Self-hostInstallatie- en implementatiehandleidingen

Linux handmatige installatie

Dit artikel leidt je door de procedure om Bitwarden handmatig te installeren en te implementeren op je eigen server. Raadpleeg de documentatie voor ondersteuning bij het uitbrengen van Bitwarden software.

warning

Handmatige installaties mogen alleen worden uitgevoerd door gevorderde gebruikers. Ga alleen verder als u goed bekend bent met Docker-technologieën en meer controle wilt over uw Bitwarden-installatie.

Handmatige installaties hebben niet de mogelijkheid om bepaalde afhankelijkheden van de Bitwarden-installatie automatisch bij te werken. Bij het upgraden van de ene versie van Bitwarden naar de volgende bent u verantwoordelijk voor wijzigingen in vereiste omgevingsvariabelen, wijzigingen in nginx default.conf, wijzigingen in docker-compose.yml, enzovoort.

We zullen proberen deze te benadrukken in de release notes op GitHub. Je kunt ook wijzigingen in de afhankelijkheidssjablonen die worden gebruikt door het installatiescript van Bitwarden volgen op GitHub.

Vereisten

Voordat je verder gaat met de installatie, moet je ervoor zorgen dat Docker Engine en Docker Compose zijn geïnstalleerd en klaar zijn voor gebruik op je server en dat je machine voldoet aan de vereiste systeemspecificaties.

Als u uw eigen Bitwarden-images bouwt, zijn officiële .NET Core Runtime-images (te downloaden van DockerHub) van dezelfde grote releaseversie als Bitwarden-images vereist.

Systeemspecificaties

Minimaal

Aanbevolen

Processor

x64, 1,4GHz

x64, 2GHz dual core

Geheugen

2GB RAM

4 GB RAM

Opslag

12 GB

25 GB

Docker-versie

Engine 19+ en Compose 1.24+

Engine 19+ en Compose 1.24+

Installatieprocedure

Lokale gebruiker en map Bitwarden aanmaken

We raden u aan uw server te configureren met een specifiek bitwarden-serviceaccount van waaruit Bitwarden wordt geïnstalleerd en uitgevoerd. Hierdoor wordt uw Bitwarden-instantie geïsoleerd van andere toepassingen die op uw server draaien.

Deze stappen zijn door Bitwarden aanbevolen best practices, maar zijn niet verplicht. Voor meer informatie, zie Docker's post-installatie stappen voor Linux documentatie.

  1. Maak een bitwarden-gebruiker aan:

    Bash
    sudo adduser bitwarden

  2. Stel een wachtwoord in voor de bitwarden gebruiker:

    Bash
    sudo passwd bitwarden

  3. Maak een docker groep aan (als die nog niet bestaat):

    Bash
    sudo groupadd docker

  4. Voeg de bitwarden gebruiker toe aan de docker groep:

    Bash
    sudo usermod -aG docker bitwarden

  5. Maak een bitwardenmap:

    Bash
    sudo mkdir /opt/bitwarden

  6. Stel rechten in voor de map /opt/bitwarden:

    Bash
    sudo chmod -R 700 /opt/bitwarden

  7. De bitwarden gebruiker eigenaar maken van de /opt/bitwarden directory:

    Bash
    sudo chown -R bitwarden:bitwarden /opt/bitwarden

Downloaden en configureren

warning

Als u een Bitwarden-gebruiker en -map hebt gemaakt, voert u het volgende uit als de bitwarden-gebruiker vanuit de map /opt/bitwarden. Installeer Bitwarden niet als root, want dan krijg je problemen tijdens de installatie.

Bitwarden downloaden en Bitwarden-serveractiva configureren:

  1. Download een stubbed versie van de afhankelijkheden van Bitwarden(docker-stub.zip) van de releases pagina's op GitHub. Bijvoorbeeld:

    Bash
    curl -L https://github.com/bitwarden/server/releases/download/v<version_number>/docker-stub-US.zip \
 -o docker-stub-US.zip

  2. Maak een nieuwe map met de naam bwdata en pak daar bijvoorbeeld docker-stub.zip naar uit:

    Bash
    unzip docker-stub-US.zip -d bwdata

    Eenmaal uitgepakt zal de map bwdata overeenkomen met wat de volumetoewijzing van het docker-compose.yml-bestand verwacht. U kunt, indien gewenst, de locatie van deze toewijzingen op de hostmachine wijzigen.

  3. Bewerk in ./bwdata/env/global.override.env de volgende omgevingsvariabelen:

    • globalSettings__baseServiceUri__vault=: Voer het domein van uw Bitwarden-instantie in.

    • globalSettings__sqlServer__ConnectionString=: Vervang het RANDOM_DATABASE_PASSWORD door een veilig wachtwoord voor gebruik in een latere stap.

    • globalSettings__identityServer__certificatePassword: Stel een veilig certificaatwachtwoord in voor gebruik in een latere stap.

    • globalSettings__internalIdentityKey=: Vervang RANDOM_IDENTITY_KEY door een willekeurige sleutelreeks.

    • globalSettings__oidcIdentityClientKey=: Vervang RANDOM_IDENTITY_KEY door een willekeurige sleuteltekenreeks.

    • globalSettings__duo__aKey=: Vervang RANDOM_DUO_AKEY door een willekeurige sleuteltekenreeks.

    • globalSettings__installation__id=: Voer een installatie-id in die is opgehaald van https://bitwarden.com/host.

    • globalSettings__installation__key=: Voer een installatiesleutel in die is opgehaald van https://bitwarden.com/host.

      tip

      Overweeg op dit moment ook om waarden in te stellen voor alle globalSettings__mail__smtp__ variabelen en voor adminSettings__admins. Hierdoor wordt de SMTP-mailserver geconfigureerd die wordt gebruikt om uitnodigingen naar nieuwe organisatieleden te sturen en toegang te verlenen tot het systeembeheerdersportaal.

      Meer informatie over omgevingsvariabelen.

  4. Genereer vanuit ./bwdata een .pfx-certificaatbestand voor de identity container en verplaats het naar de map van het gemapte volume (standaard ./bwdata/identity/). Voer bijvoorbeeld de volgende commando's uit:

    Bash
    openssl req -x509 -newkey rsa:4096 -sha256 -nodes -keyout identity.key -out identity.crt -subj "/CN=Bitwarden IdentityServer" -days 10950

    en

    Bash
    openssl pkcs12 -export -out ./identity/identity.pfx -inkey identity.key -in identity.crt -passout pass:IDENTITY_CERT_PASSWORD

    Vervang in het bovenstaande commando IDENTITY_CERT_PASSWORD door het certificaatwachtwoord dat in stap 3 is aangemaakt en gebruikt.

  5. Kopieer identity.pfx naar de map ./bwdata/ssl.

  6. Maak een submap in ./bwdata/ssl met bijvoorbeeld de naam van je domein:

    Bash
    mkdir ./ssl/bitwarden.example.com

  7. Zorg voor een vertrouwd SSL-certificaat en een privésleutel in de nieuw aangemaakte submap ./bwdata/ssl/bitwarden.example.com.

    note

    Deze map is gekoppeld aan de NGINX container in /etc/ssl. Als u geen vertrouwd SSL-certificaat kunt leveren, sluit de installatie dan af met een proxy die een HTTPS-eindpunt biedt aan Bitwarden-clienttoepassingen.

  8. In ./bwdata/nginx/default.conf:

    1. Vervang alle instanties van bitwarden.example.com door jouw domein, ook in de header Content-Security-Policy.

    2. Stel de variabelen ssl_certificate en ssl_certificate_key in op de paden van het certificaat en de privésleutel uit stap 7.

    3. Neem een van de volgende acties, afhankelijk van uw certificaatinstelling:

      • Als u een vertrouwd SSL-certificaat gebruikt, stel dan de variabele ssl_trusted_certificate in op het pad naar uw certificaat.

      • Als u een zelfondertekend certificaat gebruikt, moet u de variabele ssl_trusted_certificate uitcommentariëren.

  9. Vervang in ./bwdata/env/mssql.override.env RANDOM_DATABASE_PASSWORD door het wachtwoord dat in stap 3 is gemaakt.

  10. Vervang bitwarden.example.com in ./bwdata/web/app-id.json door jouw domein.

  11. Stel in ./bwdata/env/uid.env de UID en GID in van de bitwarden gebruikers en groep die u eerder hebt aangemaakt, zodat de containers bijvoorbeeld onder hen draaien:

    Bash
    LOCAL_UID=1001
LOCAL_GID=1001

Uw server starten

Start uw Bitwarden-server met het volgende commando:

Bash
docker compose -f ./docker/docker-compose.yml up -d

Controleer of alle containers correct draaien:

Bash
docker ps
Docker healthy
Docker healthy

Gefeliciteerd! Bitwarden is nu actief op https://your.domain.com. Bezoek de webkluis in je browser om te controleren of deze werkt.

Je kunt nu een nieuwe account registreren en inloggen. Je moet SMPT omgevingsvariabelen hebben geconfigureerd (zie Omgevingsvariabelen) om het e-mailadres voor je nieuwe account te kunnen verifiëren.

Volgende stappen:

Werk uw server bij

Het bijwerken van een zelf gehoste server die handmatig is geïnstalleerd en uitgerold, is anders dan de standaard updateprocedure. Om je handmatig geïnstalleerde server bij te werken:

  1. Download het nieuwste docker-stub.zip archief van de releases pagina's op GitHub.

  2. Pak het nieuwe docker-stub.zip archief uit en vergelijk de inhoud met wat er momenteel in je bwdata map staat. Kopieer alles wat nieuw is naar de reeds bestaande bestanden in bwdata.
    Overschrijf uw reeds bestaande bwdata directory niet met de inhoud van het nieuwere docker-stub.zip archief, aangezien dit al het aangepaste configuratiewerk dat u hebt gedaan zou overschrijven.

  3. Voer het volgende commando uit om je server opnieuw te starten met je bijgewerkte configuratie en de nieuwste containers:

    Bash
    docker compose -f ./docker/docker-compose.yml down && docker compose -f ./docker/docker-compose.yml up -d