【玩转腾讯云】打造个人专属密码管理服务

• 2020 年 3 月 29 日
• 筆記

概述

在我们的生活和工作当中，会接触到N多的APP或网页，因为并不是每个服务都能用类似QQ一键登录的方式来绑定账号，所以也就有了N多的账号密码，记密码成为了让我们非常头疼的事情。太简单或者过于单一的密码容易被撞库或“脱裤”，而太复杂的密码又难以记忆。因此，市面上就有了多款帮助我们记录密码的软件服务，比如1password、Lastpass等。这些软件能够自动抓取我们提交的账号密码保存到云端，实现多终端同步、自动填充密码等功能。

虽说这类服务一般还是比较靠谱的，而且还有一些付费套餐。但是密码存在别人的服务器上你总是会有些不放心，谁知道哪天会不会出现数据泄露之类的问题？

鉴于此，本文分享一个基于腾讯云服务，低成本打造个人专属密码管理服务的方案。

一、准备工作

本文完整的方案会用到DNSPod、腾讯云CDN、CVM以及COS 4个云服务，因此我们先登录腾讯云控制台购买或激活服务：

• 个人域名一个，下文以 mm.zhangge.net 代替（必须，最好是备案过的域名，如果没有可以新注册一个）
• SSL证书一个（必须，可以申请腾讯云免费证书）
• 域名解析平台账号（必须，推荐使用 DNSPod）
• 腾讯云 CVM一台（必须，推荐安装Centos7.2以上版本系统，如果没有备案域名请购买香港或海外区域）
• 腾讯云 CDN服务（可选/推荐 ）
• 腾讯云 COS服务（可选/推荐）

Ps：对于新人，推荐使用【新人免费产品专区】的免费体验产品来落地方案，等决定正式启用也可以付费转为正式服务。

这里简单说下腾讯云免费证书的申请步骤：

1、首先打开腾讯云的免费证书申请页面，如图填写信息：

2、然后，在DNSPod管理的域名直接选自动验证即可，其他根据实际情况选择：

3、最后，等待自动颁发即可：

二、部署服务

注：以下步骤在全新的腾讯云CVM完成。

1、环境初始化

这里采用Docker部署方案，因此需要先安装Dcoker，安装步骤如下（已经有Docker环境的请跳过）：

# 1、登录root，获取在线安装脚本（这里直接使用root账号，简化流程）  curl -fsSL https://get.docker.com -o get-docker.sh    # 2、执行安装脚本  sh get-docker.sh --mirror AzureChinaCloud    # 3、修改Docker持久化目录(可选/推荐)  test -d /var/lib/docker &&       mv /var/lib/docker /var/lib/docker_backup &&       mkdir -p /data/docker &&       ln -sf /data/docker /var/lib/docker    # 4、开启镜像加速(可选/推荐)  cat >/etc/docker/daemon.json<<EOF  {    "registry-mirrors": [      "https://dockerhub.azk8s.cn",      "https://hub-mirror.c.163.com"    ]  }  EOF  # 5、启动Docker并加入开机启动项  systemctl daemon-reload  systemctl enable docker  systemctl start docker    # 6、验证是否安装成功(有Docker信息输出即为成功)：  docker info

2、部署Bitwarden

没错！本次私有密码管理方案正是基于Bitwarden，张戈已经使用半年有余，非常满意！

这里使用Docker一键部署方式，命令如下：

docker run -d       --name bitwarden       -p 8080:80       -p 3012:3012       --restart=always       -e SIGNUPS_ALLOWED=true       -e WEB_VAULT_ENABLED=true       -e DOMAIN=https://mm.zhangge.net       -v /data/bitwarden/data:/data       bitwardenrs/server:latest

3、部署反向代理（若使用腾讯云CDN则可以跳过此步骤）

Bitwarden必须启用HTTPS访问管理界面才能正常注册，所以如果不打算套一层腾讯云CDN来做安全加固的话，还需要在本地部署一个Nginx来代理Bitwarden，以便开启HTTPS，如果用腾讯云CDN的话，这步可以跳过：

Nginx代理配置步骤如下：

①、上传证书文件

上文我们已经提交了腾讯云免费证书申请，等成功颁发后，可以下载到证书文件包：

然后将解压后Nginx目录下的crt和key文件上传到服务器，放到/data/bitwarden/cert目录即可：

②、如下编写Nginx配置文件，保存为 /data/bitwarden/nginx/vhost.conf

server {    listen 443 ssl http2;    server_name mm.zhangge.net; # 根据实际情况修改！！！    ssl_certificate /data/bitwarden/cert/1_mm.zhangge.net_bundle.crt; # 根据实际情况修改！！！    ssl_certificate_key /data/bitwarden/cert/2_mm.zhangge.net.key>;# 根据实际情况修改！！！    ssl_session_cache shared:le_nginx_SSL:1m;    ssl_session_timeout 1440m;    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;    ssl_prefer_server_ciphers on;    ssl_ciphers "ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS";      # Allow large attachments    client_max_body_size 128M;      location / {      proxy_pass http://127.0.0.1:8080;      proxy_set_header Host $host;      proxy_set_header X-Real-IP $remote_addr;      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;      proxy_set_header X-Forwarded-Proto $scheme;    }      location /notifications/hub {      proxy_pass http://127.0.0.1:3012;      proxy_set_header Upgrade $http_upgrade;      proxy_set_header Connection "upgrade";    }      location /notifications/hub/negotiate {      proxy_pass http://127.0.0.1:8080;    }  }

③、启动Nginx容器

docker run -d       --name nginx       --restart=always       --net=host       -v /data/bitwarden/cert:/data/bitwarden/cert       -v /data/bitwarden/nginx/vhost.conf:/etc/nginx/conf.d/default.conf       nginx:latest

若无意外，我们只需要在DNSPod将 mm.foobar.com 这个域名解析到这个CVM服务器的公网IP就能正常打开Bitwarden的管理后台了 ：

Ps：其他反向代理配置可以参考：https://github.com/dani-garcia/bitwarden_rs/wiki/Proxy-examples

4、利用腾讯云CDN开启HTTPS

这里我们可以使用腾讯云CDN来实现HTTPS，同时对密码管理后台进行安全加固，可以有效防止网络上一些有心之人对这个敏感服务进行爆破等攻击。因为腾讯云CDN支持带端口的后端，所以上一步反向代理在使用腾讯云CDN的方案下是可以忽略不做的。

步骤如下：

①、打开腾讯云CDN管理界面，确认已经激活服务：https://console.cloud.tencent.com/cdn/access

②、点击添加域名：mm.zhangge.net，如图：

• 源站地址填写CVM公网IP+上文bitwarden容器的暴露端口8080（即可以跳过第5步，不需要本地再部署一份反向代理）；
• 回源协议选择 HTTP；
• 缓存配置务必改为0，即禁止缓存。

③、提交后找到CDN给分配的CNAME地址：

复制这个地址，前往DNS解析面板，如图新增一个CNAME解析：

④、启用HTTPS

在等DNS解析生效期间，我们回到腾讯云CDN配置面板，找到【高级配置】，启用HTTPS和HTTP2.0：

在证书选择界面，选择腾讯云托管证书即可自动加载到我们在上文申请到的免费证书了：

提交后，我们回到域名配置，开启强制HTTPS和HTTP2.0：

做完以上配置，我们就可以正常访问Bitwarden的后台管理了：https://mm.zhangge.net/，刚部署的服务还没有账号，此时我们点击【Create Account】创建我们自己的账号：

如图填写信息并提交：

提交后返回了登录界面，此时我们就可以用刚刚创建的账号来登录后台了：

喜欢中文界面的朋友可以在设置里面改为中文简体：

保存后重新登录就变成中文界面了：

最后，因为我们部署Bitwarden是私人使用场景，因此需要修改下Bitwarden的容器启动脚本，将前面的SIGNUPS_ALLOWED=true改为SIGNUPS_ALLOWED=false，也就是禁止用户注册。

具体步骤如下：

# 删除之前启动的bitwarden容器  docker rm -f  bitwarden  # 修改为禁止注册然后重新拉起容器  docker run -d       --name bitwarden       -p 8080:80       -p 3012:3012       --restart=always       -e SIGNUPS_ALLOWED=false       -e WEB_VAULT_ENABLED=true       -e DOMAIN=https://mm.zhangge.net       -v /data/bitwarden/data:/data       bitwardenrs/server:latest

这样一来，我们部署的Bitwarden就无法再新增注册用户了，当需要注册新用户时，只需要修改这个参数重建下容器即可 。

三、使用介绍

完成上述步骤后，我们已经部署了一套私有Bitwarden密码管理服务。下面简单介绍下常见使用场景。

1、数据导入

很多朋友肯定用过一些市面上的密码管理，比如Lastpas、1Password等 ，如果在这些第三方密码管理平台上已经存在历史密码数据，我们可以通过导出导入的方式将密码数据迁移到我们自己部署的Bitwarden上来 。里由于文章篇幅有限就不赘述了，网上已经有很多前人分享的文章，比如：https://www.cnblogs.com/woniu666/p/11922580.html。

2、客户端使用

Bitwarden支持Web、Chrome，Firefox、Opera 以及 Edge 浏览器插件，拥有 iOS、Android 客户端，因此我们可以根据需要选择安装Bitwarden的客户端即可。下面我主要介绍下Bitwarden的谷歌浏览器插件的使用。

①、安装插件

• 在线安装：打开谷歌浏览器扩展商店，搜索Bitwarden就可以安装；
• 离线安装：如果网络上不方便打开谷歌浏览器扩展商店的朋友，可以使用离线下载方式。

②、插件配置

安装后点击浏览器上的Bitwarden小盾牌图标，弹出如图界面，然后点击弹出层左上角的选项按钮，进入插件设置：

在设置界面，我们只需要填写【服务器URL】为上文自己部署的Bitwarden服务地址然后保存，这里也就是 https://mm.zhangge.net/:

保存后，我们就可以登录上文创建的账号了：

登录后，我们切换到右下角设置–>选项：

勾选自动填充选项，开启网页密码账号自动填充功能：

③、插件使用

现在我们随便找个需要登录的网页，填写账号密码点击登录后，Bitwarden插件就会弹出是否要保存的提示了，只要我们点击保存，下次再打开这个页面Bitwarden就能自动填充账号密码信息，如果是有多个账号，则需要点击小盾牌图标从列表里面选择一个账号来填充。

④、密码生成

Bitwarden插件同样还支持密码生成，我们在注册新的账号时，强烈推荐使用Bitwarden来生成随机密码，而不要使用我们经常好记的密码，这样安全性就能得到极大的提升。反正是这个随机密码由Bitwarden来记忆即可。

四、安全加固

自己的密码有多重要这事肯定不需要张戈来强调了，大家肯定都会谨慎对待。因此我们还需要对Bitwarden进行一些必要的安全加固。

1、使用CDN加固

这个前文已经介绍过了，就不赘述了。

2、两步登录

Bitwarden支持开启两步登陆，也就是在我们设定的静态主密码的基础上进一步开启了动态验证码二次验证登录。支持如下渠道：

这里推荐使用谷歌的Authenticator动态验证码APP，启动速度超快，IOS上直接搜索Authenticator就可以下载安装了。如图只需要3步就能完成动态验证器的关联：

完成操作后，我们再登录Bitwarden就需要在手机上打开动态验证码来进行两步验证了：

如此一来，我们登录Bitwarden，就需要使用动态验证码了，麻是麻烦点，但是更安全了！

3、数据备份

数据备份本身就是一个老生常谈、不能忽视的关键节点，更别提是我们的密码数据了！因此，对于Bitwarden我们还需要设置下定时的数据备份。这里依然使用张戈博客经常提到的7天循环数据备份方案，并保存一份副本到腾讯云的COS。

教程地址：https://zhang.ge/5117.html，先参考教程开通、设置下COS。

文章中的备份脚本在这里同样适用，这里再次贴一下脚本内容：

#!/bin/sh  ###################################################################  #  Web Backup version 1.0.0 Author: Jager <[email protected]>        #  # For more information please visit https://zhang.ge/5117.html #  #-----------------------------------------------------------------#  #  Copyright ©2016 zhang.ge. All rights reserved.              #  ###################################################################    isDel=n  args=$#  isDel=${!args}  # 设置压缩包解压密码  mypassword=123456    test -f /etc/profile && . /etc/profile >/dev/null 2>&1  baseDir=$(cd $(dirname $0) && pwd)  zip --version >/dev/null || yum install -y zip  ZIP=$(which zip)  TODAY=`date +%u`  PYTHON=$(which python)  MYSQLDUMP=$(which mysqldump)    # coscmd工具上传函数  uploadToCOS()   {       file=$2       domain=$1       file_name=$(basename $2)       coscmd upload $file $domain/$file_name       if [[ $? -eq 0 ]] &&  [[ "$isDel" == "y" ]]       then           test -f $2 && rm -f $2       fi   }    printHelp()  {  clear  printf '  =====================================Help infomation=========================================  1. Use For Backup database:  The $1 must be [db]      $2: [domain]      $3: [dbname]      $4: [mysqluser]      $5: [mysqlpassword]      $6: [back_path]      $7: [isDel]    For example:./backup.sh db zhang.ge zhangge_db zhangge 123456 /home/wwwbackup/zhang.ge    2. Use For Backup webfile:  The $1 must be {file}:      $2: [domain]      $3: [site_path]      $4: [back_path]      $5: [isDel]    For example:./backup.sh file zhang.ge /home/wwwroot/zhang.ge /home/wwwbackup/zhang.ge  =====================================End of Hlep==============================================    '  exit 0  }    backupDB()  {      domain=$1      dbname=$2      mysqluser=$3      mysqlpd=$4      back_path=$5      test -d $back_path || (mkdir -p $back_path || echo "$back_path not found! Please CheckOut Or feedback to zhang.ge..." && exit 2)      cd $back_path      #如果是要备份远程MySQL，则修改如下语句中localhost为远程MySQL地址      $MYSQLDUMP -hlocalhost -u$mysqluser -p$mysqlpd $dbname --skip-lock-tables --default-character-set=utf8 >$back_path/$domain_db_$TODAY.sql      test -f $back_path/$domain_db_$TODAY.sql || (echo "MysqlDump failed! Please CheckOut Or feedback to zhang.ge..." && exit 2)      $ZIP -P$mypassword -m $back_path/$domain_db_$TODAY.zip $domain_db_$TODAY.sql &&       uploadToCOS $domain $back_path/$domain_db_$TODAY.zip  }    backupFile()  {      domain=$1      site_path=$2      back_path=$3      test -d $site_path || (echo "$site_path not found! Please CheckOut Or feedback to zhang.ge..." && exit 2)      test -d $back_path || (mkdir -p $back_path || echo "$back_path not found! Please CheckOut Or feedback to zhang.ge..." && exit 2)      test -f $back_path/$domain_$TODAY.zip && rm -f $back_path/$domain_$TODAY.zip      $ZIP -P$mypassword -9r $back_path/$domain_$TODAY.zip $site_path &&       uploadToCOS $domain $back_path/$domain_$TODAY.zip  }    while [ $1 ]; do      case $1 in          '--db' | 'db' )          backupDB $2 $3 $4 $5 $6          exit          ;;          '--file' | 'file' )          backupFile $2 $3 $4          exit          ;;          * )          printHelp          exit          ;;      esac  done  printHelp

将代码保存到 /data/bitwarden/opt/backup.sh，然后手工执行一次数据备份看看效果：

bash /data/bitwarden/opt/backup.sh file mm.zhangge.net /data/bitwarden/data /data/bitwarden/backup 

若备份成功，我们在crontab新增一个定时任务，实现定期备份数据：

# 编辑crontab  crontab -e  # 插入一条定时任务：  0 3 * * * bash /data/bitwarden/opt/backup.sh file mm.zhangge.net /data/bitwarden/data /data/bitwarden/backup >/dev/null 2>&1

五、总结

本文结合腾讯云CDN、CVM、COS、DNSPod及免费SSL证书等服务，基于Bitwarden开源密码管理软件打造了个人私有密码管理服务。并在常见使用场景及安全加固方面做了较为详细的介绍。想自己部署私有密码管理服务的朋友可以参考完成。如果觉得阅读本文后任何疑问都可以在本文后面留言说明，张戈会定期回复。另外，本文参加了【玩转腾讯云】的征文活动，欢迎大家转发、点赞。

最后，附上本文部署的Bitwarden Demo（非长期提供，请勿正式使用），方便大家尝鲜、对比：

• Demo地址：https://mm.zhangge.net/
• Demo账号：[email protected]
• Demo密码：vFnP9QJFoTB5N6

因属于公开服务，请大家千万不要记录真实密码，避免带来不必要的损失！！