Es ist mir etwas peinlich, das zu fragen, weil ich selbst nicht darauf komme.
Ich betreibe eine Vaultwarden-Instanz (Open Source Bitwarden) auf einem öffentlichen VPS im offenen Internet. Sie ist ordnungsgemäß mit einem Nginx-Reverse-Proxy mit korrekter SSL-Terminierung und LetsEncrypt-Zertifikaten eingerichtet. Außerdem habe ich den für Yubikey erforderlichen Zugriff aktiviert.
Mir sollte es gut gehen.
Dennoch frage ich mich, warum ich einen Dienst im gesamten Internet zugänglich machen sollte, der nur für mich (und möglicherweise meine Frau) bestimmt ist.
Ich schätze, ich könnte die clientseitige Zertifikatsauthentifizierung aktivieren, aber ich bin nicht sicher, wie einfach das auf den Clients einzurichten ist.
Daher habe ich mich gefragt: Wäre es sinnvoll, so etwas wie ein VPN auf dem VPS zu installieren und den Dienst hinter dem VPN laufen zu lassen – sofern das überhaupt möglich ist, da es sich nur um eine Box und nicht um ein Netzwerk handelt?
Oder fällt Ihnen eine andere Lösung ein? Im Grunde wäre es ideal, wenn der Dienst nur für eine Handvoll Leute zugänglich wäre, dafür aber von überall (IP-basiert ist also keine Option). Jeder Vorschlag ist willkommen.
Antwort1
Ich persönlich hoste einen Vaultwarden-Server. Ich habe kürzlich erfahren, dass dieser Dienst Ende-zu-Ende-verschlüsselt ist. Das bedeutet, dass selbst im Falle einer Datenbankbeschädigung ein Hacker die gespeicherten Passwörter nicht entschlüsseln könnte. Das Problem liegt darin, dass die Benutzerverbindung kompromittiert werden kann (gefälschte DNS, Speicherung von Cookies usw.). Ich habe persönlich mit meiner Partnerin entschieden, den Zugriff auf unseren Vaultwarden-Server auf unser VPN zu beschränken. Dadurch wird sichergestellt, dass die DNS vom VPN und nicht von ihrem persönlichen Computer ausgewählt werden. Ich denke jedoch immer mehr darüber nach, die VPN-Einschränkung aufzuheben. Dies ist sehr benutzerintensiv. Ich bin permanent mit dem VPN verbunden und es betrifft mich nicht. Aber meine Freundin, die oft Streaming-Dienste nutzt, muss das VPN deaktivieren. Dadurch wird ihr der Zugriff auf Vaultwarden entzogen.