Мне немного неловко спрашивать об этом, потому что я сам не могу в этом разобраться.
Я запускаю экземпляр vaultwarden (bitwarden с открытым исходным кодом) на публичном VPS в открытом Интернете. Он правильно настроен с обратным прокси-сервером nginx с соответствующим терминированием SSL и сертификатами LetsEncrypt. У меня также включен требуемый доступ yubikey.
Со мной все будет в порядке.
Тем не менее, мне интересно, почему у меня должен быть сервис, доступный всему Интернету, который предназначен только для меня (и, возможно, моей жены).
Думаю, я мог бы включить аутентификацию сертификата на стороне клиента, но не уверен, насколько легко это настроить на клиентах.
Поэтому мне стало интересно — имеет ли смысл устанавливать что-то вроде VPN на VPS и запускать службу через VPN — если это вообще возможно, ведь это всего лишь сервер, а не сеть?
Или вы могли бы придумать какое-то другое решение? В принципе, идеальным было бы, чтобы сервис был доступен только нескольким людям, но из любой точки мира (поэтому IP-адрес не является вариантом). Любые предложения приветствуются.
решение1
Я лично размещаю сервер vaultwarden. Недавно я узнал, что этот сервис имеет сквозное шифрование. Это означает, что даже в случае повреждения базы данных хакер не сможет расшифровать сохраненные пароли. Проблема заключается в том, что соединение пользователя может быть скомпрометировано (поддельный DNS, сохранение файлов cookie и т. д.) Я лично решил с моей партнершей ограничить доступ к нашему серверу vaultwarden нашим VPN. Это гарантирует, что DNS будут выбираться VPN, а не ее персональным компьютером. Однако я все больше и больше думаю об удалении ограничения VPN. Это очень нагружает пользователя. Я постоянно подключен к VPN, и это не влияет на меня. Но моя девушка, которая часто пользуется стриминговыми сервисами, вынуждена отключить VPN. Это лишает ее доступа к vaultwarden.