Vaultwarden 1.36.0: అప్‌గ్రేడ్ గైడ్

సెల్ఫ్-హోస్టింగ్ అంటే మీరే మీ సొంత సెక్యూరిటీ టీమ్ అని అర్థం.

క్లౌడ్‌లో, మీరు గమనించకముందే ఒక కంపెనీ భద్రతా లోపాలను (vulnerabilities) సరిచేస్తుంది. Vaultwardenతో, రిస్క్ అంతా మీదే. మీరు అప్‌డేట్‌లను వదిలేస్తే, తెలిసిన భద్రతా లోపాలకు గురయ్యే ప్రమాదం ఉంది.

Vaultwarden 1.36.0 రెండు కీలకమైన అంశాలను సరిచేస్తుంది: • అడ్మిన్ ప్యానెల్ అథెంటికేషన్ (Admin panel authentication). • సెషన్ టోకెన్ హ్యాండ్లింగ్ (Session token handling).

అడ్మిన్ ప్యానెల్ అనేది సాధారణంగా లక్ష్యంగా మారుతుంది. చాలా మంది వినియోగదారులు దీనిని పబ్లిక్ సబ్-డొమైన్‌లో నడుపుతారు. మీరు మీ ప్రాక్సీ స్థాయిలో /admin పాత్‌ను బ్లాక్ చేయకపోతే, మీరు రిస్క్‌లో ఉన్నట్లే.

1.36.0లో ముఖ్యమైన మెరుగుదలలు:

• సర్వర్-సైడ్ రేట్ లిమిటింగ్ (Server-side rate limiting): యాప్ ఇప్పుడు రేట్ లిమిటింగ్‌ను అంతర్గతంగానే నిర్వహిస్తుంది. ఇది ఇకపై కేవలం మీ Nginx లేదా Caddy కాన్ఫిగరేషన్ మీద మాత్రమే ఆధారపడదు. దీనివల్ల అటాకర్లు ఫేక్ IP హెడర్లను ఉపయోగించి లిమిట్‌లను దాటకుండా నిరోధించవచ్చు.

• మెరుగైన సెషన్ సెక్యూరిటీ: సర్వర్ ఇప్పుడు ప్రతి API కాల్‌పై టోకెన్ గడువును (token expiry) తనిఖీ చేస్తుంది. దీనివల్ల దొంగిలించబడిన టోకెన్లు ఉండాల్సిన దానికంటే ఎక్కువ కాలం పనిచేయకుండా నిరోధించవచ్చు.

• అప్‌డేట్ చేయబడిన డిపెండెన్సీలు: OpenSSL మరియు tower-http కోసం చేసిన ఫిక్స్‌లు డీనియల్-ఆఫ్-సర్వీస్ (denial-of-service) దాడుల ప్రమాదాన్ని తగ్గిస్తాయి.

డేటా కోల్పోకుండా అప్‌గ్రేడ్ చేయడం ఎలా:

  1. మీ డేటాబేస్‌ను సరిగ్గా బ్యాకప్ తీసుకోండి. కేవలం ఫైల్‌లను కాపీ చేయకండి. డేటా కరప్ట్ కాకుండా ఉండటానికి కంటైనర్ లోపల SQLite బ్యాకప్ కమాండ్‌ను ఉపయోగించండి. Run: docker exec vaultwarden sqlite3 /data/db.sqlite3 '.backup /data/db_backup.sqlite3'

  2. బ్యాకప్‌ను ధృవీకరించండి. కొత్త ఫైల్‌పై ఇంటిగ్రిటీ చెక్ (integrity check) చేయండి. అది "ok" అని చూపించకపోతే, ముందుకు వెళ్లకండి.

  3. అటామిక్ అప్‌గ్రేడ్ పద్ధతిని (atomic upgrade method) ఉపయోగించండి. ముందుగా మీ కంటైనర్‌ను ఆపకండి. దీనివల్ల డౌన్‌టైమ్ (downtime) ఏర్పడుతుంది. దానికి బదులుగా, పాత ఇమేజ్ నడుస్తున్నప్పుడే కొత్త ఇమేజ్‌ను 'pull' చేయండి, ఆపై సర్వీస్‌ను రీక్రియేట్ చేయండి. Run: docker compose pull vaultwarden docker compose up -d vaultwarden

  4. మీ IP హెడర్‌ను సెట్ చేయండి. రేట్ లిమిటింగ్ సరిగ్గా పనిచేయడానికి, మీ ప్రాక్సీ ఏ హెడర్‌ను ఉపయోగిస్తుందో Vaultwardenకి తెలియజేయండి. దీనిని మీ ఎన్విరాన్‌మెంట్‌కు జోడించండి: IP_HEADER=X-Forwarded-For

మీ సెటప్‌ను మరింత సురక్షితం చేయడం (Hardening your setup):

• ప్లెయిన్ టెక్స్ట్ (plaintext) ADMIN_TOKEN ఉపయోగించడం ఆపండి. దానికి బదులుగా argon2 హ్యాష్‌ను ఉపయోగించండి. • మీ రివర్స్ ప్రాక్సీ ద్వారా /admin పాత్‌ను మీ లోకల్ నెట్‌వర్క్‌కు మాత్రమే పరిమితం చేయండి. • మీరు మాత్రమే వినియోగదారులైతే, SIGNUPS_ALLOWED ని false గా సెట్ చేయండి.

అప్‌గ్రేడ్ చేయడానికి ఐదు నిమిషాలు పడుతుంది. సరైన సన్నద్ధతకు పది నిమిషాలు పడుతుంది. బ్యాకప్‌ను వదిలేయకండి.

Source: https://dev.to/ericwoooo_kr/vaultwarden-1360-what-changed-what-to-patch-and-how-to-upgrade-without-losing-your-vault-3gd2