Vaultwarden 1.36.0: اپ گریڈ گائیڈ
سیلف ہوسٹنگ (Self-hosting) کا مطلب ہے کہ آپ اپنی سیکیورٹی ٹیم خود ہیں۔
کلاؤڈ میں، کوئی کمپنی آپ کے نوٹس کرنے سے پہلے ہی کمزوریوں (vulnerabilities) کو ٹھیک کر دیتی ہے۔ Vaultwarden کے ساتھ، خطرہ آپ کا اپنا ہے۔ اگر آپ اپ ڈیٹس چھوڑ دیتے ہیں، تو آپ معلوم کمزوریوں کے خطرے میں رہتے ہیں۔
Vaultwarden 1.36.0 دو اہم شعبوں کی اصلاح کرتا ہے: • ایڈمن پینل کی تصدیق (Admin panel authentication)۔ • سیشن ٹوکن ہینڈلنگ (Session token handling)۔
ایڈمن پینل ایک عام ہدف ہے۔ بہت سے صارفین اسے ایک عوامی سب ڈومین (public subdomain) پر چلاتے ہیں۔ اگر آپ اپنے پراکسی لیول پر /admin پاتھ کو بلاک نہیں کرتے، تو آپ خطرے میں ہیں۔
1.36.0 میں اہم بہتری:
• سرور سائیڈ ریٹ لمٹنگ (Server-side rate limiting): اب ایپ اندرونی طور پر ریٹ لمٹنگ کو سنبھالتی ہے۔ یہ اب صرف آپ کی Nginx یا Caddy کنفیگریشن پر انحصار نہیں کرتی۔ یہ حملہ آوروں کو جعلی IP ہیڈرز کا استعمال کرتے ہوئے حدود (limits) کو نظر انداز کرنے سے روکتی ہے۔
• بہتر سیشن سیکیورٹی: سرور اب ہر API کال پر ٹوکن کی میعاد (expiry) چیک کرتا ہے۔ یہ چوری شدہ ٹوکنز کو ضرورت سے زیادہ دیر تک کام کرنے سے روکتا ہے۔
• اپ ڈیٹ شدہ ڈیپینڈنسیز (Updated dependencies): OpenSSL اور tower-http کے لیے اصلاحات denial-of-service حملوں کے خطرے کو کم کرتی ہیں۔
ڈیٹا کھوئے بغیر اپ گریڈ کیسے کریں:
اپنے ڈیٹا بیس کا صحیح طریقے سے بیک اپ لیں۔ صرف فائلوں کو کاپی نہ کریں۔ کرپشن سے بچنے کے لیے کنٹینر کے اندر SQLite بیک اپ کمانڈ کا استعمال کریں۔ چلائیں:
docker exec vaultwarden sqlite3 /data/db.sqlite3 '.backup /data/db_backup.sqlite3'بیک اپ کی تصدیق کریں۔ نئی فائل پر انٹیگریٹی چیک (integrity check) چلائیں۔ اگر یہ "ok" نہ کہے، تو آگے نہ بڑھیں۔
ایٹامک اپ گریڈ (atomic upgrade) طریقہ استعمال کریں۔ پہلے اپنا کنٹینر بند نہ کریں۔ اس سے ڈاؤن ٹائم (downtime) پیدا ہوتا ہے۔ اس کے بجائے، پرانی امیج کے چلتے ہوئے نئی امیج کو پل (pull) کریں، پھر سروس کو دوبارہ تخلیق کریں۔ چلائیں:
docker compose pull vaultwardendocker compose up -d vaultwardenاپنا IP ہیڈر سیٹ کریں۔ یہ یقینی بنانے کے لیے کہ ریٹ لمٹنگ کام کرے، Vaultwarden کو بتائیں کہ آپ کا پراکسی کون سا ہیڈر استعمال کرتا ہے۔ اسے اپنے انوائرمنٹ (environment) میں شامل کریں:
IP_HEADER=X-Forwarded-For
اپنے سیٹ اپ کو مضبوط بنانا (Hardening):
• سادہ ٹیکسٹ (plaintext) ADMIN_TOKEN کا استعمال بند کریں۔ اس کے بجائے argon2 ہیش (hash) استعمال کریں۔
• اپنے ریورس پراکسی کے ذریعے /admin پاتھ کو اپنے مقامی نیٹ ورک تک محدود رکھیں۔
• اگر آپ واحد صارف ہیں تو SIGNUPS_ALLOWED کو false پر سیٹ کریں۔
اپ گریڈ میں پانچ منٹ لگتے ہیں۔ صحیح تیاری میں دس منٹ لگتے ہیں۔ بیک اپ کو ہرگز نہ چھوڑیں۔
ماخذ (Source): https://dev.to/ericwoooo_kr/vaultwarden-1360-what-changed-what-to-patch-and-how-to-upgrade-without-losing-your-vault-3gd2
