自建密码堡垒:手把手教你搭建企业级Vaultwarden密码管理器
自建密码堡垒:手把手教你搭建企业级Vaultwarden密码管理器
1️⃣ 为什么选择Vaultwarden?安全与便利的黄金平衡
对比主流密码方案
特性
Chrome密码本
1Password
Vaultwarden
端到端加密
❌
✅
✅
自托管能力
❌
❌
✅
多设备同步
基础版✅
全平台✅
全平台✅
年度成本
免费
$36起
硬件成本
💡 核心优势:Rust语言构建的性能优势,内存占用仅为官方客户端的1/3
2️⃣ 环境准备:双平台部署指南
最低硬件要求
- x86平台:双核CPU / 2GB内存 / 10GB存储
- 网络要求:开放80/443端口(需备案)
系统环境推荐
# Ubuntu Server |
-
3️⃣ 实战部署:Docker全流程详解
Ubuntu部署模板
version: "2"
services:
app:
image: vaultwarden/server:latest
environment:
- SERVER_ADMIN_EMAIL= # 按需修改
- SIGNUPS_ALLOWED=false
- INVITATIONS_ALLOWED=true
- WEBSOCKET_ENABLED=true
- ADMIN_TOKEN= # 按需修改
volumes:
- ./app:/data/
ports:
- 11111:80 # 按需修改
restart: unless-stopped
networks:
- default
networks:
default:
name: bitwarden关键部署命令
# 创建专用网络
docker network create vault_net
# 启动服务(后台模式)
docker-compose up -d
# 查看实时日志
docker logs -f vaultwarden
4️⃣ 安全加固:HTTPS与反向代理配置
⚠️ 安全警告:未启用HTTPS时,浏览器将阻止密码同步功能
Nginx反向代理配置
首先使用FRP将内网的端口暴露到公网服务器的指定端口,然后用nginx进行反向代理。在文章云服务器+FRP+Nginx,无需添加端口,直接使用域名访问家里的任何设备 - 阿雷的小窝中我介绍了几种方向代理的方法,我使用的宝塔面板进行反向代理,将内网的11111端口代理到指定的域名,强制SSL和接受https。
5️⃣ 全平台同步:客户端配置终极指南
通过上述设置,就可以通过指定域名https://<bitwarden.exampledomain.com>,访问vaultwarden,第一需要设置SMTP Email Settings,设置为自己的邮箱,给自己发送邀请邮件,这样就可以创建账户了。创建账户后进入服务端页面。
客户端下载
使用时一般用Edge浏览器插件或者手机 APP的方式使用,在插件中输入网址登录账户后,浏览器用过的所有的密码都可以保存在密码库中。
🔐 主密码设置技巧:采用「虚构句子+特殊字符」模式(例:PurpleTiger$Climbs2023!)
6️⃣ 迁移革命:从浏览器到专业密码库
Edge密码导出/导入流程
在使用vaultwarden之前,我一直用edge浏览器来管理自己的密码库,目前部署了个人密码库,就可以将edge密码库迁移到vaultwarden里来了。
-
访问
edge://wallet/passwords -
点击「导出密码」生成CSV文件
-
在Vaultwarden控制台选择「工具」→「导入数据」
-
选择「Chrome (csv)」格式完成迁移
7️⃣ 客户端使用
我目前只需要记住一个主密码,其他的密码我都通过Vaultwarden的密码生成器生成新的强密码,这样再也不怕泄露了。
