起初以为是昨天看到docker镜像有更新,就直接手动点了更新,没有停止再yaml拉取重构.
之前续费了好几年1pass,今年开源节流,不续了! 心想着这才转过几个月就出问题,赶紧把log扔给gpt,
chat一番之后G大夫说道:大事木有,就SMTP配置有点小毛病所以导致容器无法启动,需要改成force_tls即可痊愈."
*运行久了不出问题就会忘...
重新拉取镜像时GPT提到:说 latest 是不带webui…啊?之前不都 latest 嘛,行吧换
差点没吓死,赶紧查了下docker映射到本地的文件,还在…
这种时候就喜欢抓瞎碰运气.漫无目的的排查两个nas这里搓搓那里点点.
*之前几年都是用其中一个nas反代到公网.也不清楚其中一太nas为什么不能反代本机跑的应用公网,另一台来反代就没问题内外都通,所以两台都设置了各种一堆项目的反代,因为项目是隔三差五慢慢累积添加进来的,现在看来乱得一B,别说隔几个月,一周不看就能忘,本来能用就不纠结的原则就这么用了几年
两台都要反代就做了自动SSL更新,就先怀疑脚本没跑起来,马上就发现了华点,网页的证书时间跟俩nas的证书都不一样.这尼玛又卡壳半个小时.
*说到自动部署ssl,也是各种心累,之前几年都tm靠每三个月手动搓,今年娃出了,真的没时间,逼着学自动部署amce有群晖钩子,但是我试下来没生效,还用gpt手搓了个查找目录替换版...思路就主打一个实用(野生).
又是点来点去的几十分钟
,突然想起上个月搞了个雷池玩,反代都做雷池上了.雷池的自动ssl比nas简单多了… 这才对上,结果想起来是因为开了bot验证,同步有问题,就把这条设置删了,关键删了还没验证.因为它离线也能用,后来一段时间也没新增和修改就同步过.
*以后多些日记~~日志~~再把网络拓扑做了.设备越用越多,年龄越来越大,靠记忆排查起来要老命.
由于知识盲区太多,然后又请教了G大夫,怎么才能用上waf的功能又能在客户端连接…
Vaultwarden 是 API 服务,不能通过 JS 验证、验证码或交互式挑战
开启的这些防护手段,本质上是拦截非浏览器访问行为(如脚本、爬虫、自动化请求),但 Vaultwarden 的官方客户端、浏览器扩展、移动 App 都是直接请求 API,它们:
* 不会执行 JS(被身份认证机制挡下)
* 不支持 cookie 跳转
* 不处理验证码交互
* 遇到 403/JS challenge 会直接失败
🛡️ 替代防护建议
场景 推荐防护机制
暴力破解 启用 Vaultwarden 的登录限速参数(你已配置过)
扫描器、自动化工具 配合雷池的 User-Agent 黑名单 / IP 黑名单
全站限速 启用 CC 防护,但策略设置得更宽松,例如:
每 IP 每分钟允许 60 次 /api 请求
滑动验证/JS挑战 仅对人类浏览器入口开启,如 /、/admin,但必须放行 /api, /identity, /connect/token 等 API 路径
✅ 分路径差异策略配置建议(雷池)
路径 建议策略
/admin 开启 JS 验证 + BOT 防护
/api 禁止 JS 验证,允许直接访问
/identity 同上
/connect/* 同上
/(首页) 可开启 Cookie 验证、轻度 BOT 防护
所有路径 启用轻度 CC 防护(比如每 IP 每分钟 100 次)
✅ 总结
问题 原因 解决方式
客户端无法连接 雷池身份认证机制拦住非浏览器请求 对 API 路径关闭 BOT 与身份认证
雷池还能用么? 可以,前提是合理配置路径级别策略 继续启用 CC、防 SQL 注入、防探测
1. 雷池不支持通配策略模板应用多路径
2. 每条路径必须单独建立匹配规则 + 策略绑定
3. 它更偏向于「WAF + Web路由白名单」思路,而不是传统反代控制器
你应该手动创建这些路径匹配规则,每个路径绑定不同策略:
路径匹配 防护策略建议
/api/* 放行(关闭 JS 验证、BOT、防身份验证)
/connect/* 放行(同上)
/identity/* 放行(同上)
/admin* 开启 BOT 防护、身份认证、防CC
/(首页访问) 可适当开启身份验证,阻止探测
其他如 /web* 可选加 JS 挑战(但注意不影响 API)
配置完毕后务必测试:
✅ Web UI 可正常加载
✅ 浏览器插件登录成功
✅ 手机 App 登录成功
✅ 管理员后台触发验证码或验证机制
Vaultwarden 现在可以实现:
「自建密码系统 + API 安全接入 + 管理后台强防护 + 全客户端可用」
完美结合稳定与安全 💪
噢,还能这么玩的,路径跟规则对齐颗粒度呗,又学到了新姿势.~纯属没事找事,一堆应用又要折腾了..
啊,真是有意义的假期!
早点睡了明天起来换AP
