Zum Inhalt

Vaultwarden Operations

Stand: 2026-05-26

Ziel

Vaultwarden bleibt Source of Truth fuer Secrets. Die CLI darf dabei kein unkontrollierter manueller Blocker sein, aber Secretwerte duerfen nie in Git, Wiki, Logs oder Chat landen.

CLI-Workflow

Helper:

agent-runtime/scripts/vaultwarden-session status
agent-runtime/scripts/vaultwarden-session unlock
source <(agent-runtime/scripts/vaultwarden-session export-env)
agent-runtime/scripts/vaultwarden-session sync
agent-runtime/scripts/vaultwarden-session lock

Eigenschaften:

  • Session-Datei liegt unter ${XDG_RUNTIME_DIR:-$HOME/.cache}/lanstyle-vaultwarden/bw-session.
  • Datei wird mit 0600 und umask 077 geschrieben.
  • unlock schreibt nur die Session, nicht das Masterpasswort.
  • lock sperrt die Session und entfernt die Session-Datei.

Session-TTL und Auto-Lock

Die effektive Session-Gültigkeit wird durch Bitwarden/Vaultwarden und den lokalen Client bestimmt. Betrieblich gilt:

  • Session nur fuer den konkreten Wartungslauf entsperren.
  • Nach Secret-Import/-Rotation immer vaultwarden-session lock.
  • Keine dauerhafte BW_SESSION in Shell-Profilen.
  • Keine Session-Datei in Git-Worktrees.

Root-only Runtime Handling

Runtime-Secrets duerfen temporaer root-only auf Zielsystemen liegen, wenn Vaultwarden nicht entsperrt ist. Das ist nur ein Zwischenzustand.

Mindestanforderung:

  • Datei 0600
  • Owner root:root
  • Pfad dokumentieren
  • nach erfolgreicher Vaultwarden-Ablage entfernen oder rotieren

Secret Lifecycle Pflichtfelder

Schema: agent-runtime/configs/secret-lifecycle.schema.json

Pflichtfelder:

  • owner
  • scope
  • expires_at
  • created_at
  • rotation_policy
  • rotation_history
  • source_of_truth
  • allowed_systems
  • emergency_revoke

Aktueller offener Punkt

Die lokale Vaultwarden CLI ist aktuell locked. Fuer den NetBox-Test-Write-Token ist die Vaultwarden-Ablage noch offen. Der Tokenwert wurde nicht ausgegeben und nicht in Doku oder Git gespeichert.

Ziel-Eintrag:

  • Lanstyle / NetBox API Token Agent Test Write

Sobald bw unlock verfuegbar ist:

  1. vaultwarden-session unlock
  2. source <(agent-runtime/scripts/vaultwarden-session export-env)
  3. Token als Login/Secret-Feld im Ziel-Eintrag ablegen.
  4. vaultwarden-session sync
  5. vaultwarden-session lock