Vaultwarden 1.36.0: अपग्रेड गाईड
सेल्फ-होस्टिंग (Self-hosting) म्हणजे तुम्ही स्वतःची सुरक्षा टीम आहात.
क्लाउडमध्ये, एखादी कंपनी तुम्हाला लक्षात येण्यापूर्वीच सुरक्षा त्रुटींचे (vulnerabilities) पॅच करते. Vaultwarden मध्ये, जोखीम तुमची असते. जर तुम्ही अपडेट्स वगळले, तर तुम्ही ज्ञात सुरक्षा त्रुटींच्या (known vulnerabilities) धोक्यात असता.
Vaultwarden 1.36.0 दोन महत्त्वाच्या क्षेत्रांमधील त्रुटी सुधारते: • ॲडमिन पॅनेल ऑथेंटिकेशन (Admin panel authentication). • सेशन टोकन हँडलिंग (Session token handling).
ॲडमिन पॅनेल हे एक सामान्य लक्ष्य आहे. अनेक वापरकर्ते ते सार्वजनिक सबडोमेनवर (public subdomain) चालवतात. जर तुम्ही तुमच्या प्रॉक्सी लेव्हलवर /admin पाथ ब्लॉक केला नाही, तर तुम्ही धोक्यात आहात.
1.36.0 मधील मुख्य सुधारणा:
• सर्व्हर-साइड रेट लिमिटिंग (Server-side rate limiting): आता ॲप अंतर्गत (internally) रेट लिमिटिंग हाताळते. हे आता केवळ तुमच्या Nginx किंवा Caddy कॉन्फिगरेशनवर अवलंबून नाही. यामुळे अटॅकर्सना बनावट IP हेडर्स वापरून मर्यादा बायपास करण्यापासून रोखता येते.
• अधिक चांगली सेशन सुरक्षा (Better session security): सर्व्हर आता प्रत्येक API कॉलवर टोकनची मुदत (expiry) तपासतो. यामुळे चोरीला गेलेले टोकन त्यांच्या निर्धारित वेळेपेक्षा जास्त काळ वापरले जाण्यापासून रोखले जाते.
• अपडेटेड डिपेंडेंसीज (Updated dependencies): OpenSSL आणि tower-http मधील सुधारणांमुळे denial-of-service हल्ल्यांचा धोका कमी होतो.
डेटा न गमावता अपग्रेड कसे करावे:
तुमच्या डेटाबेसचा योग्य बॅकअप घ्या. फक्त फाईल्स कॉपी करू नका. डेटा करप्ट (corruption) होणे टाळण्यासाठी कंटेनरमधील SQLite बॅकअप कमांड वापरा. चालवा:
docker exec vaultwarden sqlite3 /data/db.sqlite3 '.backup /data/db_backup.sqlite3'बॅकअपची पडताळणी करा. नवीन फाईलवर इंटिग्रिटी चेक (integrity check) करा. जर "ok" असे आले नाही, तर पुढे जाऊ नका.
अॅटॉमिक अपग्रेड पद्धत (atomic upgrade method) वापरा. प्रथम तुमचा कंटेनर थांबवू नका. यामुळे डाउनटाइम (downtime) होऊ शकतो. त्याऐवजी, जुना कंटेनर चालू असतानाच नवीन इमेज पुल (pull) करा आणि नंतर सर्व्हिस पुन्हा तयार करा. चालवा:
docker compose pull vaultwardendocker compose up -d vaultwardenतुमचा IP हेडर सेट करा. रेट लिमिटिंग व्यवस्थित काम करत असल्याची खात्री करण्यासाठी, तुमचा प्रॉक्सी कोणता हेडर वापरतो ते Vaultwarden ला सांगा. तुमच्या एन्व्हायरमेंटमध्ये (environment) हे जोडा:
IP_HEADER=X-Forwarded-For
तुमचे सेटअप अधिक सुरक्षित (Hardening) करा:
• प्लेनटेक्स्ट (plaintext) ADMIN_TOKEN वापरणे थांबवा. त्याऐवजी argon2 हॅश वापरा. • तुमच्या रिव्हर्स प्रॉक्सीद्वारे (reverse proxy) /admin पाथ तुमच्या स्थानिक नेटवर्कपुरता (local network) मर्यादित करा. • जर तुम्ही एकमेव वापरकर्ता असाल, तर SIGNUPS_ALLOWED हे false वर सेट करा.
अपग्रेडसाठी पाच मिनिटे लागतात. योग्य तयारीसाठी दहा मिनिटे लागतात. बॅकअप घेणे विसरू नका.
