Vaultier: ein kollaborativer Passwortsafe – Fazit nach 3 Monaten

In meinem Job als Sysadmin verwaltet man besonders im Linux-Serverbereich verdammt viele Passwörter, pro Instanz kommen nicht selten 4-5 Accounts für diverse Services, Datenbanken und APIs zusammen welche tunlichst nicht verschwinden dürfen. Solange man Alleinherrscher über die Infrastruktur ist bieten sich viele Systeme wie z.B. KeePass an, kommt es jedoch zu Teamarbeit oder verteilten Projekten, werden plötzlich Emails mit Accountnamen und Hinweisen auf Passwörter per SMS geschickt – der Infrastrukturkollaps droht schnell.

In meinem Betrieb wurde daher eine zentral gelagerte KeePass-Datei verwendet – ein Master-Passwort, jeder arbeitet auf der gleichen Datei. Das klingt exakt solange gut, bis 100 verschiedene Versionen auf unglaublich vielen Systemen und USB-Sticks herumfliegen. Außerdem bereitet es mir aus Adminsicht massive Bauchschmerzen, wenn der einzige Zugriff ein Vollzugriff ist. Sprich – wenn die Sekretärin 3 Passwörter braucht gibt man ihr ebenfalls Zugriff auf Kundencluster. Als dann noch ein möglicher Breach im Raum stand war klar, dass das System ersetzt werden muss. Doch womit? Zur Debatte standen

• Mehrere, nach Bereichen getrennte KeePass-Dateien (Katastrophal)
• Eigene, lokal gepflegte Passwordmanager der Benutzer (Noch Katastrophaler)
• Eine zentrale Webapp mit Benutzermanagement (Aber welche?)

Zeit war teuer, guter Rat noch teurer, also wurde schnell das Programm auf dem Markt getestet. Open Source sollte es sein, gut und kostenlos. Die Schweißperlen auf der Stirn intensified’ten sich. Nach dem Test diverser Java-Applets und Rubyanwendungen, die bereits beim Deployment völlig auseinandergrätschten scrollte ich an TeamPass vorbei, welches auf den ersten Blick alle gewünschten Features bot. Mit PHP5 / MySQL einfach zu deployed, LDAP-Anbindung, vollständige Benutzerverwaltung mit Berechtigungsgruppen, vernünftige Ordnerstruktur. Dem Zeitdruck geschuldet wurde nicht besonders intensiv getestet und wie üblich gab es die Quittung sehr schnell. LDAP funktioniert schlicht nicht, Sessionhandling ist nichts anderes als Placebo (30m Hardcoded) – was nicht besonders schlimm wäre, wenn jeder Login bei 10 Usern und ca. 150 Items zwischen 1 und 2 Minuten dauert.

Nach ein paar Monaten war der Leidensdruck dann hoch genug, dass etwas anderes her musste. Die Anforderungen waren wie üblich “OpenSource, self hosted und soll nix kosten”. Bei der Recherche stieß ich dann auf Vaultier, welches in der Version 0.7.0 vor kurzer Zeit released wurde. Auf der VM mit Ubuntu 14 / Apache2 performte das System schonmal gut, vor allem das weitaus weniger hässliche UI war eine willkommene Abwechslung.

Was Vaultier bietet und was fehlt

Für das System spricht

• Selfhosting in der Community-Edition ohne besonders aufdringliches Branding
• Python-Backend mit PostgresSQL – daher einfach zu Backuppen
• Performant dank Verzicht auf Flash und unnötigem Eyecandy
• Sieht trotzdem durchaus Schmuck aus
• Schöne Benutzerführung mit Farben
• Private “Vaults” für die User anlegbar

Gegen Vaultier spricht vor allem

• Klar definierte Anzahl der Ebenen – Passwörter sind höchstens und ebenfalls erst auf Layer 3 anzulegen
• Benutzermanagement nicht sonderlich feinfühlig, keine Unterscheidung zwischen “kann in Vault arbeiten” und “kann das komplette Vault löschen”
• Ein paar wenig Farben für größere Projekte
• Kein Git bzw. durchaus Closed Source
• Kein LDAP
• Keine Dokumentation / Userbase zum Austausch bei Problemen

Fazit nach 3 Monaten

Bisher hat Vaultier absolut keinen Grund zur Klage gegeben. Es ist mittlerweile sehr gut gefüllt (~700 individuelle Einträge in diverser Verschachtelung) und weiterhin extrem schnell und responsiv. Bisher haben die hart definierten Ebenen keine Probleme bereitet und sind sogar durchaus nützlich um sich selbst an eine gewisse Best Practice-Struktur zu ermahnen. Was am Anfang ein wenig nervig war, ist dass jeder Benutzer einzeln in jeden Vault eingeladen werden muss. Vaultier merkt sich ebenfalls nicht die Emailadressen, ebensowenig ist es möglich Benutzergruppen zu erstellen um diese im Bulk einzuladen. Bei unserem kleineren Unternehmen war das noch eine Sache von 2 Stunden, bei größeren Benutzergruppen würde ich das durchaus als Ausschlußkriterium werten. Ebenfalls müssen Benutzer jede Einladung einzeln annehmen und danach noch durch einen Aufruf der Verwaltung desjeweiligen Vaults “aktiviert” werden.

Dennoch muss man auch sagen, dass es seit der Einführung exakt 0 Fehler, Probleme oder Aussetzer gab. Es rennt durch, frisst keine Webserver oder Ressourcen, es lässt die Passwörter Passwörter sein. In dem Umfang den es bietet ist es wirklich exzellent. Was ich mir für die Community Edition noch wünschen würde wäre eine Teamverwaltung bzw. echte Userverwaltung, ein wenig feinere Rechtevergabe und eine Copy-to-Clipboardfunktion für Passwörter. Darüber hinaus kann man wirklich nicht über dieses Produkt meckern.