Introduction

Vaultwarden est un serveur de gestion de mots de passe compatible avec l’API des clients de Bitwarden .

Il est écrit en Rust et supporte de nombreuses fonctionnalités de son homologue (Bitwarden).

Pré-requis

un système de HTTPS (Let’s Encrypt par exemple) en place,
un reverse proxy qui fonctionne (Træfik, Nginx, HAProxy, etc.).

Des exemples de configurations de proxy pour Vaultwarden sont disponibles sur le wiki du projet .

Installation

Avec Docker Compose et Traefik

Les images Docker sont disponibles à plusieurs endroits, parmi Docker Hub : https://hub.docker.com/r/vaultwarden/server avec la version 1.31.1-alpine .

En utilisant Docker Compose, l’installation est relativement simple. On créé tout d’abord un fichier docker-compose.yaml avec le contenu suivant :

services:
  server:
    image: vaultwarden/server:1.33.1-alpine
    container_name: vaultwarden
    restart: always
    volumes:
      - ${DATA_DIR:-./vault_data}:/data/
    environment:
      DOMAIN: https://${DOMAIN_URL}
      ADMIN_TOKEN: ${ADMIN_TOKEN}
    ports:
      - 80
    labels:
      - "traefik.enable=true"
      - "traefik.http.routers.vaultwarden.rule=Host(`${DOMAIN_URL}`)"
      - "traefik.http.routers.vaultwarden.entrypoints=websecure"

Cela implique que votre serveur Traefik est configuré avec un entrypoint nommé websecure qui redirige le traffic HTTP en HTTPS et ajoute un certificat Let’s Encrypt (ou autre) par dessus.

Afin de remplir le fichier qui suit, vous devez générer un token :

openssl rand -base64 48

Ce qui génère, par exemple : D6rl/gRglvreKQWntX9/YfB8BDmmR3sBeLn8P9bM8F7AmTSDwUDds+a7dOkrAJQE que nous allons utiliser dans la variable ADMIN_TOKEN suivante.

On renseigne le fichier .env avec les informations pour le docker-compose.yml :

DOMAIN_URL=vault.domaine.tld
DATA_DIR=/srv/data/vault_data
ADMIN_TOKEN=D6rl/gRglvreKQWntX9/YfB8BDmmR3sBeLn8P9bM8F7AmTSDwUDds+a7dOkrAJQE

Attention : dans l’ADMIN_TOKEN s’il y a des signes dollars, il faut les “doubler” pour éviter qu’ils soient mal interprétés.

Ainsi il ne reste plus que l’usage habituel :

docker-compose pull
docker-compose up -d

Et le tour est joué !

Il est fortement conseillé de sécuriser le token admin. Je vous suggère la lecture de la page wiki concernant la sécurisation du token admin. Par exemple en utilisant la méthode argon2.

Accès à la page d’administration

La page d’admin est disponible sur /admin, par exemple si votre domaine est vault.domaine.tld, alors la page d’admin est disponible sur vault.domaine.tld/admin.

Le token vous est demandé, il suffit donc de le renseigner pour accéder à l’interface de configuration de Vaultwarden.

Il est important de configurer au moins l’envoi de mail disponible dans la section SMTP Email Settings.

Liens utiles

Vaultwarden (dépôt Github officiel)
Wiki du projet Vaultwarden sur Github