Vaultwarden详细部署教程(Docker Compose + HTTPS + 安全加固)

最新推荐文章于 2026-05-31 15:15:18 发布
原创 最新推荐文章于 2026-05-31 15:15:18 发布 · 3.3k 阅读 · 17 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#docker #https #安全
该文章已生成可运行项目,

一、环境准备

  1. 服务器要求

系统:Ubuntu 20.04+/Debian 11+(推荐)或其他Linux发行版
配置:至少1核CPU、1GB内存、20GB SSD存储
网络:开放80/443端口(用于HTTPS),已解析域名指向服务器IP

  1. 安装Docker和Docker Compose
# 更新系统
sudo apt update && sudo apt upgrade -y

# 安装Docker
sudo apt install -y docker.io docker-compose

# 启动Docker服务并设置开机自启
sudo systemctl enable --now docker

# 将当前用户添加到docker组(可选,避免每次使用sudo)
sudo usermod -aG docker $USER
newgrp docker

二、部署步骤

  1. 创建工作目录
mkdir -p /opt/vaultwarden && cd /opt/vaultwarden
  1. 编写Docker Compose配置文件
    创建docker-compose.yml文件:
version: '3.8'

services:
  vaultwarden:
    image: vaultwarden/server:latest
    container_name: vaultwarden
    restart: unless-stopped
    volumes:
      - ./data:/data  # 数据持久化目录
    ports:
      - "8080:80"     # 内部HTTP端口(不直接暴露到公网)
    environment:
      # 基础配置
      - DOMAIN=https://vault.yourdomain.com  # 替换为你的域名(必须HTTPS)
      - TZ=Asia/Shanghai                     # 时区设置
      
      # 安全配置
      - SIGNUPS_ALLOWED=false                # 禁止公开注册(创建管理员后设置为false)
      - ADMIN_TOKEN=$(openssl rand -base64 48)  # 生成管理员令牌
      - SHOW_PASSWORD_HINT=false            # 禁用密码提示
      
      # 速率限制(防暴力破解)
      - LOGIN_RATELIMIT_MAX_BURST=10        # 最大登录尝试次数
      - LOGIN_RATELIMIT_SECONDS=60          # 限制时间窗口(秒)
      - ADMIN_RATELIMIT_MAX_BURST=5         # 管理员面板限制
      - ADMIN_RATELIMIT_SECONDS=300
      
      # 功能配置
      - WEB_VAULT_ENABLED=true              # 启用Web界面
      - EMERGENCY_ACCESS_ALLOWED=true        # 允许紧急访问
      - SENDS_ALLOWED=true                   # 允许安全发送功能

  # Caddy反向代理(自动配置HTTPS)
  caddy:
    image: caddy:2-alpine
    container_name: caddy
    restart: unless-stopped
    ports:
      - "80:80"   # HTTP(用于Let's Encrypt验证)
      - "443:443" # HTTPS
    volumes:
      - ./Caddyfile:/etc/caddy/Caddyfile:ro
      - ./caddy-data:/data/caddy
    depends_on:
      - vaultwarden
  1. 创建Caddy配置文件
    在同一目录创建Caddyfile:
# 替换为你的域名
https://vault.yourdomain.com {
  # 日志配置
  log {
    output file /data/caddy/vaultwarden.log {
      roll_size 10MB
      roll_keep 10
    }
  }

  # 自动申请SSL证书
  tls your@email.com  # 替换为你的邮箱(用于证书通知)

  # 反向代理到Vaultwarden
  reverse_proxy vaultwarden:80 {
    header_up X-Real-IP {remote_host}
    header_up X-Forwarded-For {remote_host}
    header_up X-Forwarded-Proto {scheme}
  }
}
  1. 启动服务
# 启动容器(后台运行)
docker-compose up -d

# 查看日志(确认启动正常)
docker-compose logs -f

三、初始化配置

  1. 访问Web界面
    打开浏览器访问 https://vault.yourdomain.com,使用以下步骤创建管理员账户:
    首次访问时SIGNUPS_ALLOWED=true,注册第一个账户(管理员)
    登录后,修改docker-compose.yml中的SIGNUPS_ALLOWED=false
    重启容器使配置生效:docker-compose up -d
  2. 访问管理员面板
    通过 https://vault.yourdomain.com/admin 登录管理界面(链接换成你自己的),输入之前生成的ADMIN_TOKEN(可在容器日志中找到)。
  3. 关键配置建议
    强制2FA:在管理员面板要求所有用户启用2FA
    设置密码策略:最小长度12位,要求包含大小写字母、数字和特殊字符
    配置备份:定期导出密码库(Settings → Export Vault)
    四、安全加固
  4. 防火墙配置(UFW示例)
# 仅开放必要端口
sudo ufw allow 22/tcp     # SSH
sudo ufw allow 80/tcp      # HTTP(Let's Encrypt验证)
sudo ufw allow 443/tcp     # HTTPS
sudo ufw enable
  1. 启用Fail2ban(防暴力破解)
# 安装Fail2ban
sudo apt install -y fail2ban

# 创建配置文件
sudo tee /etc/fail2ban/jail.d/vaultwarden.conf <<EOF
[vaultwarden]
enabled = true
filter = vaultwarden
logpath = /opt/vaultwarden/data/vaultwarden.log
maxretry = 5
bantime = 3600  # 封禁1小时
findtime = 300   # 5分钟内触发
EOF

# 创建过滤规则
sudo tee /etc/fail2ban/filter.d/vaultwarden.conf <<EOF
[Definition]
failregex = ^.*Username or password is incorrect\. Try again\. IP: <ADDR>.*$
ignoreregex =
EOF

# 重启服务
sudo systemctl restart fail2ban
  1. 定期更新
# 创建更新脚本
cat > /opt/vaultwarden/update.sh <<EOF
#!/bin/bash
cd /opt/vaultwarden
docker-compose pull
docker-compose up -d
echo "Vaultwarden updated at \$(date)" >> update.log
EOF

# 添加执行权限并设置定时任务
chmod +x update.sh
sudo crontab -e
# 添加:0 3 * * 0 /opt/vaultwarden/update.sh  # 每周日凌晨3点更新

五、数据备份与迁移

  1. 手动备份
# 压缩数据目录
tar -czf vaultwarden_backup_$(date +%Y%m%d).tar.gz /opt/vaultwarden/data

# 下载备份到本地(通过SCP)
scp user@server:/opt/vaultwarden/backup.tar.gz ./
  1. 自动备份脚本
cat > /opt/vaultwarden/backup.sh <<EOF
#!/bin/bash
BACKUP_DIR=/opt/backups
mkdir -p \$BACKUP_DIR
tar -czf \$BACKUP_DIR/vaultwarden_\$(date +%Y%m%d).tar.gz /opt/vaultwarden/data
# 保留最近30天备份
find \$BACKUP_DIR -name "vaultwarden_*.tar.gz" -mtime +30 -delete
EOF

chmod +x backup.sh
sudo crontab -e
# 添加:0 2 * * * /opt/vaultwarden/backup.sh  # 每天凌晨2点备份
  1. 迁移步骤
    在新服务器部署基础环境(Docker、Docker Compose)
    复制备份文件到新服务器:scp backup.tar.gz user@newserver:/opt/
    解压恢复数据:tar -xzf backup.tar.gz -C /
    重新部署容器:docker-compose up -d

六、常见问题解决

  1. 证书申请失败
    确保域名解析正确且服务器可被外部访问
    检查防火墙是否放行80/443端口
    手动验证:curl http://vault.yourdomain.com/.well-known/acme-challenge/test
  2. 管理员面板无法访问
    检查ADMIN_TOKEN是否正确生成:cat /opt/vaultwarden/data/config.json
    确保DOMAIN设置为HTTPS且与访问地址一致
    通过日志排查:docker logs vaultwarden | grep admin
  3. 客户端同步失败
    检查服务器时间是否同步:sudo timedatectl set-ntp true
    验证SSL证书完整性:openssl s_client -connect vault.yourdomain.com:443
    客户端设置自定义服务器URL:设置 → 自托管 → 服务器URL
本文章已经生成可运行项目
30 秒使用 VaultWarden 搭建个人密码管理器
favxxx的博客
09-13 1067
我一开始用的确实是 LastPass,但是 LastPass 的价格策略频繁调整,从一开始的免费,到后来逐渐收费,让我开始对其提高警惕。而且,尽管它的安全记录相对来说比较良好,但经历过数次的漏洞曝出,让我对于其中的数据安全产生了疑虑。在这里可以根据情况对 Vaultwarden 进行一些可选设置,所有的设置项都可以通过鼠标悬停查看相应的说明,不了解的选项建议保持默认。对服务器需要的资源有点多,内存必须大于** 2G**,小内存机器是根本跑不起来的,一般推荐使用第三方开发的 Vaultwarden
Vaultwarden Docker部署全攻略:自托管密码库的安全实践
weixin_28730403的博客
05-14 642
在数据安全与隐私保护日益重要的今天,自托管(Self-Hosted)成为许多技术团队掌控核心资产的关键选择。其核心原理在于将应用服务部署在自有或可控的基础设施上,实现数据的本地化存储与管理,从而规避第三方云服务的潜在风险。这一模式在密码管理等敏感数据场景中技术价值尤为突出,它不仅能满足企业对数据主权的合规要求,还能通过定制化部署优化性能与成本。Docker容器化技术为自托管提供了标准化、可移植的解决方案,通过镜像封装与环境隔离,极大地简化了应用的部署、升级与运维流程。本文聚焦于Vaultwarden——一个
使用docker部署自托管密码管理器(vaultwarden)
qq_42413011的博客
01-21 2995
部署完成后的检查清单✅ 访问 Web 界面确认服务正常运行✅ 完成管理员账号的注册与设置✅ 验证 HTTPS 证书配置是否正确✅ 确认数据备份路径已正确映射安全建议1.定期备份建议每周备份一次数据库将备份文件存储在异地或云端定期验证备份的可用性2.系统维护及时更新 Docker 镜像到最新版本定期检查系统日志监控服务器资源使用情况进阶使用配置邮件服务实现邀请和通知功能启用双因素认证提升安全性设置 API 密钥实现高级功能。
使用vaultwarden构建自己的多平台密码管理工具
weixin_44960490的博客
04-18 48
适用于:Ubuntu 22.04 已有 Nginx + Cloudflare 多端同步密码管理,服务器尽量使用2G内存版本。
保姆级教程:用DockerVaultwarden搭建私有Bitwarden密码库(含HTTPS配置)
weixin_30664051的博客
03-23 119
本文提供了一份详细DockerVaultwarden搭建私有Bitwarden密码库的教程,包括HTTPS配置和企业级安全加固方案。Vaultwarden作为轻量级替代方案,资源消耗低且性能优异,特别适合小型团队或家庭实验室使用。通过Docker Compose和Nginx配置,实现快速部署安全访问。
vaultwarden密码库 搭建流程
wendr的博客
11-13 4568
系统工程 - 建设篇 第二章 vaultwarden密码库 搭建流程
Docker 部署 Vaultwarden
junlan的博客
03-07 2624
https://rs.ppgg.in/ # Vaultwarden Wiki 中文版https://geekdaxue.co/read/Vaultwarden-Wiki-CN/README.md # Vaultwarden Wiki 中文版https://bitwarden.com/download/ # 客户端下载地址。
docker部署Vaultwarden密码共享管理系统
weixin_51697917的博客
10-07 9421
Vaultwarden是一个开源的密码管理器,它是Bitwarden密码管理器的自托管版本。它提供了类似于Bitwarden的功能,允许用户安全地存储和管理密码、敏感数据和身份信息。Vaultwarden使用加密算法对用户的数据进行加密,并将其存储在数据库中。用户的数据只能通过唯一的加密密钥进行解密,确保数据的机密性。Vaultwarden可以用作独立的Web应用程序或与桌面客户端、浏览器插件等配合使用,以满足不同平台和设备上的需求。
可轻便docker部署的密码保存系统:Vaultwarden
weixin_41123379的博客
04-26 214
Vaultwarden是著名的Bitwarden项目的一个分支,是一个社区驱动的项目,使用Rust语言编写。它是Bitwarden的轻量级自托管替代方案,完全兼容Bitwarden客户端协议,支持通过Docker或Podman极速部署,几分钟内就能完成上线,极为便捷,尤其适合服务器资源有限、追求轻量化的用户。
使用 VaultWarden 搭建个人密码管理器 原先Bitwarden
热门推荐
Vic的博客
04-11 1万+
私有部署 BitWarden ,不仅自己可以用,也可以给家里人使用,但注册好后,请及时将关闭 web 功能,或者关闭注册功能。服务器禁止密码登陆,只开启使用密钥登陆及时升级软件,避免三方软件的安全漏洞对数据进行定期的备份,防止数据误删除限制不必要的端口,安全组别乱开总之,便利与安全是两个是相互对抗,只能平衡,不能消除,使用 BitWarden 一定要注意做好安全措施。
保姆级教程:用Docker Compose在群晖NAS上部署Vaultwarden,并搞定自签名HTTPS证书
最新发布
weixin_30552811的博客
05-31 324
本文提供了一份详细教程,指导用户如何在群晖NAS上使用Docker Compose部署Vaultwarden,并配置自签名HTTPS证书。通过图形界面操作和模块化拆解,帮助用户实现私有密码库的全栈部署,确保密码数据的安全性和跨设备同步的便捷性。特别针对群晖DSM系统优化了文件路径映射方案,并提供了证书信任链的可视化校验方法。
5分钟搞定!用Docker Compose一键部署Vaultwarden密码管理(含Nginx反向代理配置)
gold8的专栏
02-24 463
本文详细介绍了如何使用Docker Compose快速部署Vaultwarden密码管理工具,并配置Nginx反向代理实现HTTPS访问。Vaultwarden作为Bitwarden的开源替代方案,具有轻量级、高效性等优势,适合个人和企业团队使用。通过本文的步骤,您可以在5分钟内完成部署,并享受安全的密码管理服务。
放弃Bitwarden官方版!轻量替代VaultwardenDocker部署指南,内网HTTPS就这么配
weixin_33736649的博客
05-31 384
本文详细介绍了如何通过Docker部署轻量级密码管理服务器Vaultwarden,替代资源消耗较大的Bitwarden官方版。内容涵盖内网HTTPS配置、Docker-Compose部署指南及高级安全设置,特别适合NAS用户和技术爱好者,实现高效、安全的密码管理。
Docker 部署 Vaultwarden:轻量级自托管密码管理解决方案
weixin_29260291的博客
03-26 472
本文详细介绍了如何使用Docker部署Vaultwarden,一个轻量级自托管密码管理解决方案。Vaultwarden作为Bitwarden的兼容服务器,具有极低的内存占用和硬件需求,适合个人和小团队使用。文章涵盖了从准备工作、Docker Compose部署、Nginx反向代理配置到高级优化和日常维护的全流程,帮助用户快速搭建安全可靠的私有密码库。
使用Docker Compose简化Bitwarden私有化部署全流程
weixin_28312391的博客
03-12 238
本文详细介绍了如何使用Docker Compose简化Bitwarden的私有化部署全流程。通过容器化技术,将复杂的Bitwarden部署过程简化为一个配置文件,实现一键启动,并涵盖服务器准备、环境配置、安全加固及数据备份等关键步骤,帮助用户快速搭建安全可控的私有密码管理服务。
保姆级教程:用Vaultwarden在群晖NAS上自建密码库,搞定HTTPS和插件登录
weixin_30535843的博客
05-21 454
本文提供在群晖NAS上部署Vaultwarden密码库的完整教程,涵盖Docker环境配置、HTTPS安全访问设置及浏览器插件兼容性解决方案。Vaultwarden作为Bitwarden兼容服务,资源占用低且功能完整,适合家庭和小型企业使用。通过自签名证书实现内网HTTPS访问,并详细指导全平台证书信任配置,确保密码管理安全便捷。
Docker Compose编排Vaultwarden:打造高可用团队密码库
weixin_30855099的博客
05-18 224
本文详细介绍了如何使用Docker Compose编排Vaultwarden,打造高可用的团队密码库。Vaultwarden作为Bitwarden的开源替代方案,提供军用级加密和零知识架构,适合团队协作。文章包含生产级部署架构、硬件资源配置建议、docker-compose.yml编写指南以及关键运维操作,帮助团队实现安全高效的密码管理。
bitwarden (vaultwardendocker搭建
dyq94310的博客
09-12 9336
bitwarden 搭建 背景 免费用户LastPass目前只能在一个设备上登陆,所以迁移到bitwarden。bitwarden是开源的跨平台密码管理软件。搭建后可以有全部功能 具体流传步骤 前置条件: 安装docker bitwarden只支持Https,所以VPS需要有域名、开放80 、443端口 Lastpass导出的密码:我选择的CSV格式 bitwardenr: 密码管理程序 下载镜像 sudo docker pull bitwardenrs/server:latest 创建密
Vaultwarden
m0_52682056的博客
11-16 1342
Vaultwarden 之前称为 Bitwarden RS,它使用 Rust 语言编写,比官方的 Bitwarden 服务器更轻量,运行效率更高,非常适合小型服务器和资源有限的环境。◦ Vaultwarden 使用 Rust 编写,比官方的 Bitwarden 服务器占用更少的资源,适合部署在低性能的硬件(如树莓派)或小型虚拟机上,同时保持高效性能。◦ Vaultwarden 支持多用户和组织模式,可以轻松管理团队共享的密码和凭证,通过角色和权限管理来控制对敏感信息的访问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

52ku

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值