Vaultwarden 1.36.0: מדריך שדרוג
אירוח עצמי (Self-hosting) פירושו שאתם צוות האבטחה של עצמכם.
בענן, חברה מתקנת פגיעויות לפני שתבחינו בהן. עם Vaultwarden, האחריות על הסיכון היא עליכם. אם תדלגו על עדכונים, תחשפו לפגיעויות ידועות.
Vaultwarden 1.36.0 מתקן שני תחומים קריטיים: • אימות (authentication) של פאנל הניהול. • טיפול בטוקנים של סשן (Session tokens).
פאנל הניהול הוא מטרה נפוצה. משתמשים רבים מריצים אותו תחת סאב-דומיין ציבורי. אם אינכם חוסמים את הנתיב /admin ברמת ה-proxy שלכם, אתם נמצאים בסיכון.
Key Improvements in 1.36.0:
• הגבלת קצב (rate limiting) בצד השרת: האפליקציה מטפלת כעת בהגבלת קצב באופן פנימי. היא כבר לא מסתמכת אך ורק על קונפיגורציית ה-Nginx או ה-Caddy שלכם. זה מונע מתוקפים לעקוף מגבלות באמצעות כותרות (headers) של IP מזויפות.
• אבטחת סשן משופרת: השרת בודק כעת את תוקף הטוקן בכל קריאת API. זה מונע מטוקנים גנובים לעבוד זמן רב יותר מהנדרש.
• תלויות (dependencies) מעודכנות: תיקונים עבור OpenSSL ו-tower-http מפחיתים את הסיכון להתקפות Denial-of-Service.
How to Upgrade Without Losing Data:
בצעו גיבוי מסודר למסד הנתונים שלכם. אל תסתפקו רק בהעתקת הקבצים. השתמשו בפקודת הגיבוי של SQLite בתוך הקונטיינר כדי למנוע שחיתות נתונים (corruption). הריצו:
docker exec vaultwarden sqlite3 /data/db.sqlite3 '.backup /data/db_backup.sqlite3'ודאו שהגיבוי תקין. הריצו בדיקת תקינות (integrity check) על הקובץ החדש. אם לא מופיעה ההודעה "ok", אל תמשיכו.
השתמשו בשיטת שדרוג אטומית (atomic upgrade). אל תעצרו את הקונטיינר תחילה, שכן הדבר גורם להשבתה (downtime). במקום זאת, משכו (pull) את האימג' החדש בזמן שהישן רץ, ואז צרו מחדש את השירות. הריצו:
docker compose pull vaultwardendocker compose up -d vaultwardenהגדירו את כותרת ה-IP שלכם. כדי להבטיח שהגבלת הקצב תעבוד, אמרו ל-Vaultwarden באיזו כותרת ה-proxy שלכם משתמש. הוסיפו זאת למשתני הסביבה (environment):
IP_HEADER=X-Forwarded-For
Hardening your setup:
• הפסיקו להשתמש ב-ADMIN_TOKEN בטקסט גלוי (plaintext). השתמשו ב-hash מסוג argon2 במקום.
• הגבילו את הנתיב /admin לרשת המקומית שלכם באמצעות ה-reverse proxy.
• הגדירו את SIGNUPS_ALLOWED ל-false אם אתם המשתמש היחיד.
שדרוג לוקח חמש דקות. הכנה נכונה לוקחת עשר. אל תדלגו על הגיבוי.
