Установка и настройка Bitwarden как аддона Home Assistant

Кратко о задаче

Этот гид объясняет, как развернуть самохостингованную систему управления паролями на базе Bitwarden (Vaultwarden) в Home Assistant, как обеспечить защищённый HTTPS-доступ через Cloudflared Tunnel и как настроить устройства пользователей. Vaultwarden — это лёгкая совместимая реализация сервера Bitwarden, оптимальная для Raspberry Pi.

!— Изображения сохранены и пути не изменены —

Для чего это нужно

• Самохостинг даёт полный контроль над данными паролей.
• Нет постоянной платы — ПО с открытым исходным кодом.
• Доступ с любого устройства через зашифрованный туннель (Cloudflared) и поддержка MFA.

Требования и предпосылки

• Home Assistant Supervised (рекомендуется Home Assistant OS) на Raspberry Pi 4 (4 ГБ или 8 ГБ) или другой поддерживаемой платформе.
• Доступ к панели Home Assistant с учётной записью администратора.
• Домен (можно бесплатный на Freenom) и учётная запись Cloudflare для управления DNS и туннелем.
• Базовые навыки редактирования YAML и работы с аддонами Home Assistant.

Важно: для неподдерживаемых установок (Home Assistant Core на ПК) придётся ставить и настраивать аддоны вручную через SSH/CLI.

Шаг 1 — Установка аддона Vaultwarden (Bitwarden)

1. Войдите в Home Assistant и откройте Settings > Add-ons.
2. Нажмите ADD-ON STORE.
3. В строке поиска найдите «Vaultwarden (Bitwarden)».
4. Нажмите Install и дождитесь завершения установки (обычно меньше минуты).

5. Включите опции Start on boot, Watchdog и Auto-update (рекомендуется).
6. Нажмите Start.

Если аддона нет в магазине — добавьте репозиторий по ссылке из описания аддона и установите его.

После старта сервер доступен локально по адресу http://:7277 (например, http://192.168.0.111:7277). Но создание учётных записей возможно только после настройки HTTPS.

Шаг 2 — Проброс и SSL через Cloudflared Tunnel

Cloudflared создаёт исходящий в Cloudflare туннель, дающий HTTPS URL без настройки порт-форвардинга на роутере.

1. Зарегистрируйте домен (Freonom либо купленный домен) и добавьте его в Cloudflare; включите защиту HTTPS.

2. В Home Assistant добавьте нужный репозиторий аддонов и установите Cloudflared (через Settings > Add-Ons).

3. Установите аддон Cloudflared, включите Start on boot и Watchdog.
4. Откройте Configuration аддона и выберите Edit in YAML. Вставьте конфигурацию, заменив YourDomainName и IP сервера на ваши значения. Порт оставьте 7277:

additional_hosts:
  - hostname: bitwarden.YourDomainName.org
    service: http://192.168.0.111:7277
external_hostname: YourDomainName.org
tunnel_name: bitwardenserver
tunnel_token: ""
nginx_proxy_manager: false
log_level: debug
warp_enable: true
warp_routes:
  - 192.168.0.2/24

5. Сохраните и перезапустите аддон.
6. Откройте вкладку Log у аддона Cloudflared; через несколько секунд появится URL Cloudflare. Скопируйте и откройте его в браузере; вы попадёте на страницу авторизации Cloudflare.

7. Войдите в Cloudflare, выберите домен и нажмите Authorize — туннель будет создан.

8. В Home Assistant откройте File Editor и добавьте в configuration.yaml следующие строки (Edit → Save):

http:
  use_x_forwarded_for: true
  trusted_proxies:
    - 172.30.33.0/24

9. Проверьте конфигурацию в Developer Tools → Check Configuration. Если всё валидно, перезапустите Home Assistant.

10. После перезапуска ваш Bitwarden будет доступен по https://bitwarden.yourdomainname.com (или используемому внешнему имени).

Совет: проверьте DNS-записи в Cloudflare — A/AAAA не нужны для туннеля; достаточно CNAME/Cloudflare Tunnel настроек, которые создал аддон.

Шаг 3 — Первичный доступ и админ-токен

1. Аддон при первом запуске выводит в лог административный токен (admin token). Скопируйте его — он выводится только один раз.
2. Админ-панель доступна по https://bitwarden.yourdomainname.org/admin. Вставьте admin token для входа.

Если токена нет в логах — переустановите аддон и повторно проверьте лог после старта.

Важно: храните admin token в защищённом месте. При потере токена может потребоваться переустановка.

Отключение публичных регистраций

По умолчанию любой, у кого есть URL сервера, может зарегистрироваться и создать хранилище. Отключите регистрацию:

1. Откройте админ-панель: https://bitwarden.yourdomainname.org/admin.
2. В разделе настроек найдите опцию регистрации (Sign-ups) и отключите её.
3. При необходимости создавайте учётные записи вручную через админ-панель или используйте приглашения.

Также включите двухфакторную аутентификацию (2FA) и политики сложности паролей.

Настройка клиентов: Android / iOS

1. Установите Bitwarden Password Manager из Google Play или App Store.
2. Откройте приложение → значок шестерёнки (Settings) → Server URL → укажите https://bitwarden.yourdomainname.com → Save.

3. Нажмите Log In и введите учётные данные. При включённой 2FA — введите код.

Совет: при массовой раздаче учётных записей предлагается подготовить инструкцию для пользователей с шагами входа и требованиями к паролю.

Настройка в браузере

1. Установите расширение Bitwarden для вашего браузера (Chrome, Firefox, Edge и др.).

2. Откройте расширение → значок Gear → Server URL → укажите https://bitwarden.yourdomainname.com → Save.

3. Нажмите Login и введите учётные данные.

Поведение одинаково для большинства браузеров — главная настройка это URL сервера.

Экспорт/импорт данных

• Экспорт: можно выгрузить пароли из браузера в CSV/JSON и импортировать в Vaultwarden через настройки пользователя или админа.
• Регулярно делайте резервные копии каталога аддона (папка данных Vaultwarden в Home Assistant) и копии базы данных (обычно файл db.sqlite3 или подобный).

Рекомендация: перед массовым импортом сделайте тестовый импорт одной учётной записи.

Безопасность и жёсткая настройка (Hardening)

1. Всегда используйте HTTPS и туннели типа Cloudflared, чтобы не открывать порты на роутере.
2. Включите Watchdog у аддонов для автоматического перезапуска при сбое.
3. Настройте двухфакторную аутентификацию для всех пользователей.
4. Ограничьте доступ к админ-панели только с доверенных IP или используйте VPN в дополнение к туннелю.
5. Регулярно применяйте обновления аддонов и Home Assistant (и тестируйте обновления в контролируемом окне).
6. Шифруйте резервные копии и храните их в нескольких местах.

Совет по паролям: используйте генератор Bitwarden для уникальных, длинных и случайных паролей для каждой учётной записи.

Резервное копирование и восстановление

• Создавайте резервные копии папки с данными аддона Vaultwarden и конфигурации Home Assistant перед обновлением.
• Храните бекапы вне устройства (NAS, облако) в зашифрованном виде.
• Процедура восстановления: остановите аддон → замените данные в каталоге аддона на резервную копию → запустите аддон.

Критерии приёмки

• Сервер доступен по HTTPS извне.
• Регистрация отключена (если требуется).
• Админ-панель доступна с админ-токеном.
• Клиенты (мобильный и браузерный) успешно подключаются и синхронизируют записи.

Тесты и критерии приёмки

• Открыть доступ к https://bitwarden.yourdomainname.com и убедиться, что сертификат валиден.
• Попробовать вход в браузере и на мобильном устройстве.
• Создать тестовый объект «логин» и проверить синхронизацию между устройствами.
• Отключить регистрацию и проверить, что новый пользователь не может зарегистрироваться.

Типичные проблемы и их решения

• Аддон не стартует: проверьте логи, возможен конфликт порта или отсутствие прав на каталог данных.
• Нет admin token в логах: переустановите аддон и внимательно смотрите лог после первого старта.
• DNS/Cloudflare не направляет трафик: проверьте, что туннель зарегистрирован и что правила DNS в Cloudflare корректны.

Альтернативы и когда это не подходит

• Если вы не хотите управлять сервером — используйте SaaS Bitwarden (платный/бесплатный вариант).
• Если у вас нет стабильного внешнего канала или вы не доверяете туннелям — рассмотрите VPN-решение для доступа внутри домашней сети.
• Для крупных организаций нужна полноценная поддержка, интеграции и SLA — самохостинг на Home Assistant подойдёт для частного и малопрофильного использования.

Роли и чек-листы

Администратор:

• Добавить домен в Cloudflare.
• Установить Vaultwarden и Cloudflared аддоны.
• Сохранить admin token.
• Отключить регистрацию и настроить 2FA.
• Настроить резервное копирование и мониторинг.

Пользователь:

• Установить приложение Bitwarden.
• Ввести Server URL.
• Создать мастер-пароль (сохранить в безопасном месте).
• Включить 2FA.

Практическая методология развертывания (мини-SOP)

1. Подготовка: обновите Home Assistant и снимите резервную копию.
2. Установка: поставьте Vaultwarden, затем Cloudflared.
3. Конфигурация: настройте YAML для Cloudflared и trusted_proxies.
4. Валидация: проверьте логи, авторизуйте туннель в Cloudflare.
5. Жёсткая настройка: отключите регистрации, включите MFA, настройте политики паролей.
6. Документирование: сохраните токены, инструкции и план восстановления.

Модель зрелости (уровни)

• Уровень 1 — Локальное тестирование (доступ только в локальной сети).
• Уровень 2 — Доступ извне через Cloudflared, базовая защита (MFA, отключение регистрации).
• Уровень 3 — Политики, аудит, автоматизированные бекапы и мониторинг.

Короткая памятка (cheat sheet)

• Локальный порт: 7277
• Настройка Cloudflared: external_hostname → ваш домен
• Trusted proxy для Home Assistant: 172.30.33.0/24
• Хранение admin token: единовременно при старте аддона

Мини-дерево принятия решения (Mermaid)

flowchart TD
  A[Нужен доступ извне?] -->|Да| B[Cloudflared Tunnel]
  A -->|Нет| C[Локальный доступ по LAN]
  B --> D{Есть домен?
}
  D -->|Да| E[Добавить домен в Cloudflare]
  D -->|Нет| F[Использовать Freenom/купить домен]
  E --> G[Настроить аддон Cloudflared]
  G --> H[Перезапустить и авторизовать туннель]
  H --> I[Проверка HTTPS и доступности Bitwarden]

Сводка

С помощью Home Assistant и аддона Vaultwarden вы можете быстро получить собственный менеджер паролей без подписки. Для безопасного доступа используйте Cloudflared туннель, отключайте публичные регистрации, включайте MFA и регулярно делайте резервные копии. Документируйте admin token и процедуры восстановления.

Important: сохраняйте конфиденциальные данные (admin token, бекапы) в зашифрованном хранилище и ограничьте их доступ.

Факт-бокс

• Рекомендуемая платформа: Raspberry Pi 4 (4 ГБ/8 ГБ).
• Локальный порт: 7277.
• Обязательные шаги: Cloudflared для HTTPS, trusted_proxies в configuration.yaml, отключение регистрации.

Глоссарий (одна строка)

• Vaultwarden — лёгкая реализация сервера Bitwarden, совместимая с клиентами Bitwarden.
• Cloudflared — клиент Cloudflare для создания исходящих туннелей (Cloudflare Tunnel).
• MFA/2FA — многофакторная аутентификация, дополнительный уровень защиты учётных записей.

Короткое объявление (для домашней рассылки, 100–200 слов) Установлен самохостинг Bitwarden (Vaultwarden) на нашем Home Assistant. Теперь вы можете безопасно хранить и синхронизировать пароли через зашифрованный Cloudflared туннель. Для доступа установите приложение Bitwarden и в настройках укажите URL сервера: https://bitwarden.yourdomainname.com. Регистрация отключена — аккаунты создает администратор. Включите двухфакторную аутентификацию при первом входе и следуйте инструкциям по смене мастера-пароля. Для вопросов обращайтесь к администратору.