我有点不好意思问这个问题,因为我自己也不知道。
我在开放互联网上的公共 VPS 上运行 vaultwarden 实例(开源 bitwarden)。它已正确设置了 nginx 反向代理,并具有正确的 SSL 终止和 LetsEncrypt 证书。我还启用了 yubikey 所需的访问权限。
我应该没事。
尽管如此,我还是很想知道为什么我应该拥有一项可供整个互联网访问的服务,而这项服务只供我(也可能是我的妻子)使用。
我想我可以启用客户端证书认证,但我不确定在客户端上设置起来有多容易。
所以我想知道 - 在 VPS 上安装类似 VPN 的东西并让服务在 VPN 后面运行是否有意义 - 如果可能的话,因为它只是一个盒子而不是一个网络?
或者你能想到其他解决方案吗?基本上,理想的情况是该服务只对少数人开放,但可以从任何地方访问(因此基于 IP 不是一个选项)。任何建议都值得赞赏。
答案1
我个人托管了一个 vaultwarden 服务器。我最近了解到,这项服务是端到端加密的。这意味着,即使在数据库损坏的情况下,黑客也无法解密存储的密码。问题在于用户连接可能受到损害(假 DNS、保存 cookie 等)。我和我的伴侣亲自选择将 vaultwarden 服务器的访问限制在我们的 VPN 上。这确保 DNS 由 VPN 选择,而不是由她的个人计算机选择。然而,我越来越多地考虑取消 VPN 限制。这非常耗费用户。我一直连接到 VPN,它不会影响我。但我经常使用流媒体服务的女朋友不得不禁用 VPN。这剥夺了她对 vaultwarden 的访问权限。