Vaultwarden : administrer le coffre avec la CLI bw

La CLI bw interroge un coffre Vaultwarden depuis un terminal et s’intègre à des scripts.

Prérequis

• bw installé (npm install -g @bitwarden/cli ou binaire officiel).
• Un compte sur vault.exemple.fr.

1. Pointer le serveur auto-hébergé

bw config server https://vault.exemple.fr

2. Se connecter

bw login alex@exemple.fr

Si la 2FA est active, ajouter --method 0 --code 123456 (TOTP).

3. Déverrouiller la session

La connexion renvoie une BW_SESSION. L’exporter :

export BW_SESSION="$(bw unlock --raw)"

4. Lire des éléments

bw sync
bw list items --search messagerie
bw get password Messagerie
bw get item Messagerie | jq '.login.username'

5. Créer un élément

bw get template item | jq '.name="Serveur" | .login.username="root"' \
  | bw encode | bw create item

6. Partager un secret avec Send

bw send -n "Clé API" --hidden --maxAccessCount 1 "valeur-secrete"

La commande retourne une URL d’accès à usage limité.

Vérification

bw status

La sortie affiche "status":"unlocked" et le serverUrl attendu. bw list items renvoie les éléments du coffre au format JSON.

Dépannage

• « You are not logged in » : exécuter bw login puis exporter BW_SESSION.
• « Vault is locked » : relancer export BW_SESSION="$(bw unlock --raw)".
• Mauvais serveur interrogé : revérifier bw config server, puis bw logout et reconnexion.
• Données obsolètes : lancer bw sync avant toute lecture.
• 2FA refusée : code TOTP expiré ; régénérer et réessayer avec --code.