玩机攻略:一个开源的密码管理器vaultwarden

# 介绍 **vaultwarden** 是一款开源的密码管理器，旨在为个人用户和组织提供安全、方便的方式来管理其密码和其他敏感信息。用户可以使用 vaultwarden 来存储、生成和自动填充他们的密码、信用卡信息、笔记以及其他重要数据。 # 安装 在商店中查找 **vaultwarden** 并安装。 https://appstore.lazycat.cloud/#/shop/detail/cloud.lazycat.app.vaultwarden 打开软件后，首先界面会显示需要电子邮件地址进行登录，这里我们没有账户是进行不了登录的，点击底部“创建账户”进行创建。  根据“创建账户”提示，填完必填项即可，创建成功后可点击底部“登录”（记住自己的用户名和密码以便下次登陆！！！）  登录成功之后界面就是这个样子了  # 使用 ## 密码库 可以点击左上角的“新增”，新增一个文件夹  点击“新增项目”，项目类型这里会有很多选项：登录、支付卡、身份、安全笔记  接下来会接下这四种项目类型是干嘛的？需要怎填写？  ### 登录 登录通常用于存储用户名和密码组合、密钥和为高级用户提供 TOTP 种子。无论您选择哪种计划，我们建议为每个登录项提供一个 URI 以方便自动填充 项目类型选择“登录”，填写这个项目名称比如：懒猫微服官网登录，填写登陆时候需要用的的用户名、密码、网站url等相关信息后点击保存  保存之后在文件夹列表就会出现了，如果需要访问登录的url，点击相对于的项目的右边三个点点，点击前往，前往后会出现一个登录页面的web窗口  回到**vaultwarden**点击相对于的项目的右边三个点点，点击“复制用户名”和“复制密码”，然后到登录页面的web窗口，用键盘的win+V调出剪贴板，进行粘贴用户名和密码，然后点登录即可完成登录  登录成功  ### 支付卡 支付卡可以用来安全地存储信用卡或借记卡信息 项目类型选择“支付卡”，填写这个支付卡名称比如：某某银行储蓄卡；继续填写持卡人名、卡号、安全码等等，填写完成后保存，支付卡这个项目类型仅用于存储卡片相关信息  ### 身份 身份可以用来存储姓名、地址、身份证号、邮寄以及其他在填写在线表格时可能需要的几乎所有类型的信息 项目类型选择“身份”，填写这个身份名称比如：王富贵；继续填写称呼、姓名、邮箱、电话等等，填写完成后保存，身份这个项目类型仅用于存储个人身份相关信息  ### 安全笔记 安全笔记可以用来存储加密的自由格式文本，用于您想要保护的一切内容 项目类型选择“安全笔记”，填写这个笔记名称比如：王富贵的秘密；继续备注完成后保存，安全笔记这个项目类型，仅用于存储自由格式文本用于您想要保护的一切内容  ## Send Send 是一种安全且短暂的文本传输方式，最多可传输 1000 个加密字符或最多 500 MB（或移动端 100 MB）的文件。每个 Send 都会分配一个随机生成且安全的链接，可以通过文本、电子邮件或您偏好的任何通信渠道与任何人（包括没有 vaultwarden 账户的人）分享 每次发送都是： 端到端加密：数据在创建时加密，只有在接收者打开链接时才会解密。Send 的内容以加密形式存储在 **vaultwarden** 系统中，就像传统的保险库项目一样。为每个 Send 生成的链接不包含任何与其内容相关的数据，因此可以在中间通信服务中安全分享，而不会泄露信息。 动态短暂：Send 设计用于短暂共享，因此您创建的每个 Send 都有一个指定的生命周期（最长 31 天），您可以从几个选项中选择或自定义时间戳。当达到删除日期时，Send 及其内容将被完全清除。使用其他选项，如过期日期和最大访问次数，您可以确保根据您的需求终止收件人的访问。 灵活私密：您可以通过设置访问密码或隐藏您的电子邮件地址来保护 Send 的内容。对于文本发送，您还可以选择性地要求用户切换可见性，以防止无意中暴露给旁观者。 ### Send 使用 创建您的 Send，设置所需的生命周期选项和隐私选项，以满足您的分享需求。 创建Send  给Send取个名字，分享内容可以是文件或者文本，继续添加文本描述，所需的生命周期选项和隐私选项等个人需求的选项  分享 Send 链接给目标收件人，使用您偏好的任何通信渠道。（这个链接不被允许在公网访问，只能有微服的用户在浏览器访问才可以）  ## 工具 ### 生成器 - **选择生成内容** ：用户可以根据需求选择生成 “密码” 或 “用户名”。 - **密码类型选择** ：提供 “密码” 和 “密码短语” 两种类型供用户选择。密码通常是由各种字符组合而成的字符串，而密码短语则可能是一个较短的、易于记忆的单词或词组。 - **长度设置** ：用户可以自行设定密码的长度，同时界面也会显示最小密码长度和数字最少个数，以确保密码符合一定的复杂度要求。 - **符号最少个数设置** ：用户可指定密码中必须包含的符号的最少数量，进一步增加密码的复杂度和安全性。 - **字符范围选项** ：用户可以选择密码中包含的字符范围，包括大写字母（A-Z）、小写字母（a-z）、数字（0-9）以及特殊符号（!@#$%`^&*）等，还可以选择是否避免易混淆的字符，如 “O” 和 “0” 等。 - **重新生成密码** ：点击 “重新生成密码” 按钮，系统会根据当前设置重新生成一个新的密码，用户可以多次点击以获得符合自己要求的密码。 - **复制密码** ：当用户对生成的密码满意后，点击 “复制密码” 按钮，可将密码复制到剪贴板，方便用户粘贴到需要使用密码的地方  ### 导入数据 可以将其他位置存储的密码导出为json、csv、xml、1pif、1pux格式的文件，再导入到**vaultwarden**  比如：导入Microsoft Edge存储的密码 首先打开Microsoft Edge浏览器，点击右上角三个点——>设置——>个人资料——>密码——>右上角三个点——>导出密码——>选择文件存储位置 导入  导入成功  ### 导出密码库 将**vaultwarden** 存储的密码导出分享 选择导出格式——>登录账户输入密码——>选择本地密码库存放位置——>点击保存  ## 报告 报告是密码库的，旨在帮助用户识别和消除在线账户中的安全漏洞。以下是报告中各个部分的分析： ### 暴露的密码 - **问题描述** ：在数据泄露事件中暴露的密码很容易成为攻击者的目标。 - **解决方案** ：用户需要更改这些密码，以防止潜在的入侵。 ### 重复使用的密码 - **问题描述** ：重复使用的密码使攻击者更容易入侵多个账户。 - **解决方案** ：用户应更改这些密码，使每个密码都是唯一的。 ### 弱密码 - **问题描述** ：弱密码很容易被攻击者猜到。 - **解决方案** ：使用密码生成器将这些密码更改为强密码。 ### 不安全的网站 - **问题描述** ：以 http:// 开头的 URL 没有使用最佳的加密方式。 - **解决方案** ：用户应将这些账户的登录 URI 更改为 https://，以便更安全地浏览。 ### 未激活两步登录 - **问题描述** ：两步登录为账户增加了一层保护，未激活的账户更容易受到攻击。 - **解决方案** ：用户应使用 Bitwarden 验证器或其他方式为这些账户开启两步登录。 ### 数据泄露 - **问题描述** ：泄露的账户可能会暴露用户的个人信息。 - **解决方案** ：用户应通过启用 2FA 或创建更强大的密码来保护被泄露的账户。  ## 设置 一些常规的隐私安全设置  # 更多 更多请参考Vaultwarden Wiki 中文版https://rs.ppgg.in

如何使用 RcloneNg 备份 vaultwarden 数据目录到其他网盘

# 背景 目前懒猫微服的备份是不支持选择特定的应用备份，而我当前只需要备份的应用数据只有 `vaultwarden` 的数据，这怎么搞呢？ https://appstore.lazycat.cloud/#/shop/detail/cloud.lazycat.app.vaultwarden # 思路 由于安全原因，懒猫的应用容器是无法访问其他应用的数据的，即 `/lzcsys/run/data/appvar/` 目录没有挂载到每个应用容器下的。那么我们如果需要在懒猫微服上用应用备份，比如这篇文章提到的 `RcloneNg` 应用，容器内是无法直接通过本地路径访问到 `vaultwarden` 的数据目录。 **那么我们换一个思路来考虑，懒猫微服支持开通 `ssh`，我们可以通过 `rclone` 的 `sftp`，就能访问到其他应用的数据目录了！** https://appstore.lazycat.cloud/#/shop/detail/ink.akawa.ety001.rcloneng # 实施 ## 开通 SSH 在懒猫客户端中，找到下面截图中的位置，开启 SSHD。  安装“懒猫开发者工具”。 https://appstore.lazycat.cloud/#/shop/detail/cloud.lazycat.developer.tools 打开“懒猫开发者工具”，确保下图的样子（我忘记这里的 `public key` 是如何增加的了）。  ## 配置 RcloneNg ### 创建读取懒猫应用数据的配置 创建一个新的配置，在第一步的 “Select” 中选择 “SSH/SFTP”，  第二步中，“SSH Host” 中输入你的懒猫地址，`[你的懒猫名].heiyu.space`; “SSH Username” 中输入 `root`; “Raw PEM-encoded private key” 输入与你刚才添加的 `Public Key` 对应私钥，这里可以使用 `awk '{printf "%s\\n", $0}' < ~/.ssh/id_rsa` 命令来转换一下格式。  保存后，这样 `vaultwarden` 的数据就可以通过这个来读取了。 > 如果你的懒猫微服磁盘IO高，那么这里保存配置的时候会等的久一些。 ### 创建备份目的地的配置 根据你的情况，配置即可。我这里配置的是局域网下群晖，使用 SMB。  ## 测试 RcloneNg 首先登陆懒猫的终端： ``` ssh root@[你的懒猫名].heiyu.space ``` 进入终端后，再进入 `RcloneNg` 容器： ``` lzc-docker exec -it inkakawaety001rcloneng-rcloneng-1 /bin/ash ``` 测试 `vaultwarden` 数据是否可读: ``` rclone ls appdata:/lzcsys/run/data/appvar/cloud.lazycat.app.vaultwarden ``` 测试你的目的地是否可读: ``` rclone ls synology:NetBackup/LazyCat/AppDataBackup/cloud.lazycat.app.vaultwarden ``` ## 编写备份脚本 根据你的需求编写备份脚本，下面是我写的，仅作参考。 ``` #!/bin/ash # 配置参数 SRC="appdata:/lzcsys/run/data/appvar/cloud.lazycat.app.vaultwarden" DST_BASE="synology:NetBackup/LazyCat/AppDataBackup/cloud.lazycat.app.vaultwarden" TIMESTAMP=$(date +%Y%m%d_%H%M%S) BACKUP_DIR="${DST_BASE}/backups" # 创建备份目录（若不存在） rclone mkdir "${BACKUP_DIR}" # 执行备份 echo "[$(date)] 开始备份到 ${BACKUP_DIR}/${TIMESTAMP}..." rclone sync -P "${SRC}" "${BACKUP_DIR}/${TIMESTAMP}" # -------------- 移除错误的软链接操作 -------------- # （因 SMB 不支持 rclone link 创建软链接，故删除以下两行） # rclone rmdirs --ignore-errors "${CURRENT_LINK}" # rclone link "${BACKUP_DIR}/${TIMESTAMP}" "${CURRENT_LINK}" # -------------- 版本清理逻辑（保持不变）-------------- BACKUP_VERSIONS=$(rclone lsf "${BACKUP_DIR}" --dirs-only | sort) # 保留每天3个最新版本 for day in $(echo "${BACKUP_VERSIONS}" | cut -c1-8 | sort -u); do daily_versions=$(echo "${BACKUP_VERSIONS}" | grep "^${day}" | sort -r) echo "${daily_versions}" | tail -n +4 | while read -r old_version; do echo "[$(date)] 删除当天多余版本：${BACKUP_DIR}/${old_version}" rclone purge "${BACKUP_DIR}/${old_version}" done done # 保留每周除当天外，其余6天各1个最新版本 today=$(date +%Y%m%d) for day in $(echo "${BACKUP_VERSIONS}" | cut -c1-8 | sort -u | grep -v "^${today}"); do daily_versions=$(echo "${BACKUP_VERSIONS}" | grep "^${day}" | sort -r) echo "${daily_versions}" | tail -n +2 | while read -r old_version; do echo "[$(date)] 删除非当天多余版本：${BACKUP_DIR}/${old_version}" rclone purge "${BACKUP_DIR}/${old_version}" done done echo "[$(date)] 备份及清理完成" # 发送邮件通知 wget -qO- https://message-pusher.xxx.heiyu.space/push/ety001?title=vaultwarden已备份及清理完成&channel=email&token=xxxxxx ``` 这个备份脚本 `backup_vaultwarden.sh`，用来保证每天有3个最新版本的备份，每周除当天外，每天保留一份备份，最后结束的时候，还会发一封备份成功的邮件，使用的是应用商店安装的 `MessagePusher`。 https://appstore.lazycat.cloud/#/shop/detail/dev.beiyu.message-pusher 把 `backup_vaultwarden.sh` 脚本增加执行权限后，通过懒猫网盘上传到 `RcloneNg` 的 `应用目录/crontabs/perioidc/hourly` 目录下面，这样每小时会执行一次这个备份脚本。  如果你想要自定义计划任务，也可以把脚本放到 `应用目录/scripts` 目录下，然后修改 `应用目录/crontabs/config/root` 文件，在里面增加自己的计划任务，如下图：  # 总结 至此，我们实现了指定应用的应用数据目录的备份操作。

如何用BackVault备份VaultWarden数据

# 准备工作 ## 获取VaultWarden的API Key 首先打开应用 https://appstore.lazycat.cloud/#/shop/detail/cloud.lazycat.app.vaultwarden 登录账号，进入主界面  点击左侧**Settings**，点击**Security**，点击右侧**Keys**，再点击下方的**View API Key**。  输入你的账号密码后， 就会出现下方的API Key。我们需要用到**Client ID**和**Client Secret**这两个值，复制保留。  ## 端口转发配置 https://appstore.lazycat.cloud/#/shop/detail/cloud.lazycat.app.forward 打开端口转发工具，配置VaultWarden端口，可参考下图  # 备份操作 https://appstore.lazycat.cloud/#/shop/detail/cloud.lazycat.app.backvault 打开应用，需要进行配置向导设置。 服务地址填入刚才配置的端口转发地址，其余配置按需修改，也可按照默认进行。  进入应用后，需要按照下图进行以下配置： > **Bitwarden Client ID**：上面获取Client ID > **Bitwarden Client Secret**：上面获取的Client Secret > **Bitwarden Master Password**: ValutWarden的登录密码 > **Backup File Password**：备份文件加密密码（可选）  配置完之后，点击**Initialize**，如果无误，就会显示下图，就表示配置成功了，可以关闭页面了。  # 备份文件路径 打开懒猫网盘，左侧点击应用数据，找到**BackVault**,点击进入  然后选择**backup**文件，就可以看到刚才备份的加密文件了。  # 如何解密文件 我这边以macos系统上操作为示例: 1. 确保你已经安装了python，没有可用以下指令安装 ``` brew install python ``` 2. 创建并激活虚拟环境（可选但推荐） ``` python3 -m venv ~/backvault-decrypt source ~/backvault-decrypt/bin/activate ``` 3. 用 pip 安装 cryptography，显示successfully就表示成功安装了。 ``` pip install cryptography ```  4. 新建文件 decrypt.py，粘贴下面脚本并保存，我这边文件是保存在桌面，与上面下载的加密文件位置一致。 ``` # decrypt.py import sys from getpass import getpass from cryptography.hazmat.primitives.ciphers.aead import AESGCM from cryptography.hazmat.primitives.kdf.pbkdf2 import PBKDF2HMAC from cryptography.hazmat.primitives import hashes from cryptography.exceptions import InvalidTag SALT_SIZE = 16 NONCE_SIZE = 12 TAG_SIZE = 16 KEY_SIZE = 32 PBKDF2_ITERATIONS = 600000 # 若你在 VaultWarden 改过迭代次数，这里也要改；没改就按照默认值 def decrypt_data(encrypted_data: bytes, password: str) -> bytes: salt = encrypted_data[:SALT_SIZE] nonce = encrypted_data[SALT_SIZE:SALT_SIZE+NONCE_SIZE] ciphertext_with_tag = encrypted_data[SALT_SIZE+NONCE_SIZE:] ciphertext = ciphertext_with_tag[:-TAG_SIZE] tag = ciphertext_with_tag[-TAG_SIZE:] kdf = PBKDF2HMAC(algorithm=hashes.SHA256(), length=KEY_SIZE, salt=salt, iterations=PBKDF2_ITERATIONS) key = kdf.derive(password.encode("utf-8")) aesgcm = AESGCM(key) return aesgcm.decrypt(nonce, ciphertext + tag, None) if __name__ == "__main__": if len(sys.argv) < 2: print(f"Usage: python {sys.argv[0]} <encrypted_file> [password]") sys.exit(1) file_path = sys.argv[1] password = sys.argv[2] if len(sys.argv) > 2 else getpass("Enter backup password: ") try: with open(file_path, "rb") as f: encrypted_contents = f.read() decrypted_json = decrypt_data(encrypted_contents, password) out_path = file_path.rsplit(".", 1)[0] + ".json" with open(out_path, "w", encoding="utf-8") as wf: wf.write(decrypted_json.decode("utf-8")) print(f"Decryption OK -> {out_path}") except InvalidTag: print("Decryption failed: Invalid password or corrupted file.") except Exception as e: print(f"An error occurred: {e}") ``` 5. 运行以下脚本，对应替换decrypt.py路径，文件路径和文件加密密码，见下图 ``` python “decrypt.py路径” "你的Backup File路径" "你的Backup File Password，如上面没配置，就不需要" ``` 6. 比如我这边是都放在了桌面，然后就得到了解密后的json文件，也在同一路径下。   打开json文件，可**Ctrl+F**，就可以看到你需要的网站账号密码了。  **注意：应用关闭再打开后，会显示502，属于正常现象。因为软件已经配置成功，转为后台服务，可查看应用日志看进程，也可以到懒猫网盘，应用数据下看到新生成的备份文件，见下图。**