Sinto-me um pouco envergonhado de perguntar isso, porque não sou capaz de descobrir sozinho.
Eu executo uma instância vaultwarden (bitwarden de código aberto) em um VPS público na Internet aberta. Ele está configurado corretamente com um proxy reverso nginx com terminação SSL adequada e certificados LetsEncrypt. Eu também tenho o acesso necessário ao yubikey habilitado.
Eu deveria estar bem.
No entanto, pergunto-me por que razão deveria ter um serviço acessível a toda a Internet que é apenas para mim (e possivelmente para a minha mulher).
Acho que poderia ativar a autenticação de certificado do lado do cliente, mas não tenho certeza de como isso é fácil de configurar nos clientes.
Então, eu queria saber - faria sentido ter algo como uma VPN instalada no VPS e fazer com que o serviço fosse executado por trás da VPN - se isso for possível, já que é apenas uma caixa e não uma rede?
Ou você poderia pensar em alguma outra solução? Basicamente, o ideal seria que o serviço fosse acessível apenas a um punhado de pessoas, mas de qualquer lugar (portanto, baseado em IP não é uma opção). Qualquer sugestão é apreciada.
Responder1
Eu pessoalmente hospedo um servidor vaultwarden. Aprendi recentemente que este serviço é criptografado de ponta a ponta. Isso significa que mesmo em caso de corrupção do banco de dados, um hacker não conseguirá descriptografar as senhas armazenadas. O problema reside no fato de que a conexão do usuário pode ser comprometida (DNS falso, salvamento de cookies, etc.). Eu escolhi pessoalmente com meu parceiro restringir o acesso ao nosso servidor vaultwarden à nossa VPN. Isto garante que os DNS sejam escolhidos pela VPN e não pelo seu computador pessoal. No entanto, estou pensando cada vez mais em remover a restrição VPN. Isso é muito pesado para o usuário. Estou permanentemente conectado à VPN e isso não me afeta. Mas minha namorada, que costuma usar serviços de streaming, precisa desabilitar a VPN. Isso tira seu acesso ao vaultwarden.