Geheimniskrämer
Der Raspberry Pi als Passwort-Server
Mit Bitwarden dient Ihnen der Raspberry Pi als Passwort-Tresor und -Server. Er synchronisiert Zugangsdaten zwischen mehreren Geräten, ohne Ihre Datenbank in fremde Hände zu geben.
Ein neues Kundenkonto hier, ein Social-Media-Login da. Bei vielen Internetnutzern türmen sich Zugangsdaten zu Portalen und Diensten zu einem bedrohlichen Haufen auf. Bei jeder Registrierung ein einzigartiges und sicheres Passwort zu überlegen und jedes einzelne zu merken, das ist eine schier unlösbare Aufgabe. Passwortmanager versprechen Abhilfe, aber sie hängen üblicherweise an der Cloud des Anbieters und synchronisieren die Passwortsammlung zwischen mehreren Geräten nur, wenn man einen monatlichen Obolus zahlt. Außerdem brauchen Nutzer ein hohes Maß an Vertrauen in den Betreiber: Der virtuelle Schlüsselbund liegt immerhin in einem fremden Schließfach.
Den Open-Source-Passwortmanager Bitwarden können Sie in Eigenregie hosten. Bitwarden besteht aus zwei Teilen: dem Server, der Passwörter verwaltet und bereitstellt, und den Clients, die sie abrufen. Das Community-Projekt Bitwarden_RS hat eine schlankere Variante des offiziellen Bitwarden-Servers geschaffen, die das Bitwarden-API implementiert. Damit kann ein Raspberry Pi die Rolle des Passwort-Servers übernehmen und bleibt zu den offiziellen Bitwarden-Anwendungen kompatibel. Nach der Installation können Sie mit mehreren Accounts über Bitwarden-Clients oder mittels Weboberfläche („Web-Vault“) auf den Server zugreifen. Die Lösung eignet sich damit auch für Familien, Freunde und kleine Teams.
Sie brauchen dazu mindestens einen Raspberry Pi 3. Ob Sie Raspberry Pi OS mit grafischer Oberfläche an einem Monitor mit Maus und Tastatur bedienen oder sich mittels SSH von einem anderen Gerät aufschalten, bleibt Ihnen überlassen. Für die Installation braucht es lediglich den Zugriff auf die Kommandozeile. Nach der Einrichtung können Sie Bitwarden mit einem Web-Browser von einem beliebigen Gerät aus konfigurieren. Die Weboberfläche enthält eine Web-App („Vault“), in der Nutzer ihren Account verwalten, und stellt Werkzeuge zur Administration über ein Admin-Panel bereit. Die Entwickler von Bitwarden_RS empfehlen, den Server als Docker-Container aufzusetzen. Diese Lösung hat den Vorteil, dass der Passwortmanager anderen Diensten auf dem Raspi nicht in die Quere kommt.
Als Zutaten für eine solche Installation haben sich die folgenden Komponenten bewährt: Ein Reverse-Proxy ist der bequemste Weg, die Weboberfläche und das API verschlüsselt ins Web zu bekommen. Der Proxy nimmt Anfragen entgegen und liefert die Daten über eine HTTPS-Seite aus. In den nachfolgenden Beispielen wird angenommen, dass die TCP-Ports 80 und 443 des Raspi nicht bereits belegt sind. Für diesen Zweck eignet sich der containerisierte Edge-Router Traefik, der sich die nötigen TLS-Zertifikate selbst besorgt und automatisch erneuert.
Docker-Compose erspart lange docker run-Befehle. Die Konfigurationen der Container sind dabei in einer Compose-Datei zusammengefasst, die durch eine .env-Datei mit Umgebungsvariablen ergänzt wird. Beispieldateien stellen wir in einem GitHub-Repository zur Verfügung, das Sie über ct.de/y243 einsehen können.
Damit Browser und Clients den Raspi ansteuern können, benötigen Sie einen festen Hostnamen, der auf die WAN-IPv4-Adresse des Routers verweist. Hier hilft ein DynDNS-Dienst. Dieser leitet Anfragen, die beim konfigurierten DynDNS-Hostnamen eingehen, an die jeweils aktuelle WAN-IPv4-Adresse des Routers weiter. Eine Anleitung für den kostenlosen DynDNS-Anbieter FreeDNS finden Sie online im Artikel „Mit DDNS auf’s Heimnetzwerk zugreifen“ (ct.de/y243). Sie haben die Wahl, welchen DynDNS-Dienst Sie verwenden. In dieser Anleitung dient die Adresse bitwarden.example.com als Beispiel.
Raspberry Pi OS vorbereiten
Im ersten Schritt bringen Sie das System auf den neuesten Stand und installieren mit einem Skript die Docker-Engine für die Container-Laufzeitumgebung. Wenn es sich um ein frisches System handelt, dann starten Sie den Raspi nach dem Einspielen der Updates neu, bevor Sie Docker installieren.
sudo apt update sudo apt upgrade sudo reboot curl -fsSL https://get.docker.com \ -o get-docker.sh sudo sh get-docker.sh
Falls auf Ihrem System die Apache2-Utilities und das Versionsverwaltungswerkzeug Git nicht vorhanden sind, dann installieren Sie die Pakete ebenfalls.
sudo apt install apache2-utils sudo apt install git
Docker-Compose beziehen Sie am besten aus dem Python-Paketmanager „pip“.
sudo apt install python3-pip sudo pip3 install docker-compose
Eine Einführung in die Funktionsweise von Docker-Compose finden Sie im Artikel „Container-Komponist“ [1]. Um mit dem Docker-Daemon zu interagieren, brauchen Sie Systemverwalterrechte. Wenn Sie Docker-Befehle ohne vorangestelltes sudo verwenden möchten, müssen Sie den Benutzer „pi“ zur Gruppe „docker“ hinzufügen und sich erneut einloggen. Falls nicht bereits geschehen, sollten Sie spätestens jetzt das Standardpasswort des Benutzers „pi“ ändern.
sudo usermod -aG docker pi passwd
Die nötige Software ist jetzt installiert und Docker einsatzbereit. Bevor es jedoch an das Einrichten der Container geht, muss sichergestellt werden, dass der Raspi – und damit Weboberfläche sowie API – auch aus dem Internet erreichbar ist.
Netzwerkverkehr dirigieren
Damit Anfragen zuverlässig beim Raspi und nicht bei einem anderen Netzwerkgerät landen, sollte eine feste IP-Adresse vergeben werden. Diese tragen Sie für das aktive Netzwerk-Interface mit einem Texteditor in der Datei /etc/dhcpcd.conf ein. Wenn der Raspi via Ethernet mit dem Netzwerk verbunden ist, dann wählen Sie das Interface eth0 (bei WLAN entsprechend wlan0). Passen Sie in der Datei die folgenden vier Zeilen an Ihr lokales Netzwerk an, etwa so:
interface eth0 static ip_address=192.168.0.184/24 static routers=192.168.0.1 static domain_name_servers=192.168.0.1
Starten Sie das Systen mit sudo reboot im Anschluss neu, damit die Änderungen wirksam werden. Richten Sie nun im Web-Interface Ihres Routers eine Portfreigabe (Port-Forwarding) ein. Anfragen von außen, die an TCP-Port 80 oder 443 eingehen, sollen an den Raspi durchgereicht werden und beim Reverse-Proxy Traefik landen. Als Protokoll wählen Sie TCP und tragen Port 80 ein. Der Name, der für den Dienst vergeben wird, ist beliebig. Den gleichen Vorgang wiederholen Sie für den Port 443.
Damit der DynDNS-Dienst Ihrer Wahl in der Lage ist, auf die aktuelle WAN-IPv4-Adresse des Routers zu verweisen, benötigt er einen Gegenpart, der ihn mit dieser Information versorgt. Diese Aufgabe können die meisten modernen Router übernehmen. Die Konfiguration erledigen Sie ebenfalls im Webinterface des Routers. Wählen Sie im entsprechenden Menü den Anbieter aus und tragen Sie die abgefragten Daten, meist Login-Informationen und eine Update-URL, in die Maske ein. Wird Ihr DynDNS-Anbieter nicht gelistet, dann setzen Sie einen benutzerdefinierten Eintrag.
Transportverschlüsselung dank Traefik
Nach diesen Vorbereitungen geht es nun an die Container-Architektur. Als Speicherort für Container-Konfigurationen und Compose-Files auf dem Linux-Dateisystem hat sich das Verzeichnis /srv bewährt. Wenn Sie dort Dateien (be)schreiben wollen, müssen Sie mit sudo arbeiten oder sich Systemverwalterrechte einräumen. Klonen Sie das GitHub-Repository nach /srv und wechseln Sie danach in den Ordner.
sudo git clone \ https://github.com/ndi-ct/raspi-pwm \ /srv/raspi-pwm cd /srv/raspi-pwm
Als Container-Blaupause steht im heruntergeladenen Repository eine YAML-Datei bereit. Die schreibt fest, welche Container-Images aus dem Docker Hub geladen werden und wie diese konfiguriert sind. Umgebungsvariablen sind in die zugehörige .env-Datei ausgelagert. Diese wird standardmäßig nicht angezeigt. Bei Bedarf verschaffen Sie sich mit ls -a einen Überblick. Der Reverse-Proxy benötigt darüber hinaus noch die Dateien traefik.toml und dynamic.yml, die Anweisungen zur Beschaffung von Zertifikaten und zur Regelung des Netzwerkverkehrs geben. Diese finden Sie im Ordner config-files.
Öffnen Sie traefik.toml mit dem Texteditor Ihrer Wahl und tragen Sie in der Zeile email = "mail@example.com" eine gültige Mail-Adresse ein (die Anführungszeichen bleiben bestehen). An diese Adresse sendet Let‘s Encrypt Warnungen, falls es Probleme mit dem erteilten Zertifikat gibt. Traefik legt die Zertifikate, die es automatisiert mittels ACME-Protokoll besorgt, in der Datei acme.json ab. Diese darf nur für Root lesbar sein. Erstellen Sie im Ordner config-files eine leere Datei mit dem Namen acme.json und passen Sie die Rechte an.
sudo touch acme.json sudo chmod 600 acme.json
Danach legen Sie ein virtuelles Netzwerk für den Reverse-Proxy an.
sudo docker network create \ traefik_reverse_proxy
Tresor aufstellen
Wechseln Sie jetzt in das Verzeichnis /srv/raspi-pwm. Um sich einen Überblick über den Container-Aufbau zu verschaffen, können Sie sich den Inhalt des Compose-File ausgeben lassen:
cat docker-compose.yaml
Die Images „bitwarden_rs/server“ und „traefik“ sind mit Versionsnummern versehen, um Ihnen unschöne Überraschungen zu ersparen. Ohne dieses Tag lädt Docker stets das neueste Image vom Docker Hub herunter. Das kann dazu führen, dass der Container plötzlich nicht mehr startet, weil die neue Version Änderungen an den Konfigurationsdateien erfordert. Prüfen Sie regelmäßig, ob für Ihre Images (Sicherheits-)Updates vorliegen. Wenn das der Fall ist, dann ersetzen Sie das ausgediente Image durch ein neueres. Die verwendeten Images haben wir unter ct.de/y243 verlinkt.
Der Parameter restart: unless-stopped sorgt dafür, dass die Container auch nach einem Neustart des Raspi wieder anlaufen, es sei denn, Sie haben zuvor einen Container manuell gestoppt. Der volumes-Abschnitt legt fest, wo der Bitwarden-Container persistente Daten speichert:
volumes: - /var/docker/bitwarden:/data
Das Verzeichnis /data im Container-Dateisystem entspricht /var/docker/bitwarden im Host-Dateisystem. Hier liegt auch die SQLite-Datenbankdatei db.sqlite3. Sie sollten das Verzeichnis /var/docker/bitwarden regelmäßig sichern.
Im Compose-File finden Sie die Variablen ${BITWARDEN_URL}, ${WEBSOCKET_ENABLED} und ${ADMIN_TOKEN}. Die Werte holt Docker-Compose sich aus der .env-Datei. Öffnen Sie die Datei mit einem Texteditor.
BITWARDEN_URL=bitwarden.example.com WEBSOCKET_ENABLED=true ADMIN_TOKEN=
Tragen Sie hinter BITWARDEN_URL= Ihre DynDNS-Adresse ein. Die Adresse wird als Host an Traefik übergeben. Der Eintrag WEBSOCKET_ENABLED=true sorgt dafür, dass Passwörter und andere Einträge im Vault bei jeder Änderung synchronisiert werden, sofern der entsprechende Client dies unterstützt („Live-Sync“). Wir empfehlen, Bitwarden_RS über den Admin-Bereich der Weboberfläche zu konfigurieren. Zum Aktivieren des Admin-Panel setzen Sie hinter ADMIN_TOKEN= ein Token ein. Erzeugen Sie dazu auf der Kommandozeile einen langen String mit folgendem Befehl.
openssl rand -base64 48 | tr -d /=
Mit dem eingetragenen Token können Sie sich später im Admin-Panel der Weboberfläche authentifizieren. Es steht Ihnen frei, die Einstellungen, die das Admin-Panel bietet, manuell vorzunehmen, indem Sie in der .env-Datei weitere Umgebungsvariablen setzen und diese in der Datei docker-compose.yaml referenzieren. Die Entwickler von Bitwarden_RS stellen im GitHub-Wiki des Projektes eine umfangreiche Beispieldatei zur Verfügung, die Sie über ct.de/y243 finden. Löschen Sie in diesem Fall die Zeile ADMIN_TOKEN= in der .env-Datei und die zugehörige Referenz aus dem Compose-File.
In unserem Beispiel haben wir das Admin-Panel zusätzlich mit einer Basisauthentifizierung, bestehend aus Username und Passwort, abgesichert. Dazu dient eine Middleware des Reverse-Proxy Traefik, die bereits in der Compose-Datei angelegt ist. Wer im Browser bitwarden.example.com/admin ansteuert, muss zunächst die Login-Daten eingeben, um die Seite zu sehen und kann sich erst im zweiten Schritt mit dem Token als Admin authentifizieren. Die nötigen Zugangsdaten erzeugen Sie mit folgendem Befehl:
htpasswd -nb user password\ | sed -e s/\\$/\\$\\$/g
Dieser Befehl erzeugt das Zugangsdaten-Paar „user:password“, wobei „password“ als Hash ausgegeben wird. Ersetzen Sie „user“ und „password“ durch sichere Zugangsdaten. Öffnen Sie dann die Datei docker-compose.yaml mit einem Texteditor und ersetzen Sie in der folgenden Zeile „user:password“ durch die Ausgabe des Befehls.
- "traefik.http.middlewares.admin-auth.basicauth.users=user:password"
Speichern Sie im Anschluss die Datei docker-compose.yaml und starten Sie die beiden Container:
sudo docker-compose up -d
Docker lädt nun zunächst die Images aus der Container-Registry. Der Reverse-Proxy kümmert sich um das Zertifikat von Let‘s Encrypt und liefert Web-Vault und Admin-Panel von Bitwarden über die konfigurierte DynDNS-Adresse aus. Geben Sie den Containern dabei etwas Zeit zum Starten. Auf einem Raspberry Pi 4 mit 4 GByte Arbeitsspeicher nimmt der erste Startvorgang einige Minuten in Anspruch. Den Status der Container können Sie mit dem Befehl docker ps einsehen. Sobald der Bitwarden-Container den Status „up x minutes (healthy)“ ausgibt, können Sie das Web-Vault in einem Browser unter der Adresse bitwarden.example.com aufrufen. Für das Admin-Panel hängen Sie /admin an die URL an. Sollte Ihnen irgendwo ein Fehler unterlaufen sein, dann hilft der Befehl docker logs gefolgt vom Namen des Containers bei der Diagnose.
Tresortür abschließen
Registrieren Sie einen neuen Nutzer und vergeben Sie dabei ein sicheres Master-Passwort. Jetzt können Sie sich in das Web-Vault einloggen und Ihr Nutzerkonto einrichten. Wer zuvor einen anderen Passwortmanager genutzt hat, findet sich hier schnell zurecht. Die Kategorie „Mein Tresor“ listet Einträge wie gespeicherte Anmeldedaten und sichere Notizen auf. Diese können Sie als Favoriten markieren oder in Ordner sortieren. In „Werkzeuge“ finden Sie einen Passwortgenerator, Berichte über schwache oder kompromittierte Passwörter und die Funktionen zum Importieren und Exportieren von Passwort-Sammlungen. Bitwarden beherrscht die meisten geläufigen Formate (.csv, .json, .xml, .txt). Hier können Sie auch die eigene Passwortdatenbank exportieren. Wählen Sie dabei vorzugsweise das Format „.json (encrypted)“, sonst exportiert Bitwarden die Zugangsdaten im Klartext.
Sie sollten für den Login unbedingt einen zweiten Faktor verlangen. Andernfalls könnte es Angreifern potenziell gelingen, sich mit Brute-Force-Angriffen Zugriff auf Ihre Passwortdatenbank zu verschaffen. Die nötigen Handgriffe nehmen Sie in den Einstellungen im Untermenü „Zwei-Faktor-Authentifizierung“ vor. Bitwarden_RS bietet Zwei-Faktor-Authentifizierung mittels 2FA-Apps wie Authy, Duo oder Microsoft Authenticator, via E-Mail und mit FIDO-kompatiblen Hardware-Sicherheitsschlüsseln an.
Sobald ein zweiter Faktor eingerichtet ist, können Sie im Menü „Zwei-Faktor-Authentifizierung“ einen Wiederherstellungsschlüssel anzeigen lassen. Falls Sie beispielsweise Ihr Mobiltelefon und damit Zugriff auf den zweiten Faktor verlieren, ist der Wiederherstellungsschlüssel die letzte Möglichkeit, erneut Zugang zum Vault zu bekommen. Notieren Sie den Schlüssel und verwahren Sie ihn an einem sicheren Ort. Tritt das Szenario ein, dann rufen Sie im Browser die Adresse bitwarden.example.com/#/recover-2fa/ auf und folgen Sie den Anweisungen. Wenn Sie direkt mehrere Methoden zur Zwei-Faktor-Authentifizierung einrichten, dann kommen Sie erst gar nicht in diese Situation.
Aktuell kann noch jede Person, die die URL Ihrer Bitwarden-Instanz kennt, ein Konto anlegen. Wer also keinen Gratis-Passwortmanager ins Internet hängen möchte, tut gut daran, neue Registrierungen zu deaktivieren. Rufen Sie das Admin-Panel im Browser unter der Adresse bitwarden.example.com/admin auf. Wir empfehlen, im Admin-Panel einige Einstellungen vorzunehmen, um die Angriffsfläche Ihres Passwort-Servers zu verringern.
Im Bereich „General“ müssen Sie den korrekten Wert im Feld „Domain URL“ eintragen, damit automatisch versandte Mails die richtigen Links enthalten. Verbieten Sie Registrierungen auf der Hauptseite, indem Sie den Haken beim Eintrag „Allow new signups“ entfernen. Die Schaltfläche und das Eingabeformular zum Registrieren bleiben zwar weiterhin sichtbar, Registrierungen sind aber nicht mehr möglich. Im Bereich „SMTP Email Settings“ sollten Sie einen SMTP-Postausgangsserver konfigurieren, damit Bitwarden Mails verschicken kann, etwa, um Accounts zu verifizieren oder zu informieren, falls eine Anmeldung in Ihrem Account von einem zuvor unbekannten Gerät erfolgt ist. Im Admin-Panel können Sie auch dann weitere Nutzer via Mail einladen, wenn die Registrierung auf der Hauptseite deaktiviert ist. Teilen Sie den Passwort-Server beispielsweise mit Freunden, sollten Sie darüber nachdenken, ihnen zu verbieten, weitere Nutzer einzuladen. Dazu entfernen Sie den Haken bei „Allow Invitations“ im Bereich „General“.
Wem das nicht genügt, der deaktiviert das Web-Vault mit der Umgebungsvariable WEB_VAULT_ENABLED=false oder betreibt Bitwarden_RS ausschließlich im Heimnetz mit selbsterzeugten Zertifikaten. Um dann trotzdem von unterwegs auf den Passwort-Server zuzugreifen, müssten Sie sich mit einer VPN-Lösung behelfen. Die Entwickler raten davon ab, die integrierte Methode ROCKET_TLS für HTTPS zu nutzen. Stattdessen empfehlen sie, private Instanzen mit dem Reverse-Proxy Caddy und Let’s-Encrypt-Zertifikaten abzusichern. Eine Anleitung für das nicht ganz triviale Verfahren steht auf GitHub im Wiki des Projekts zur Verfügung, das wir unter ct.de/y243 verlinkt haben.
Die Tresorhimbeere nutzen
Der Raspi-Passwort-Server ist jetzt einsatzbereit. Bitwarden_RS bietet viele Features, die für gewöhnlich einen Bitwarden-Premium-Account voraussetzen. Einige Funktionen fehlen jedoch, etwa Live-Sync und Push-Benachrichtigungen in iOS und Android, Single-Sign-On oder Notfall-Vollmachten (Emergency Access). Welche Unterschiede zum offiziellen Bitwarden-Server bestehen, haben die Entwickler im Wiki des Projekts in einer Liste festgehalten, die Sie in der Linksammlung unter ct.de/y243 abrufen können.
Sie können zum Speichern, Verwalten und Synchronisieren von Passwörten neben dem Web-Vault auch die Bitwarden-Browser-Erweiterungen sowie die Apps für Android und iOS nutzen. Auch Desktop-Clients für Windows, Linux, macOS und sogar Tools für die Kommandozeile sind verfügbar. Eine vollständige Liste aller Clients finden Sie auf der offiziellen Bitwarden-Website, die wir unter ct.de/y243 verlinkt haben. Damit die Anwendungen mit der Server-API auf dem Raspi kommunizieren können, müssen Sie die URL Ihrer Bitwarden-Instanz eintragen. Das zuständige Menü verbirgt sich hinter dem Zahnrad in der linken oberen Ecke des Anmeldefensters.
Doch Vorsicht: Die Schaltfläche „abmelden“ in den Clients ist irreführend und bedeutet „vom Server abmelden“. Wenn Sie sich vollständig abmelden und die Server-API nicht erreichbar ist, dann verweigert Bitwarden einen neuen Login. Um sich dann erneut anzumelden, muss eine Verbindung zum Server bestehen. Wählen Sie darum stets die Option „Jetzt sperren“, um Ihr Nutzerkonto zu sperren, es sei denn, Sie beabsichtigen, das Nutzerkonto zu wechseln oder den Client an einem anderen Server anzumelden.
Sie können jetzt mit Bitwarden loslegen und den Passwort-Tresor befüllen. Wenn Sie zukünftig im Web eine Login-Seite ansteuern und Anmeldedaten eingeben, bietet beispielsweise die Bitwarden-Browsererweiterung an, die Login-Daten im Vault zu speichern. Für neue Logins kann der integrierte Passwortgenerator zufällige, sichere Passwörter erzeugen. Falls bereits Anmeldedaten im Vault gespeichert sind, kann Bitwarden Login-Formulare automatisch ausfüllen. Das Auto-Fill-Verhalten können Sie für einzelne Seiten an ihre Vorstellungen anpassen. Gespeicherte Passwörter werden von nun an automatisch synchronisiert.
Fazit
Mit Bitwarden_RS verwandeln Sie den Raspberry Pi im Handumdrehen in einen Passwortspeicher mit Cloud-Funktionalität, müssen dafür jedoch Ihre Passwortsammlung nicht aus der Hand geben. Mit dem Zugewinn an Freiheit kommt allerdings auch Verantwortung: Nehmen Sie regelmäßig Backups vor und prüfen Sie die Container-Images auf Sicherheitsupdates. Richtig angewendet ersetzt Bitwarden_RS einen kostenpflichtigen Passwortmanager und eignet sich optimal für die Nutzung in kleinen Teams oder gemeinsam mit Freunden oder der Familie. (ndi@ct.de)
Linksammlung zum Projekt: ct.de/y243