From 2adb7a1cb750c56669b932798f44a360859ccfd5 Mon Sep 17 00:00:00 2001 From: Thomas Dannenberg Date: Thu, 21 Aug 2025 18:29:38 +0000 Subject: [PATCH] Kapitel 6/Tutorial.md aktualisiert --- Kapitel 6/Tutorial.md | 137 ++++++++++++++++++++++++++++++++++++++++-- 1 file changed, 131 insertions(+), 6 deletions(-) diff --git a/Kapitel 6/Tutorial.md b/Kapitel 6/Tutorial.md index f00bb79..5bcb1ba 100644 --- a/Kapitel 6/Tutorial.md +++ b/Kapitel 6/Tutorial.md @@ -156,13 +156,50 @@ Erwartet: Meldungen wie `Rocket has launched…`. — — — -7️⃣ Admin‑Backend & Sicherheit +7️⃣ Admin‑Backend (GUI), Admin‑Token absichern & erster Nutzer +Öffne `https://pass.DEINE-DOMAIN.tld/admin` und melde dich **mit deinem bisherigen Admin‑Token** an (zunächst im Klartext aus `.env`). -* `https://pass.DEINE-DOMAIN.tld/admin` → **ADMIN\_TOKEN** eingeben -* **Registrierung** prüfen: **aus** -* Optional **SMTP** eintragen und **Testmail** senden -* **Erstes Benutzerkonto** anlegen; **2FA** (TOTP/FIDO2) aktivieren - 👉 Privat, sicher, sofort nutzbar. +**A) Admin‑Token auf Argon2 PHC umstellen (GUI, sicher)** + +1. **Hash erzeugen** (nimmt dein künftiges Admin‑Passwort entgegen → zweimal eingeben): + + ```bash + # Container-Name ist im Tutorial 'vaultwarden' + docker exec -it vaultwarden /vaultwarden hash --preset owasp + ``` + + > Kopiere **den kompletten PHC‑String** ab `$argon2id$…` (ohne zusätzliche Anführungszeichen). +2. **Im Admin‑Panel speichern:** + + * Admin → **Settings** → **General** → Feld **“Admin token / Argon2 PHC”** + * PHC‑String einfügen → **Save**. +3. **Konflikte vermeiden:** Entferne das alte `ADMIN_TOKEN` aus der `.env` (wir nutzen künftig die **GUI‑Konfig**/`config.json`). + + ```bash + cd /opt/vaultwarden + sed -i '/^ADMIN_TOKEN=/d' .env + docker compose restart vaultwarden + ``` +4. **Prüfen:** + + ```bash + docker compose logs --tail=100 vaultwarden | grep -F "plain text `ADMIN_TOKEN`" || echo "✅ Admin‑Token ist als Argon2 PHC aktiv" + ``` + + **Login‑Hinweis:** Ab jetzt loggst du dich im Admin‑Bereich mit **dem Klartext‑Passwort** ein, das du beim `hash` eingegeben hast (nicht mit dem langen PHC‑String!). + +**B) Ersten Benutzer per GUI anlegen (ohne SMTP)** + +1. Admin → **Settings → General** → **Allow new signups** **einschalten** → **Save**. +2. In neuem Tab `https://pass.DEINE-DOMAIN.tld/#/register` öffnen → Benutzer anlegen → anmelden. +3. Admin → **Allow new signups** wieder **ausschalten** → **Save**. + + > **Mit SMTP** kannst du stattdessen Admin → **Users → Invitations** nutzen (Einladungs‑Mail). + +**C) Sicherheit abrunden** + +* Eigenes Benutzerkonto → **Settings/Security** → **2FA** (TOTP oder FIDO2/YubiKey) aktivieren. +* Optional: **SMTP** in Admin‑Panel setzen und **Testmail** senden. — — — @@ -194,3 +231,91 @@ ls -lh /root/vaultwarden-backup-*.tar.gz * Vaultwarden läuft hinter NPM mit **HTTPS**; **WebSockets** funktionieren * **Registrierungen aus**, Admin‑Backend per **Token** geschützt * Daten persistent unter `/opt/vaultwarden/data` und per Tar gesichert + +— — — + +9️⃣ Arbeiten mit Vaultwarden – Kurzguide (Praxis) + +> **Ziel:** Direkt nach der Einrichtung sicher starten. Du brauchst nur deine URL `https://pass.DEINE-DOMAIN.tld`. + +### 9.1 Anmelden & Clients verbinden + +* **Web:** Öffne `https://pass.DEINE-DOMAIN.tld`, logge dich mit deinem Benutzer ein. +* **Browser‑Erweiterung:** Suche nach *Bitwarden* im Add‑on‑Store deines Browsers, installiere das Add‑on. + + * In den Add‑on‑Einstellungen **„Self‑Hosted/Server‑URL“** auf `https://pass.DEINE-DOMAIN.tld` setzen. + * Einloggen → das Tresorsymbol erscheint in der Toolbar. +* **Desktop/Mobile (optional):** Bitwarden‑App installieren → beim ersten Start **Server** auf `https://pass.DEINE-DOMAIN.tld` stellen → einloggen. + **Erfolg:** Du siehst deinen (noch leeren) Tresor in Web & Add‑on. + +### 9.2 Ersten Eintrag anlegen (Login) + +Web‑UI → **Neu** → **Anmeldung**: + +* **Name:** z. B. „Twitch – Hauptaccount“ +* **Benutzername / E‑Mail** und **Passwort** eintragen +* **URL:** z. B. `https://www.twitch.tv` + Speichern. + **Erfolg:** Der Eintrag erscheint sofort; das Add‑on zeigt ihn ebenfalls (Live‑Sync). + +### 9.3 Ordner/Struktur + +Web‑UI → **Ordner** → **Neuer Ordner**: z. B. „Streaming“. +Im Eintrag den **Ordner** auf „Streaming“ stellen → speichern. +**Warum:** Ordnung hält die Suche schlank. + +### 9.4 Sicheres Passwort generieren + +Web‑UI oder Add‑on → **Generator**: + +* Länge **20–24**, **Zahlen**, **Sonderzeichen** an; **keine ähnlichen Zeichen**. +* „Generieren“ → „In Eintrag übernehmen“ (oder **Kopieren** und ins Zielkonto einfügen). + **Tipp:** Nach Passwortwechsel beim Dienst die Änderung **im Tresor speichern**. + +### 9.5 TOTP (2‑Faktor) im Eintrag hinterlegen + +Beim Ziel‑Dienst 2FA aktivieren → du bekommst einen **TOTP‑Schlüssel** (Base32) oder **QR**. + +* Im Tresor‑Eintrag → **Feld hinzufügen** → **„Authenticator‑Schlüssel (TOTP)“** wählen → Schlüssel einfügen → speichern. +* Der Eintrag zeigt nun **zeitbasierte 6‑stellige Codes**. + **Test:** Logout beim Dienst → Login mit Passwort + aktuellem Code aus dem Eintrag. + +### 9.6 Import vorhandener Passwörter (optional) + +Web‑UI → **Werkzeuge** → **Importieren**: + +* **Format** wählen (z. B. Chrome/Firefox/Bitwarden JSON/CSV). +* Datei auswählen → **Import**. + **Hinweis:** Nach dem Import kurz durchgehen, doppelte/alte Logins aufräumen. + +### 9.7 Autofill testen (Browser‑Add‑on) + +Zur Login‑Seite wechseln → Tresorsymbol → passenden Eintrag anklicken → Felder werden gefüllt. +**Tipp:** In den Add‑on‑Einstellungen „Beim Seitenaufruf vorschlagen/Auto‑Fill“ nach Wunsch aktivieren. + +### 9.8 „Send“ (sicher teilen, optional) + +Web‑UI → **Neu** → **Send**: + +* Text oder Datei wählen, **Ablaufdatum**, **max. Abrufe**, optional **Kennwort** setzen → **Erstellen** → **Link kopieren**. + **Einsatz:** Einzelne Secrets/Dateien sicher an Partner schicken. + +### 9.9 Organisation (Team, optional) + +Web‑UI → **Organisationen** → **Neue Organisation** (Name vergeben). + +* Mitglieder einladen (erfordert **funktionierendes SMTP**). +* **Sammlungen** anlegen (z. B. „Stream‑Zugänge“) und Einträge zuordnen. + **Hinweis:** Ohne SMTP später nachrüsten; bis dahin Solo‑Tresor nutzen. + +### 9.10 Export (Nutzer‑Sicht) & Restore‑Probe + +Web‑UI → **Werkzeuge** → **Exportieren** → Format wählen (z. B. Bitwarden JSON) → lokal verschlüsselt ablegen. +**Probe‑Restore:** In einer Testinstanz/Profil importieren und prüfen. (Server‑Backups hast du zusätzlich in Schritt 8.) + +### 9.11 Gute Praxis + +* **Ein Dienst = ein eindeutiges Passwort**; Passwortgenerator konsequent nutzen. +* Wo verfügbar, **2FA aktivieren** und TOTP im Eintrag hinterlegen. +* Add‑on/Apps: **Sperre/Timeout** und **Biometrie/PIN** aktivieren. +* Regelmäßig **aufräumen** (alte/duplizierte Logins löschen).