Instalación de Vaultwarden y la importancia de un buen gestor de contraseñas

¿Qué es Vaultwarden?

Vaultwarden es una alternativa ligera a Bitwarden, un conocido gestor de contraseñas de código abierto. Vaultwarden permite a los usuarios gestionar y proteger sus contraseñas en una instancia autohospedada, lo que significa que tenés control total sobre dónde se almacenan tus datos y cómo se accede a ellos. Esto es fundamental para quienes buscan una solución segura y privada sin depender de servicios de terceros.

¿Por qué es importante un gestor de contraseñas?

Hoy en día, la mayoría de nosotros tenemos múltiples cuentas online y, lamentablemente, mucha gente sigue utilizando contraseñas débiles o las reutiliza en varios servicios, lo que es un riesgo enorme. Un gestor de contraseñas seguro y confiable, como Vaultwarden, ayuda a reducir estos riesgos. Con Vaultwarden, podés generar y guardar contraseñas únicas para cada cuenta, lo cual es clave en una estrategia de ciberseguridad. Además, Vaultwarden permite usar autenticación multifactor (MFA), una medida esencial para reforzar la seguridad.

Instalación y Configuración Básica de Vaultwarden

1. Crear una carpeta para vaulwarden

mkdir docker-vaulwarden

2. Descargate ahi dentro los archivos de configuración de mi github

3. Modifcar los parametros en vaultwarden.env segun tus necesidades

4. Ingresar a la carpeta e iniciar el deploy

cd docker-vaulwarden
docker compose up -d

5.Listo! Ya podes ingresar via web a verificar el sistema, http://localhost

¿Cómo verificar los logs del contenedor?

Para verificar qué logs arroja el contenedor, lo primero que tenes que saber en que en las variables de ambiente vaultwarden.env  se configuró en el LOG_LEVEL en modo WARNING

Entonces para verificar los LOGs

 docker logs accesos

Recomendaciones de seguridad

Si necesitas exponer el servicio a internet o una intranet, te dejo algunas recomendaciones de seguridad a tener en cuenta:

1. Todos los usuarios deberían tener configurado al menos dos métodos de MFA (Authenticator App / Mail).
   

2. Segmentar los accessos por grupos y colecciones.
   

3. Configurar un servicio de correo y activar alertas.
   

4. Es recomendable para las cuentas superadmin usar un dispositivo físico de autenticación de dos factores como Yubikey.
   

5. Utilizar servicios como Fail2Ban es recomendable para prevenir ataques.
   

6. Configurar HTTPs y forzar el reenvío de HTTP a HTTPs es una recomendación de seguridad. Puedes utilizar servicios como letencrytp-certbot para ello.
   

7. Políticas de backup y recuperación también son una buena recomendación en entornos críticos como este.
   

8. Para entornos coporativos, integrar la autenticación via SAML, utilizar un agente de antivirus, agente de EDR y reenvío de logs a un SIEM sobre el entorno de docker para evitar que la información sea vea comprometida en caso de un ataque.
   

9. Proteger el acceso con un WAF tipo SaaS en caso de que expongas el servicio a internet. Cloudflare suele ser una buena alternativa para ello.
   

10. Monitorizar el estado de salud general del host y el contenedor desde desde una sistema externo. Esto es fundamental para tener visibilidad del estado del servicio y anticiparce a fallas o detectar anomalías.