarder
Et maintenant la mise à jour automatique sera fonctionnel.
Ben.
Bonjour, bravo pour ce tutoriel. Complet presque parfait. Le fait de pouvoir héberger des mots de passes et une bonne chose, on se sépare du cloud web.
Cependant, j’imagine qu’avec l’ajout de sécurités plus complexes sur IOS 13, les utilisateurs de Bitwarden en self host avec vault ont eu un problème de SSL. Un message d’erreur lors de la connexion.
Dans ce cas, après avoir fait le reverse Proxy, créez un certificat Let’s encrypt, avec vaultwarden.domaine.synology.me.
Puis, dans les certificats, vous choisissez celui ci pour le reverse proxy. Bref le fait d’ajouter un certificat supprime forcément le problème de certificat et du SSL. Puisque le certificat est directement lié
Bonjour
Très bien l’explication pour l’installation du produit, mais vous n’expliquez pas comment accéder à la partie Admin de Vaultwarden afin de le configurer.
Surtout comment définir le Token pour déverrouiller la partie Admin
Bonjour,
Est-ce que cette installation permet de se prémunir totalement d’une attaque de type ransomware ?
je ne comprend pas, soudainement, l’application Bitwarden de mon téléphone ne trouve plus le serveur auto héberger sur le NAS alors que sur mon ordi, ça fonctionne toujours sur l’appli Bitwarden et dans le navigateur.
Message : « Nous n’avons pu traiter votre requête. Veuillez réessayer ou nous contacter »
Bonjour,
je suis en test j’ai suivie à la lettre et avec mon nom domaine ovh ça ne fonctionne pas je ne trouve pas le souci alors que l’ip local fonctionne
Merci pour le tuto c’est presque parfait et ça m’a bien aidé (moi qui attendait bêtement que Synology rende leur gestionnaire de mot de passe hébergeable sur leur NAS … naif que je suis).
Juste une petite remarque pour compléter et éviter à ceux qui comme moi rencontrerait le problème:
Si vous voulez utiliser la fonctionnalité d’authentification « Se connecter avec l’appareil » , histoire d’avoir simplement à valider la demande d’authentification sur son application mobile Bitwarden (Paramètres > Sécurité du compte > Demandes de connexion en attente) sans avoir a saisir le mot de passe maitre (même s’il ne faudra pas le perdre).
Si l’ont suit le tuto, la demande faite depuis n’importe quel appareil (Vaultwarden Web UI, Extension du navigateur, etc) sera bien affichée dans la liste des demandes en attente (pas de popup de notification puisque j’imagine que les développeurs de vaultwarden n’ont pas la possibilité de push une notification dans le canal de Bitwarden) mais sa validation n’engendrera aucun changement sur le client qui en a fait la demande.
La faute (dans mon cas) à la configuration du reverse proxy, et plus particulièrement des websockets qui ne passent pas / ne restent pas ouvert.
Pour résoudre ce problème, dans la configuration du reverse proxy, il faut aller sur l’onglet « En-tête personnalisé », cliquer sur le bouton « Créer », et sélectionner « Websocket ».
Cet action ajoutera automatiquement 2 en-têtes:
– Upgrade = $http_upgrade
– Connection = $connection_upgrade
C’est tout.
La validation des demandes depuis votre application mobile bitwarden valideront la demande d’authentification, et vous n’aurez pas à saisir le mot de passe maitre, en particulier quand vous laissez le vault se verrouiller.
Malheureusement, pour le moment, cette option n’est disponible que pour se connecter, et non pas pour simplement déverrouiller le vault, ce qui veut dire que si vous avez (comme il le faudrait) une authentification à 2 étapes, il vous faudra toujours fournir ce code OTP.