Me da un poco de vergüenza preguntar esto porque no soy capaz de resolverlo por mí mismo.
Ejecuto una instancia de Vaultwarden (bitwarden de código abierto) en un VPS público en Internet abierto. Está configurado correctamente con un proxy inverso nginx con terminación SSL adecuada y certificados LetsEncrypt. También tengo habilitado el acceso requerido yubikey.
Debería estar bien.
Sin embargo, me pregunto por qué debería tener un servicio accesible a todo Internet que sea solo para mí (y posiblemente para mi esposa).
Supongo que podría habilitar la autenticación de certificados del lado del cliente, pero no estoy seguro de qué tan fácil es configurarlo en los clientes.
Entonces me preguntaba: ¿tendría sentido tener algo como una VPN instalada en el VPS y que el servicio se ejecute detrás de la VPN, si es que eso es posible, ya que es solo una caja y no una red?
¿O se te ocurre alguna otra solución? Básicamente, lo ideal sería que el servicio fuera accesible sólo para un puñado de personas, pero desde cualquier lugar (por lo tanto, el servicio basado en IP no es una opción). Se agradece cualquier sugerencia.
Respuesta1
Personalmente alojo un servidor Vaultwarden. Recientemente me enteré de que este servicio está cifrado de extremo a extremo. Esto significa que incluso en caso de corrupción de la base de datos, un pirata informático no podría descifrar las contraseñas almacenadas. El problema radica en el hecho de que la conexión del usuario puede verse comprometida (DNS falso, guardar cookies, etc.). He elegido personalmente con mi socio restringir el acceso a nuestro servidor Vaultwarden a nuestra VPN. Esto garantiza que los DNS sean elegidos por la VPN y no por su computadora personal. Sin embargo, estoy pensando cada vez más en eliminar la restricción de VPN. Esto es muy pesado para el usuario. Estoy permanentemente conectado a la VPN y no me afecta. Pero mi novia, que utiliza a menudo servicios de streaming, tiene que desactivar la VPN. Esto le quita el acceso a la bóveda.