Kendi Şifre Yöneticinizi Kurmak O Kadar Zor Değil
Günümüzde birçok bulut tabanlı hizmetin giderek daha fazla özellik için abonelik modeli benimsemesiyle, açık kaynaklı (FOSS) ekosistem gizlilik odaklı kullanıcılar için güvenli bir liman haline geldi. Özellikle konteynerleştirme teknolojilerini kullanarak, ücretli veya reklamlarla dolu birçok aracı açık kaynak alternatifleriyle değiştirmek mümkün. Ancak, bazı servislerin kurulumu ve bakımı yeni başlayanlar için göz korkutucu görünebilir. Şifre yöneticileri de bu listede üst sıralarda yer alıyor.
Uzun süre tarayıcı tabanlı, güvensiz eklentiler kullanmış biri olarak, kendi şifre yöneticimi kurma fikriyle uzun süre tereddüt yaşadım. Ancak Vaultwarden gibi çözümlerle tanıştıktan ve yaklaşık iki yıldır şifrelerimi, iki faktörlü kimlik doğrulama (TOTP) kodlarımı, özel belgelerimi ve API anahtarlarımı barındırmak için kullandıktan sonra şunu rahatlıkla söyleyebilirim: Kendi kendine barındırılan (self-hosted) şifre yöneticileri, birçok kişinin düşündüğü gibi bir güvenlik veya bakım kabusu değil.
Güvenliği Sağlamak Elinizde
Üçüncü parti şifre yöneticilerinin en büyük avantajı, sunucularını kötü amaçlı yazılımlardan, fidye yazılımlarından ve diğer internet tehditlerinden koruma endişesi duymamanız. Ancak unutmamak gerekir ki, evinizdeki kişisel sunucunuzun hedef alınma olasılığı, büyük bulut platformlarını çökertmeye çalışan botnetler ve hacker grupları tarafından hedef alınmaktan çok daha düşüktür.
Elbette, ortalama bir kullanıcının ev laboratuvarının, üst düzey şifre yöneticilerinden daha güvenli olduğunu söylemek mümkün değil. Ancak doğru önlemleri alırsanız, kendi kendine barındırdığınız şifre yöneticinizi, sürekli olarak güvenlik açıkları çıkan ortalama bulut platformlarından çok daha zor hedef haline getirebilirsiniz.
Sunucunuzu Güçlendirme Yöntemleri
Anahtar tabanlı kimlik doğrulamayı etkinleştirmek, sağlam güvenlik duvarı kuralları oluşturmak, Fail2Ban gibi araçları yapılandırmak ve gereksiz servisleri devre dışı bırakmak gibi birçok yöntemle sunucunuzun temelini güçlendirebilirsiniz. En önemlisi ise, şifre yöneticinizi internetin genel erişimine asla açmamalısınız.
İnternete Açık Bırakmayın!
Üçüncü parti şifre yöneticilerinin aksine, kendi kendine barındırdığınız çözümünüz, belirli ayarlar yapılmadan ev ağınızın dışından erişilebilir olmayacaktır. Port yönlendirme (port-forwarding) gibi yöntemlerle uzaktan erişim sağlamak mümkün olsa da, güvenlik riskleri nedeniyle bu yöntemi önermiyorum. Buradaki kritik nokta ise VPN kullanımı.
Eğer şifre yöneticinize farklı ağlardan erişmek istiyorsanız, WireGuard veya OpenVPN gibi bir VPN sunucusu kurabilir ve istemci cihazınız ile sunucunuz arasında şifreli bir tünel oluşturabilirsiniz. Ben kendi ağımda CGNAT kullanıldığı için yerel VPN kuramıyorum, bu yüzden Vaultwarden konteynerime uzaktan erişim için Tailscale kullanıyorum. Tailscale tam olarak kendi kendine barındırılan bir araç olmasa da, güvenli yapısı ev laboratuvarımda kullanmaya değer kılıyor. Ayrıca ailem için güçlendirilmiş erişim kontrol listeleri (ACL) oluşturdum ve iznim olmadan kimsenin yeni cihaz bağlayamayacağından emin olmak için Tailscale’i yerel modda yapılandırdım.
Sunucu Çökse Bile Şifrelerinize Erişebilirsiniz
Kişisel sunucu denemelerim sırasında sık sık sunucumu çökerttiğim ve tüm kendi kendine barındırılan uygulamalarımın erişilemez hale geldiği zamanlar oldu. Sunucu deneylerimin yanı sıra, donanım arızası, ağ sorunları ve diğer beklenmedik olaylar da her zaman setup’ımı etkileyebilir. Bu nedenle Vaultwarden kurarken en büyük korkum, bir şeyler ters gittiğinde tüm şifrelerime erişimi kaybetmek ve önemli hesaplarımdan kilitlenmekti.
Neyse ki, bu korkum yersiz çıktı. Çünkü istemci uygulamaları, Vaultwarden örneğine bağlandığınızda şifre veritabanını yerel olarak kaydediyor. Elbette sunucuya erişim kaybı, uygulamanın senkronizasyon yeteneklerini kısıtlar. Ancak eski şifreleriniz, belgeleriniz ve kimlik doğrulama kodlarınız, sunucunuzu tekrar çevrimiçi duruma getirene kadar erişilebilir durumda kalır. Hatta mevcut veritabanını başka bir platforma taşıyabilir veya en azından uygulama üzerinden kayıtlı kimlik bilgilerinizin bir kopyasını alabilirsiniz, böylece şifrelerinizi kaybetme riskiyle dijital olarak mahsur kalmazsınız.
Şifre Yöneticiniz İçin Yardımcı Araçları da Kendi Kendinize Barındırabilirsiniz
Tailscale ve Fail2Ban dışında, Vaultwarden sunucumla iyi entegre olan birkaç araç daha kullanıyorum. Tekli Oturum Açma (SSO) ihtiyaçlarım için Authentik kullanıyorum ve bu şifre yöneticimle uyumlu çalışıyor. Vaultwarden örneğimin IP adresini hatırlamak zorunda kalmamak için zaten Nginx Proxy Manager kullanıyorum ve bu hafta sonu onu Fail2Ban ile birleştirerek kurulumuma ek bir güvenlik katmanı eklemeyi planlıyorum. Son olarak, Vaultwarden anlık görüntülerini güvenli bir şekilde saklamak için yerel ve uzak olmak üzere iki adet Proxmox Backup Server örneğim var.
Vaultwarden Nedir?
Vaultwarden, popüler şifre yöneticisi Bitwarden’ın daha hafif ve kendi kendine barındırılabilen bir alternatifidir. Açık kaynaklı olması ve düşük sistem gereksinimleriyle öne çıkar. Kendi sunucunuzda çalıştırarak şifreleriniz ve diğer hassas bilgileriniz üzerinde tam kontrol sahibi olmanızı sağlar.
Özetle
Kendi şifre yöneticinizi kurmak, başlangıçta biraz karmaşık görünse de, doğru araçlar ve yöntemlerle oldukça yönetilebilir hale gelir. Güvenlik önlemlerini aldığınız ve internete açık bırakmadığınız sürece, verilerinizin kontrolü tamamen sizde olur. Bu, gizliliğe önem veren kullanıcılar için harika bir çözümdür.
Siz Ne Düşünüyorsunuz?
Kendi şifre yöneticinizi kurmayı hiç denediniz mi? Ya da bu fikir size cazip geliyor mu? Bu konuda tecrübelerinizi veya merak ettiklerinizi yorumlarda bizimle paylaşın. Teknolojinin en güncel gelişmelerini kaçırmamak için teknobirader.com’u takipte kalın!
Anahtar Kelimeler: şifre yöneticisi, kendi kendine barındırma, self-hosted, Vaultwarden, güvenlik, gizlilik, açık kaynak, FOSS
