Vaultwarden — причина, по которой «self-hosted менеджер паролей» перестал быть спортом для энтузиастов: он реимплементирует серверный API Bitwarden на Rust, так что каждый официальный клиент Bitwarden — расширения, мобильные приложения, десктоп, CLI — работает без изменений, а сервер простаивает на 50–256 MB RAM вместо многогигабайтного официального стека. VPS класса $5 тянет его для семьи; за $15 — для компании. Сама установка — один контейнер; инженерии заслуживают HTTPS, админ-поверхность и бэкапы.
Что ему реально нужно
| Развёртывание | CPU | RAM | Диск |
|---|---|---|---|
| Личное / семья (2–10 пользователей) | 1 vCPU | 512 MB всего вместе с ОС | 1–2 GB (хранилище + вложения) |
| Небольшая компания (10–100) | 2 vCPU | 1–2 GB | 5–20 GB (вложения, sends) |
| С Postgres/MariaDB вместо SQLite | 2 vCPU | +512 MB | так же |
SQLite — дефолт и (непопулярное мнение, поддержанное мейнтейнерами) подходит подавляющему большинству инстансов: пишущая нагрузка менеджера паролей тривиальна. Переходите на Postgres при сотнях пользователей или если дисциплина point-in-time recovery у вас уже налажена в другом месте.
Три грабли, которые реально бьют
- HTTPS не опционален. Веб-хранилище и расширения используют WebCrypto, который браузеры включают только в secure-контексте — по чистому HTTP логин просто не работает. Ставьте Vaultwarden за Caddy (две строки конфига, автоматический Let's Encrypt) или nginx + certbot. Никогда не публикуйте порт контейнера напрямую.
- Админ-панель — заряженное ружьё.
/adminсо слабым токеном = полная компрометация хранилища. Генерируйте токен argon2-хешем (vaultwarden hash), а лучше: не задавайте ADMIN_TOKEN вовсе (панель выключена) и включайте только при необходимости. - Открытая регистрация. По умолчанию зарегистрироваться может любой, кто нашёл URL. После создания своих аккаунтов ставьте
SIGNUPS_ALLOWED=falseи используйте приглашения — сканеры интернета находят инстансы Vaultwarden в течение часов после появления DNS.
Бэкапы: часть, которую пропускают и жалеют
Self-hosted менеджер паролей концентрирует всю вашу цифровую жизнь в одной директории. Правила, которые важны:
- Бэкапьте всю data-директорию (
db.sqlite3,attachments/,rsa_key*— без RSA-ключей после восстановления сломаются все сессии/2FA). Для SQLite —sqlite3 db.sqlite3 ".backup ...", а не сырое копирование живого файла. - Уносите бэкапы с сервера — restic или borg на другую машину или S3-совместимое хранилище, шифрованно. Бэкап на том же диске — это копия, а не бэкап.
- Тестируйте восстановление ежеквартально. Поднимите одноразовый контейнер из бэкапа, залогиньтесь, увидьте записи. Непроверенный бэкап — это надежда, а не план.
Ищете сервер, который просто работает?
Valebyte VPS — NVMe, поддержка 24/7, развёртывание за 60 секунд.
Где хостить
Рационально подходит любой крошечный VPS в стабильной юрисдикции: E2E-шифрование Vaultwarden означает, что хост никогда не видит ваши секреты — важна только доступность. Практический выбор: маленький VPS в ЕС (юрисдикция GDPR, близко к вам) или подселить его на существующую машину — он достаточно лёгок, чтобы делить сервер с PaaS или мониторингом из нашей self-hosted серии. Для уровня «корпоративная паранойя» (хранилище компании, комплаенс) dedicated за $25–35 из каталога даёт физическую изоляцию дешевле двух мест Bitwarden Enterprise.
Итог
Vaultwarden — один из самых ценных self-hosted сервисов на мегабайт из существующих: полный UX Bitwarden, тривиальное железо, один контейнер. Потратьте сэкономленные усилия ровно туда, куда указывает этот гайд — HTTPS, запертый админ, закрытая регистрация, проверенные внешние бэкапы — и он будет тихо работать годами. Факты проверены 8 июля 2026.