Vaultwarden 1.36.0: Güncelleme Kılavuzu

Kendi sunucunuzu barındırmak (self-hosting), kendi güvenlik ekibiniz olduğunuz anlamına gelir.

Bulut sistemlerde, bir şirket siz fark etmeden güvenlik açıklarını yamalar. Vaultwarden ile risk size aittir. Güncellemeleri atlarsanız, bilinen güvenlik açıklarına maruz kalırsınız.

Vaultwarden 1.36.0 iki kritik alanı düzeltiyor: • Yönetici paneli kimlik doğrulaması. • Oturum jetonu (session token) yönetimi.

Yönetici paneli yaygın bir hedeftir. Birçok kullanıcı bunu herkese açık bir alt alan adında (subdomain) çalıştırır. Eğer proxy seviyenizde /admin yolunu engellemezseniz, risk altındasınız demektir.

1.36.0 Sürümündeki Temel İyileştirmeler:

• Sunucu tarafı hız sınırlama (rate limiting): Uygulama artık hız sınırlamasını dahili olarak yönetiyor. Artık yalnızca Nginx veya Caddy yapılandırmanıza güvenmiyor. Bu, saldırganların sahte IP başlıkları kullanarak sınırları aşmasını engeller.

• Daha iyi oturum güvenliği: Sunucu artık her API çağrısında jetonun süresinin dolup dolmadığını kontrol ediyor. Bu, çalınan jetonların olması gerekenden daha uzun süre çalışmasını engeller.

• Güncellenmiş bağımlılıklar: OpenSSL ve tower-http için yapılan düzeltmeler, hizmet dışı bırakma (denial-of-service) saldırısı riskini azaltır.

Veri Kaybetmeden Nasıl Güncellenir:

  1. Veritabanınızı düzgün bir şekilde yedekleyin. Sadece dosyaları kopyalamayın. Bozulmaları önlemek için konteyner içindeki SQLite yedekleme komutunu kullanın. Çalıştırın: docker exec vaultwarden sqlite3 /data/db.sqlite3 '.backup /data/db_backup.sqlite3'

  2. Yedeği doğrulayın. Yeni dosya üzerinde bir bütünlük kontrolü (integrity check) yapın. Eğer "ok" demiyorsa, devam etmeyin.

  3. Atomik güncelleme yöntemini kullanın. Önce konteynerinizi durdurmayın. Bu, kesintiye (downtime) neden olur. Bunun yerine, eski sürüm çalışırken yeni imajı çekin (pull), ardından servisi yeniden oluşturun. Çalıştırın: docker compose pull vaultwarden docker compose up -d vaultwarden

  4. IP başlığınızı ayarlayın. Hız sınırlamanın çalıştığından emin olmak için Vaultwarden'a proxy'nizin hangi başlığı kullandığını söyleyin. Bunu ortam değişkenlerinize (environment) ekleyin: IP_HEADER=X-Forwarded-For

Kurulumunuzu sıkılaştırın:

• Düz metin (plaintext) ADMIN_TOKEN kullanmayı bırakın. Bunun yerine bir argon2 hash'i kullanın. • /admin yolunu ters proxy (reverse proxy) aracılığıyla yerel ağınızla sınırlandırın. • Eğer tek kullanıcı sizseniz, SIGNUPS_ALLOWED değerini false olarak ayarlayın.

Bir güncelleme beş dakika sürer. Doğru hazırlık ise on dakika alır. Yedeği atlamayın.

Kaynak: https://dev.to/ericwoooo_kr/vaultwarden-1360-what-changed-what-to-patch-and-how-to-upgrade-without-losing-your-vault-3gd2