Как развернуть Vaultwarden: бесплатный Bitwarden для семьи

Менеджеры паролей стали необходимостью — однако большинство людей либо платят ежемесячные подписки за облачные сервисы, такие как 1Password или LastPass, либо, что еще хуже, используют одни и те же слабые пароли повсюду. Но есть третий вариант: самостоятельно разместить свой собственный менеджер паролей, который ничем не уступает платным альтернативам, совершенно бесплатен и находится под вашим полным контролем.

Представляем Vaultwarden — легковесный, открытый сервер, совместимый со всеми официальными клиентами Bitwarden. Он предоставляет вам полный опыт Bitwarden (расширения для браузеров, мобильные приложения, настольные приложения, CLI), сохраняя ваши зашифрованные пароли на вашем собственном оборудовании. Никаких подписок, никакой зависимости от облака, никаких проблем с доверием.

В этом руководстве мы настроим Vaultwarden с нуля, используя Docker Compose. К концу вы получите готовый к использованию менеджер паролей для семьи, который не требует никаких затрат на обслуживание и хранит ваши самые чувствительные данные именно там, где они должны быть — у вас.

Почему Vaultwarden?

Прежде чем погрузиться в настройку, давайте разберемся, почему Vaultwarden является предпочтительным выбором для саморазмещаемого управления паролями:

Ключевая идея: Vaultwarden реализует тот же API, что и официальный сервер Bitwarden, так что вы получаете точно такой же клиентский опыт — отточенные приложения, бесшовное автозаполнение, безопасный обмен — без оплаты за облачный хостинг. Официальный сервер Bitwarden требует значительных ресурсов (несколько контейнеров, SQL Server), в то время как Vaultwarden прекрасно работает на Raspberry Pi.

Что вам понадобится

Требования минимальны:

• Сервер — любая машина на Linux, VPS, NAS или даже Raspberry Pi. Vaultwarden использует около 50 МБ оперативной памяти.
• Docker и Docker Compose — рекомендуемый метод установки.
• Доменное имя (рекомендуется) — для доступа по HTTPS. При необходимости вы можете использовать бесплатный поддомен от таких сервисов, как DuckDNS.
• Около 10 минут — серьезно, это так быстро.

Шаг 1: Установите Docker

Если Docker еще не установлен, настройте его с помощью официального удобного скрипта:

# Установить Docker
curl -fsSL https://get.docker.com | sh

# Добавить вашего пользователя в группу docker
sudo usermod -aG docker clawdbot

# Выйдите и войдите снова, затем проверьте
docker --version
docker compose version

Шаг 2: Создайте директорию Vaultwarden

Создайте специальную директорию для вашего менеджера паролей:

# Создать и войти в директорию
mkdir ~/vaultwarden
cd ~/vaultwarden

Шаг 3: Создайте файл Docker Compose

Создайте файл docker-compose.yml:

# Создать файл компоновки
nano docker-compose.yml

Вставьте эту конфигурацию:

services:
  vaultwarden:
    image: vaultwarden/server:latest
    container_name: vaultwarden
    restart: unless-stopped
    environment:
      DOMAIN: "https://vault.yourdomain.com"
      SIGNUPS_ALLOWED: "true"
      ADMIN_TOKEN: "your-secure-admin-token-here"
      SMTP_HOST: "smtp.gmail.com"
      SMTP_FROM: "[email protected]"
      SMTP_PORT: "587"
      SMTP_SECURITY: "starttls"
      SMTP_USERNAME: "[email protected]"
      SMTP_PASSWORD: "your-app-password"
    volumes:
      - ./vw-data:/data
    ports:
      - "127.0.0.1:8080:80"

Давайте разберем ключевые настройки:

• DOMAIN: Ваш полный URL с HTTPS. Это необходимо для правильной работы веб-хранилища.
• SIGNUPS_ALLOWED: Установите на "true" изначально, чтобы создать свою учетную запись, затем измените на "false" после настройки.
• ADMIN_TOKEN: Безопасный токен для доступа к административной панели. Сгенерируйте его с помощью: openssl rand -base64 48
• SMTP_*: Настройки электронной почты для сброса пароля и уведомлений. Необязательно, но рекомендуется.
• Привязка порта: Мы привязываемся только к 127.0.0.1 — обратный прокси будет обрабатывать внешний доступ с HTTPS.

# Сгенерировать безопасный токен
openssl rand -base64 48

# Пример вывода: kR9h2s8K...длинная-случайная-строка...
# Используйте это как ваш ADMIN_TOKEN

Шаг 4: Настройте HTTPS с Caddy (рекомендуется)

Клиенты Bitwarden требуют HTTPS. Самый простой способ настроить это — с помощью Caddy, который автоматически обрабатывает SSL-сертификаты.

Добавьте Caddy в ваш docker-compose.yml:

services:
  vaultwarden:
    image: vaultwarden/server:latest
    container_name: vaultwarden
    restart: unless-stopped
    environment:
      DOMAIN: "https://vault.yourdomain.com"
      SIGNUPS_ALLOWED: "true"
      ADMIN_TOKEN: "your-secure-admin-token-here"
    volumes:
      - ./vw-data:/data
    networks:
      - vaultwarden

  caddy:
    image: caddy:latest
    container_name: caddy
    restart: unless-stopped
    ports:
      - "80:80"
      - "443:443"
    volumes:
      - ./Caddyfile:/etc/caddy/Caddyfile:ro
      - ./caddy-data:/data
      - ./caddy-config:/config
    networks:
      - vaultwarden

networks:
  vaultwarden:
    driver: bridge

Создайте файл Caddyfile:

# Создать файл Caddyfile
nano Caddyfile

Добавьте эту конфигурацию:

vault.yourdomain.com {
    reverse_proxy vaultwarden:80
}

Замените vault.yourdomain.com на ваш фактический домен. Caddy автоматически получит и обновит сертификаты Let's Encrypt.

Шаг 5: Запустите Vaultwarden

Запустите все:

# Загрузить образы и запустить
docker compose up -d

# Проверьте журналы
docker compose logs -f

Дайте Caddy минуту, чтобы получить ваш SSL-сертификат. Вы должны увидеть что-то вроде:

caddy  | успешно получен сертификат для vault.yourdomain.com

Шаг 6: Создайте свою учетную запись

Перейдите по адресу https://vault.yourdomain.com в вашем браузере. Вы увидите интерфейс веб-хранилища Bitwarden. Нажмите "Создать учетную запись" и настройте свой мастер-пароль.

Шаг 7: Отключите публичные регистрации

После создания вашей учетной записи отключите публичную регистрацию:

# Отредактируйте ваш docker-compose.yml
nano docker-compose.yml

# Измените:
SIGNUPS_ALLOWED: "false"

# Перезапустите
docker compose up -d

Новые пользователи теперь могут быть приглашены только через административную панель или созданы существующими пользователями с правами организации.

Шаг 8: Настройте клиенты Bitwarden

Здесь саморазмещение сияет — вы используете официальные приложения Bitwarden, просто указывая на ваш сервер.

Расширения для браузеров

Установите расширение Bitwarden для вашего браузера (Chrome, Firefox, Safari).

1. Нажмите на значок расширения и выберите "Самостоятельно размещенный"
2. Введите URL вашего сервера: https://vault.yourdomain.com
3. Войдите в свою учетную запись

Мобильные приложения

Установите Bitwarden из App Store или Google Play.

1. Нажмите на селектор региона (по умолчанию показывает "bitwarden.com")
2. Выберите "Самостоятельно размещенный"
3. Введите URL вашего сервера и войдите в систему

Включите биометрическую разблокировку (Face ID, отпечаток пальца) для быстрого доступа без ввода вашего мастер-пароля каждый раз.

Настольные приложения

Скачайте с bitwarden.com/download — доступно для Windows, macOS и Linux. Та же настройка: Настройки → Самостоятельно размещенный → введите ваш URL.

Настройка совместного использования с семьей

Одна из лучших функций Vaultwarden — это неограниченные организации — идеально подходит для совместного использования паролей с членами семьи.

Создайте семейную организацию

1. Войдите в ваше веб-хранилище
2. Нажмите "Новая организация"
3. Назовите ее (например, "Семейные пароли")
4. Выберите "Бесплатный" план (все функции доступны)

Пригласите членов семьи

1. Перейдите в вашу организацию → Члены
2. Нажмите "Пригласить пользователя"
3. Введите их адрес электронной почты
4. Выберите их роль (Член, Администратор или Владелец)

Если регистрации отключены, используйте административную панель (https://vault.yourdomain.com/admin), чтобы создавать учетные записи напрямую.

Создайте общие коллекции

Коллекции похожи на папки, которые можно делить с конкретными членами:

• Стриминговые сервисы — Netflix, Disney+ и т. д. (делитесь со всеми)
• Пароли WiFi — домашняя сеть, дома родственников
• Общие подписки — семейные аккаунты, которыми пользуются все
• Информация в экстренных ситуациях — банковские счета, страховка (ограничьте доверенными членами)

Основные меры по усилению безопасности

Ваше хранилище паролей является объектом высокого риска. Вот как его защитить:

Включите двухфакторную аутентификацию

Войдите в ваше веб-хранилище → Настройки учетной записи → Двухэтапный вход. Опции включают:

• Приложение-аутентификатор (Google Authenticator, Authy и т. д.) — рекомендуется
• YubiKey — аппаратный ключ для максимальной безопасности
• Электронная почта — отправляет код на вашу электронную почту (требует настройки SMTP)

Настройте Fail2Ban

Защитите от атак методом подбора, блокируя IP-адреса после неудачных попыток входа. Создайте /etc/fail2ban/filter.d/vaultwarden.conf:

[Definition]
failregex = ^.*Имя пользователя или пароль неверны\. Попробуйте еще раз\. IP: <ADDR>\. Имя пользователя:.*$
ignoreregex =

И /etc/fail2ban/jail.d/vaultwarden.local:

[vaultwarden]
enabled = true
port = 80,443
filter = vaultwarden
logpath = /path/to/vw-data/vaultwarden.log
maxretry = 5
bantime = 1h
findtime = 15m

Регулярные резервные копии

Ваши данные хранилища находятся в директории ./vw-data. Регулярно создавайте резервные копии:

# Простой скрипт резервного копирования
#!/bin/bash
BACKUP_DIR="/backup/vaultwarden"
DATE=20260210

# Остановите контейнер для согласованности
docker compose -f ~/vaultwarden/docker-compose.yml stop

# Создайте зашифрованную резервную копию
tar -czf - ~/vaultwarden/vw-data | gpg --symmetric --cipher-algo AES256 > "/vaultwarden-.tar.gz.gpg"

# Перезапустите
docker compose -f ~/vaultwarden/docker-compose.yml up -d

Храните резервные копии в другом месте — на другом сервере, в облачном хранилище с клиентским шифрованием или даже на USB-накопителе в сейфе.

Расширенные функции

Bitwarden Send

Send позволяет вам безопасно делиться текстом или файлами с кем угодно — даже с людьми без учетной записи Bitwarden. Идеально подходит для обмена паролями WiFi с гостями или отправки конфиденциальных документов.

1. В любом клиенте Bitwarden перейдите в Send
2. Создайте новый Send (текст или файл)
3. Установите срок действия, максимальное количество доступов и необязательный пароль
4. Поделитесь сгенерированной ссылкой

Доступ в экстренных ситуациях

Назначьте доверенных контактов, которые могут запросить доступ к вашему хранилищу, если с вами что-то случится:

1. Перейдите в Настройки → Доступ в экстренных ситуациях
2. Добавьте доверенных контактов (им нужны учетные записи Vaultwarden)
3. Установите период ожидания (например, 7 дней)
4. Если они запросят доступ, и вы не откажете в течение периода ожидания, они получат доступ только для чтения к вашему хранилищу

Административная панель

Получите доступ к административной панели по адресу https://vault.yourdomain.com/admin, используя ваш ADMIN_TOKEN. Здесь вы можете:

• Просматривать всех пользователей и организации
• Приглашать новых пользователей или удалять учетные записи
• Просматривать конфигурацию сервера и диагностику
• Выполнять обслуживание базы данных

Импорт существующих паролей

Переходите с другого менеджера паролей? Bitwarden импортирует практически из всего:

Из Chrome/Firefox

1. Экспортируйте пароли из вашего браузера (обычно в формате CSV)
2. В веб-хранилище Bitwarden: Инструменты → Импорт данных
3. Выберите ваш браузер в качестве исходного формата
4. Загрузите файл

Из 1Password, LastPass, Dashlane и т. д.

1. Экспортируйте из вашего текущего менеджера (проверьте их документацию для вариантов экспорта)
2. В Bitwarden: Инструменты → Импорт данных
3. Выберите исходное приложение из выпадающего списка
4. Загрузите ваш файл экспорта

После импорта: Удалите файл экспорта безопасно — он содержит все ваши пароли в открытом виде!

Держите Vaultwarden обновленным

Обновления приносят исправления безопасности и новые функции. Обновляйте регулярно:

# Перейдите в вашу директорию Vaultwarden
cd ~/vaultwarden

# Получите последний образ
docker compose pull

# Перезапустите с новой версией
docker compose up -d

# Очистите старые образы
docker image prune -f

Проверьте страницу релизов Vaultwarden для получения журналов изменений и критических изменений перед крупными обновлениями.

Устранение неполадок

Не удается получить доступ к веб-хранилищу

• Проверьте, что ваша DOMAIN переменная окружения точно соответствует вашему фактическому URL
• Проверьте SSL-сертификат: curl -I https://vault.yourdomain.com
• Проверьте журналы Caddy: docker compose logs caddy

Уведомления по электронной почте не работают

• Если вы используете Gmail, вам нужен Пароль приложения (не ваш обычный пароль)
• Проверьте настройки SMTP в административной панели → Диагностика
• Попробуйте отправить тестовое письмо из административной панели

Мобильное приложение не может подключиться

• Убедитесь, что вы используете HTTPS (не HTTP)
• Проверьте, что SSL-сертификат действителен (не самоподписанный, если вы не установили его на своем устройстве)
• Попробуйте сначала получить доступ к URL веб-хранилища в браузере вашего телефона

Часто задаваемые вопросы

Vaultwarden так же безопасен, как и Bitwarden?

Да. Vaultwarden реализует ту же схему шифрования (AES-256-CBC с PBKDF2-SHA256 или Argon2id). Ваше хранилище шифруется локально с вашим мастер-паролем до того, как какие-либо данные коснутся сервера. Даже если кто-то скомпрометирует ваш сервер, они не смогут прочитать ваши пароли без вашего мастер-пароля.

Что произойдет, если мой сервер упадет?

Клиенты Bitwarden кэшируют ваше хранилище локально. Вы все равно сможете получить доступ и автозаполнить пароли в оффлайне. Вы просто не сможете синхронизировать новые изменения, пока сервер не вернется в онлайн.

Могу ли я использовать это на нескольких устройствах?

Абсолютно. Войдите на столько устройств, сколько хотите — телефоны, планшеты, компьютеры, браузеры. Изменения синхронизируются автоматически.

Есть ли лимит на пароли или пользователей?

Нет искусственных ограничений. Храните столько паролей, сколько хотите, создавайте столько учетных записей пользователей и организаций, сколько вам нужно. Единственное ограничение — это место на вашем сервере.

Могу ли я позже мигрировать обратно в облако Bitwarden?

Да. Экспортируйте ваше хранилище из Vaultwarden (Инструменты → Экспорт хранилища), затем импортируйте в учетную запись облака Bitwarden. Ваши данные портативны.

Что дальше?

Теперь у вас есть менеджер паролей профессионального уровня, работающий на вашей собственной инфраструктуре. Вот как извлечь из этого максимальную пользу:

• Импортируйте все ваши пароли из браузеров и других менеджеров
• Установите расширение для браузера на каждом устройстве — автозаполнение меняет правила игры
• Настройте совместное использование с семьей для общих подписок и аккаунтов
• Включите 2FA повсюду — Vaultwarden также может хранить ваши TOTP-коды
• Изучите больше саморазмещаемых приложений в каталоге Hostly — возможно, следующая будет решение для резервного копирования фотографий?

Безопасность паролей больше не является опцией — это необходимость. С Vaultwarden вы получаете лучшее из обоих миров: отточенный опыт коммерческих менеджеров паролей с конфиденциальностью и контролем саморазмещения. Ваши пароли остаются вашими, зашифрованными на вашем оборудовании, доступными только с вашим мастер-паролем.

Никаких ежемесячных платежей. Никакой добычи данных. Никакого доверия не требуется. Просто безопасное, частное управление паролями для вас и вашей семьи.