自建密码堡垒:手把手教你搭建企业级Vaultwarden密码管理器
1️⃣ 为什么选择Vaultwarden?安全与便利的黄金平衡
对比主流密码方案
| 特性 | Chrome密码本 | 1Password | Vaultwarden |
|---|---|---|---|
| 端到端加密 | ❌ | ✅ | ✅ |
| 自托管能力 | ❌ | ❌ | ✅ |
| 多设备同步 | 基础版✅ | 全平台✅ | 全平台✅ |
| 年度成本 | 免费 | $36起 | 硬件成本 |
💡 核心优势:Rust语言构建的性能优势,内存占用仅为官方客户端的1/3
2️⃣ 环境准备:双平台部署指南
最低硬件要求
- x86平台:双核CPU / 2GB内存 / 10GB存储
- 网络要求:开放80/443端口(需备案)
系统环境推荐
# Ubuntu Server
推荐版本:22.04 LTS
必备组件:Docker 20.10+、docker-compose 2.17+
# 群晖NAS
兼容型号:DS220+/DS920+(DSM7.0+)
第三方源:矿神spk(https://spk.imnks.com/)-
3️⃣ 实战部署:Docker全流程详解
Ubuntu部署模板
version: "2" services: app: image: vaultwarden/server:latest environment: - SERVER_ADMIN_EMAIL=# 按需修改 volumes: - ./app:/data/ ports: - 11111:80 # 按需修改 restart: unless-stopped networks: - default networks: default: name: bitwarden 关键部署命令
# 创建专用网络 docker network create vault_net # 启动服务(后台模式) docker-compose up -d # 查看实时日志 docker logs -f vaultwarden
4️⃣ 安全加固:HTTPS与反向代理配置
⚠️ 安全警告:未启用HTTPS时,浏览器将阻止密码同步功能
Nginx反向代理配置
首先使用FRP将内网的端口暴露到公网服务器的指定端口,然后用nginx进行反向代理。在文章云服务器+FRP+Nginx,无需添加端口,直接使用域名访问家里的任何设备 - 阿雷的小窝中我介绍了几种方向代理的方法,我使用的宝塔面板进行反向代理,将内网的11111端口代理到指定的域名,强制SSL和接受https。
5️⃣ 全平台同步:客户端配置终极指南
通过上述设置,就可以通过指定域名https://<bitwarden.exampledomain.com>,访问vaultwarden,第一需要设置SMTP Email Settings,设置为自己的邮箱,给自己发送邀请邮件,这样就可以创建账户了。创建账户后进入服务端页面。
客户端下载
使用时一般用Edge浏览器插件或者手机 APP的方式使用,在插件中输入网址登录账户后,浏览器用过的所有的密码都可以保存在密码库中。
🔐 主密码设置技巧:采用「虚构句子+特殊字符」模式(例:PurpleTiger$Climbs2023!)
6️⃣ 迁移革命:从浏览器到专业密码库
Edge密码导出/导入流程
在使用vaultwarden之前,我一直用edge浏览器来管理自己的密码库,目前部署了个人密码库,就可以将edge密码库迁移到vaultwarden里来了。
-
访问
edge://wallet/passwords -
点击「导出密码」生成CSV文件
-
在Vaultwarden控制台选择「工具」→「导入数据」
-
选择「Chrome (csv)」格式完成迁移
7️⃣ 客户端使用
我目前只需要记住一个主密码,其他的密码我都通过Vaultwarden的密码生成器生成新的强密码,这样再也不怕泄露了。
