Anleitung: Bitwarden auf NixOS & Smartphone (Ohne Cloud und NAS)

[D.S.i.u.S.]

Diese Anleitung ermöglicht die Nutzung von Bitwarden auf NixOS und Smartphone ohne externe Cloud und ohne separaten Homeserver.

Warum Bitwarden?
Ich habe lange Zeit KeePassXC genutzt und musste leider Alternative dafür suchen. KeePassXC auf NixOS und Keepass2Android auf Smartphone läuft nicht rund, es zickt oft mal herum und das Design wirkt etwas altbacken. Auf der Suche nach einer modernen Lösung, die ohne Abo, ohne externe Cloud und ohne teure NAS-Hardware auskommt, bin ich bei Vaultwarden gelandet.

Das Konzept:
NixOS-PC fungiert als Vaultwarden. Bitwarden auf dem Smartphone außerhalb der Wohnung läuft im Offline-Modus(Read-only). Sobald man die Bitwarden-App auf dem Smartphone entsperrt, während man im Heimnetzwerk ist, findet der Abgleich mit dem PC statt.

1. Vaultwarden & Caddy in der configuration.nix einrichten
Code-Block für configuration.nix

# Vaultwarden
services.vaultwarden = {
  enable = true;
  config = {
    ROCKET_ADDRESS = "127.0.0.1";
    ROCKET_PORT = 8222;
    SIGNUPS_ALLOWED = true; # Kontoregistrierung true = ein false = aus
  };
};
services.caddy = {
  enable = true;
  virtualHosts."https://192.168.178.24:8443" = {
    extraConfig = ''
      reverse_proxy /notifications/hub* localhost:3012
      reverse_proxy localhost:8222
      tls internal 
    '';
  };
};
networking.firewall.allowedTCPPorts = [ 8222 8443 ];

Wichtige Hinweise zur Konfiguration:

• Caddy-Proxy sorgt für eine sichere HTTPS-Verbindung im Heimnetzwerk.
• PC-IP ermitteln: Im Terminal fastfetch eingeben. Unter dem Punkt Local IP findet man die Adresse. Als Alternative wäre der Befehl hostname -I
• 192.168.178.24 durch die tatsächliche IP deines PCs ersetzen.
• Sicherheit: SIGNUPS_ALLOWED auf false setzen und sudo nixos-rebuild switch ausführen sobald man erstes Benutzerkonto erstellt hat. Das verhindert, dass andere Personen Konten auf dem "Server" anlegen können

2. Das Zertifikat exportieren.
Das von Caddy erzeugte Zertifikat (root.crt) kopieren und die Rechte anpassen.
Befehl im Terminal:

sudo cp /var/lib/caddy/.local/share/caddy/pki/authorities/local/root.crt ~/Sync/root.crt && sudo chmod 644 ~/Sync/root.crt && sudo chown $USER:users ~/Sync/root.crt

• ~/Sync/ durch den Pfad, den man für den Datenaustausch nutzt ersetzen
• Das $USER im Befehl setzt automatisch aktuell angemeldeten Benutzernamen ein.
• Die Datei root.crt muss auf Smartphone übertragen werden, damit der "Network Error" dort verschwindet.

3. Das Zertifikat importieren
Auf dem Smartphone
Auf dem Smartphone nach CA-Zertifikat in Einstellungen suchen --> "Von Speicher installieren"

Im PC-Browser (Firefox)

• Die Firefox-Einstellungen öffnen und nach "Zertifikate" suchen
• Auf "Zertifikate verwalten" klicken --> "Zertifizierungsstellen" --> Importieren...
• root.crt auswählen und den Haken bei "CA vertrauen, um Websites zu identifizieren" setzen

4. Konto erstellen und Datenbank importieren
Das erste Konto erstellen

• Am PC im Browser https://192.168.178.24:8443 öffnen(durch deine IP ersetzen)
• Hauptkonto mit einer E-Mail-Adresse und einem starken Master-Passwort erstellen
• SIGNUPS_ALLOWED auf false in configuration.nix setzen

Umzug von KeePassXC Datenbank zu Bitwarden

• In KeePassXC die Datenbank als CSV-Datei exportieren
• In Vaultwarden importieren
• CSV-Datei mit shred -u ~/dein-pfad/passwoerter.csv Shredden

5. Android Autofill aktivieren
In Einstellungen nach AutoFill-Dienst suchen und Bitwarden auswählen

Backup-Hinweis:
Die verschlüsselten Passwörter liegen unter /var/lib/bitwarden_rs. Es empfiehlt sich, diesen Ordner regelmäßig zu sichern (z. B. mit einem Backup-Tool deiner Wahl)


Ich hoffe, dass ich nichts vergessen habe. Bitwarden kann ich nicht mit Fingerabdruck entsperren, weil wahrscheinlich mein Smartphone zu alt ist, aber das ist ok. Ich finde Bitwarden viel angenehmer als KeePassXC.

 

[sedot]

Auch wenn ich kein NixOS nutze danke für den Hinweis, werde ich mich mal mit auseinanderzusetzen.

 

[D.S.i.u.S.]

Man kann Bitwarden als Firefox Erweiterung oder als Bitwarden App installieren.

Es kann vorkommen, dass Firefox die Seite https://192.168.178.24:8443 beim ersten Aufruf immer noch als "Nicht sicher" markiert.
Dann auf "Erweitert" und "Weiter zu ..." klicken.

 

[cfreak84]

Der offline-Modus funktioniert nur maximal 30 Tage.
Falls du also mal länger im Urlaub oder unterwegs bist, hast du keinen Zugriff auf deine Passwörter ab Tag 31.

 

[pumuck|]

korrekt. Ausserdem ist das ziemlich blöd nur zu hause neue Passwörter anlegen zu können. Was hindert dich an einem wireguard setup für unterwegs.

 

[D.S.i.u.S.]

Ich nutze mein Smartphone meistens nur für Telefonieren, Fotos oder Threema. Nur manchmal brauche Ich die Passwörter. Momentan besteht kein Bedarf eines Homeservers. Vielleicht später irgendwann, wenn ich Bock habe. Auf NixOS funktioniert Bitwarden 1A.