全球主机交流论坛

标题: bitwarden到底自建还是官方 [打印本页]

作者: orwtmc 时间: 2022-6-5 00:44
标题: bitwarden到底自建还是官方
rt，如果要找个稳定的机子的话，一年可能都不止10刀，官方是10刀每年
有人用官方的吗，实在不想折腾
自建维护麻烦，机子还怕死
主要是担心官方会不会有安全性问题

作者: KuYeHQ 时间: 2022-6-5 00:45
mjj还会缺小鸡？

作者: 尼克 时间: 2022-6-5 00:45
拿个小本本记一毛钱不花

作者: Waylon 时间: 2022-6-5 00:45
没有绝对安全的系统

作者: orwtmc 时间: 2022-6-5 00:45

KuYeHQ 发表于 2022-6-5 00:45
mjj还会缺小鸡？

要稳的机子，太难找。
放密码这些，肯定是大厂正价，问题是都好贵

作者: 菜单 时间: 2022-6-5 00:46
官方肯定比你自己的安全。

作者: zixi 时间: 2022-6-5 00:47
有些人就是单纯自己搭建用而已，拿吃灰的小鸡搞着玩，安全性来说，除非你把钥匙泄露，不然基本不用担心

作者: gzchenjz 时间: 2022-6-5 00:47
目前和AdGuard Home一起放在NAS上

作者: AaronYYDS 时间: 2022-6-5 00:53
目前用的enpass 密码存储在iCloud上用着还不错

作者: roxsky 时间: 2022-6-5 00:54
我是自建，本来自用的小飞机，搭了个vaultwarden，然后rclone定时备份，稳得很。
本来小飞机就是刚需，等于这个vaultwarden一分钱都没花。

作者: ansheng 时间: 2022-6-5 00:54
之前自建一年多，后来清理小鸡把服务都搬到云上了，目前用官方一切正常，免费版也可以满足需求了

作者: 草丛中一杯茶 时间: 2022-6-5 00:56
这问题就不要纠结了，都有道理，你只要有钱，想放哪就放哪

作者: xinmang 时间: 2022-6-5 01:11
有能力推荐自建，用官方的也可，都是成熟的方案了，如果你要质疑一个搞安全的公司不安全，我也没办法

作者: ugvfpdcuwfnh 时间: 2022-6-5 01:37
自建挺简单的，论坛里基本不缺鸡，就是一行命令的事儿。

而且自建可以有官方收费的功能哦，安全性也不用担心，就一个小站，你不透露，没人攻击。

作者: orwtmc 时间: 2022-6-5 01:45

xinmang 发表于 2022-6-5 01:11
有能力推荐自建，用官方的也可，都是成熟的方案了，如果你要质疑一个搞安全的公司不安全，我也没办法 ...

说的好，用官方

作者: 875 时间: 2022-6-5 01:51
官方的相比自己安全性上肯定会高，但是目标也大，搞钱的会盯上那种大库，而你自己小鸡搭建的人家都看不上，虽然安全性低了点但是目标小，自己权衡利弊

作者: zdery 时间: 2022-6-5 02:02
官方安全性怎样不清楚，自建安全性也不低。
搭在腾讯的机器上，拿到本机IP，用腾讯防火墙api控制IP白名单。
但是安卓和ios的代码我不会写，电脑端用chrom记住就行了，就搁置了。

作者: dvbhack 时间: 2022-6-5 09:40
本帖最后由 dvbhack 于 2022-6-5 12:51 编辑

我只用自建的。

用 docker 部署在腾讯云（正规云服务商的都一样，但用免费甲骨文，白**azure，欠费aws，oneman vps的就不作为同类型讨论了）

一：主密码

主密码不记录在任何地方，只有自己大脑里记着，主密码18位，大小写数字特殊符号都包括了。

二：vault（密码库）
关了注册，关了admin，账户开启了2FA，一是非信任设备登录必须经过2FA验证，二是非常用地登录会立刻发邮件通知我。

三：服务器
服务器禁用root登录，禁用密码登录，只允许 ed25519 算法的 ssh key 登录，端口非默认， fail2ban 禁止反复尝试。

四：部署

bitwarden 这台机器配置不算高，但上面只部署这个服务，没有其它的东西在上面跑。

五：备份

每隔8小时，数据库和附件会自动打包备份到 COS + OBS（OSS或其它正规存储服务也一样，但免费版、内测版、白**和小服务商的就不作为同类讨论了）。

-----------

担心不安全的，你其实只需要考虑好三个问题：
1. 服务安全，密码服务太重要了，一旦数据丢失，那损失是最大的，所以要依赖可靠的服务商，服务能稳定，万一不能用了，起码能取回数据（多点备份）。
2. 主机安全，会不会很容易被人攻破拿走你的数据库和附件。
3. 主密码安全，会不会被人通过猜测、暴力破解或者社工手段拿到你的主密码。

其中2其实没那么危险，只要确保了3，即使别人攻破你的机器拿到你的数据，也拿不到你的密码。

-------

我为什么不选择官方？

因为它是外国的啊。我不质疑官方的安全性，安全性不会是问题，包括lastpass这些，安全性也不是问题。我只担心它的持续可用性。

不必去争意识形态的东西，也不要去考虑谁对谁错的问题。中美激烈对抗的当下，美国主动制裁禁止中国地区用户使用是一种风险（美国跟中国商家一样，也会为了保命对政府监管做出过度自我审查），中国阻断出境流量不可访问是另一种风险（并不是说不敏感的东西就一定能用，误伤、牵连、全面断网、白名单机制……曾经被牵连导致不可用的正常内容还少吗？）。
这两种风险我觉得比我的数据被人黑了的可能性大多了。

另外，我得反正是自己用，当然是延迟10ms以内的广州云比海外的机器的速度快啊。我在手机 bw 上扫码启用一个 2FA，电脑上几乎是秒同步启用，这不香？

作者: clcavril 时间: 2022-6-5 11:07
rclone啊强加密备份到gd 再说了没有主密码拿到你数据库也解不开主密码我是用的一句话的拼音又好记还不可能被社工

作者: 本人马保国 时间: 2022-6-5 11:08
10年轻量自建了这个和网盘挂载很稳定

作者: rem 时间: 2022-6-5 11:15
我也自建，开源项目、自选机房速度快、个人域名不怕屏蔽、有能力折腾会维护、免费用付费功能。请告诉我为什么不自建？

作者: mujj 时间: 2022-6-5 11:15
甲骨文两个小鸡，一个安装bitwarden。

然后在甲骨文安全组那里设置为只开放一个bitwarden的端口（并且只允许2号小鸡访问），连SSH端口都没开。

2号小鸡就反代bitwarden，只开443端口，并且443设置为只有CF能访问。

作者: 此梦无痕 时间: 2022-6-5 11:15
你吃灰的机子不用来干些什么，不浪费吗

作者: 小呐~ 时间: 2022-6-5 11:41
主要还是机子太多，6台机子，3台完全吃灰，2台几乎吃灰，不搞点啥亏啊

作者: huanx 时间: 2022-6-5 11:42
直接官方吧

作者: 3gW7d7jizJS 时间: 2022-6-5 11:45
我是用官方的bitwarden，安全性和可用性都放心，这玩意又不太可能猜到zz红线，而且就算被屏蔽了伏墙就可以替换成其他家的。
自建成本确实高不少，放bitwarden的服务器就不会放其他项目，蛮浪费的。而且要经常确认备份功能在工作也挺费事的，还是官方的省心。。

作者: louiejordan 时间: 2022-6-5 11:46
你觉得是你买的服务器稳定安全还是官方的服务器稳定安全？

作者: xayle 时间: 2022-6-5 11:49
官方10刀, 已经订阅好些年了.

作者: lokinT 时间: 2022-6-5 12:14
除非你自建的服务器比官方稳，不然没必要

作者: dvbhack 时间: 2022-6-5 12:52

mujj 发表于 2022-6-5 11:15
甲骨文两个小鸡，一个安装bitwarden。

然后在甲骨文安全组那里设置为只开放一个bitwarden的端口（并且只允 ...

做好及时备份。

甲骨文玄学封号。

作者: paggy 时间: 2022-6-5 12:56
绝大多数人肯定都是用的官方服务器，自己折腾不麻烦么，我从开始用就没自建过，隔段时间备份下就行了

作者: pwbty 时间: 2022-6-5 13:01
enpass或者keepass把数据加密放云盘不好吗。我放在Dropbox

作者: 可怕的mjj 时间: 2022-6-5 13:57
个人想不懂为啥要自建，除非免费的不能满足你

作者: LEB 时间: 2022-6-5 14:10
本帖最后由 LEB 于 2022-6-5 14:13 编辑

可怕的mjj 发表于 2022-6-5 13:57
个人想不懂为啥要自建，除非免费的不能满足你

免费的没有TOTP

作者: LEB 时间: 2022-6-5 14:11
我放在scaleway，每天自动备份到onedrive

作者: Ralph 时间: 2022-6-5 14:40
官方

作者: 丶Silently 时间: 2022-6-5 14:49
自建、源站ip别泄漏上密钥登陆改端口每天间隔4小时自动备份到dropbox

作者: 可怕的mjj 时间: 2022-6-5 20:02

LEB 发表于 2022-6-5 14:10
免费的没有TOTP

如果TOTP是必须的那就自建, 话说TOTP是啥意思?

作者: LEB 时间: 2022-6-5 20:20

可怕的mjj 发表于 2022-6-5 20:02
如果TOTP是必须的那就自建, 话说TOTP是啥意思?

就是那种几秒钟内就过期的“验证码”，跟时间相关的。“双重认证”、“二步验证”

作者: 可怕的mjj 时间: 2022-6-5 21:15

LEB 发表于 2022-6-5 20:20
就是那种几秒钟内就过期的“验证码”，跟时间相关的。“双重认证”、“二步验证” ...

感谢

作者: 腿毛飘飘 时间: 2022-6-5 21:23
keepass不香吗？

欢迎光临全球主机交流论坛 (https://443502.xyz/)