Self-hosted Bitwarden / Vaultwarden: парольний менеджер для

Для розгортання Vaultwarden на команду до 50 осіб достатньо VPS з 1 vCPU, 512 MB RAM і 10 GB диска, що обходиться приблизно в $4-5 на місяць, забезпечуючи повний контроль над корпоративними паролями та виключаючи щомісячні платежі за кожного користувача.

Використання хмарних менеджерів паролів пов'язане з ризиками: від витоків даних на стороні провайдера до раптового блокування облікових записів. Vaultwarden (раніше відомий як bitwarden_rs) є альтернативною реалізацією API Bitwarden, написаною мовою Rust. Це легковажне рішення дозволяє розгорнути повноцінний bitwarden self hosted сервіс, який споживає в 10-20 разів менше ресурсів, ніж офіційний Docker-образ від розробників, написаний на .NET Core і потребує MSSQL.

Чому Vaultwarden VPS — це стандарт для сучасного бізнесу?

Основна перевага vaultwarden vps полягає в поєднанні безпеки та економічності. У той час як офіційний Bitwarden вимагає мінімум 4 GB оперативної пам'яті для комфортної роботи через важковагову архітектуру мікросервісів, Rust-версія відмінно функціонує на мінімальних тарифах. Це критично при масштабуванні інфраструктури або при міграції з Vercel/Netlify на свій VPS, де кожен мегабайт пам'яті на рахунку.

Порівняння архітектурних рішень

Офіційний Bitwarden використовує стек технологій Microsoft, включаючи SQL Server і безліч контейнерів для різних завдань (API, Identity, Web, Notifications). Vaultwarden об'єднує всі функції в одному бінарному файлі, використовуючи SQLite за замовчуванням. Це не тільки спрощує деплой, а й знижує поверхню атаки. При використанні vaultwarden docker ви отримуєте єдиний контейнер, який легко оновлювати та переносити між серверами.

Економічна вигода і функціонал

Платні функції Bitwarden, такі як створення організацій, спільне використання паролів у командах (Collections), двофакторна автентифікація (2FA) через Yubikey або Duo, у Vaultwarden доступні безкоштовно. Для компанії з 20 осіб використання хмарного сервісу обійдеться в $60-100 щомісяця. Свій парольний менеджер на базі Vaultwarden коштує фіксовані $5 за оренду сервера, незалежно від кількості співробітників.

Характеристика	Bitwarden Cloud (Free)	Bitwarden Enterprise	Vaultwarden (Self-hosted)
Вартість	$0	$5/міс за юзера	Ціна VPS (~$5/міс)
Командні папки	Немає	Так	Так (необмежено)
Споживання RAM	N/A	4-8 GB	128-256 MB
2FA (Yubikey/Duo)	Немає	Так	Так
Зберігання вкладень	100 MB	1 GB+	Обмежено диском VPS

Технічна реалізація Vaultwarden Docker і системні вимоги

Для запуску vaultwarden docker конфігурації підходять практично будь-які сучасні дистрибутиви Linux. Рекомендується використовувати Ubuntu 22.04 LTS або Debian 12 як найбільш стабільні платформи з актуальними версіями Docker-рушія. Якщо ви плануєте переїзд з DigitalOcean або іншого великого провайдера, процес налаштування залишиться ідентичним завдяки контейнеризації.

Мінімальні та рекомендовані характеристики

• Процесор: 1 ядро (навіть з частотою 2.0 GHz достатньо для шифрування на льоту).
• Оперативна пам'ять: 256 MB для особистого користування, 512 MB - 1 GB для команди (з урахуванням кешування ОС).
• Дисковий простір: 10 GB NVMe (база даних паролів важить небагато, основний обсяг займають логи і вкладення).
• Мережа: 100 Mbps - 1 Gbps (трафік мінімальний, так як передаються тільки текстові дані).

Важливо розуміти, що Rust-реалізація працює вкрай ефективно. Навіть при сотнях одночасних запитів від мобільних клієнтів і браузерних розширень, навантаження на CPU рідко перевищує 5-10%. Це дозволяє розміщувати Vaultwarden на одному сервері з іншими легкими сервісами, наприклад, якщо ви використовуєте WireGuard на VPS для захищеного доступу в інтернет.

Покрокова установка Bitwarden self hosted на сервер

Процес розгортання bitwarden self hosted починається з підготовки оточення. Передбачається, що у вас вже є чистий VPS і доменне ім'я, направлене на IP-адресу сервера. Використання HTTPS обов'язкове, так як сучасні браузери блокують Web Crypto API на незахищених з'єднаннях, що зробить роботу менеджера паролів неможливою.

Крок 1: Установка Docker і Docker Compose

curl -fsSL https://get.docker.com -o get-docker.sh
sudo sh get-docker.sh
sudo systemctl enable --now docker

Крок 2: Створення конфігурації docker-compose.yml

Створіть робочу директорію і файл конфігурації. Ми будемо використовувати офіційний образ Vaultwarden і вбудовану базу даних SQLite, яка для 99% команд є оптимальним вибором по продуктивності і простоті бекапу.

version: '3'
services:
  vaultwarden:
    image: vaultwarden/server:latest
    container_name: vaultwarden
    restart: always
    environment:
      - SIGNUPS_ALLOWED=true
      - DOMAIN=https://pass.yourdomain.com
      - DATABASE_URL=data/vaultwarden.db
      - ADMIN_TOKEN=some_strong_random_token_here
    volumes:
      - ./vw-data:/data
    ports:
      - 8080:80

У цій конфігурації параметр ADMIN_TOKEN дозволяє отримати доступ до прихованої панелі управління за адресою /admin. Там можна управляти користувачами і настройками сервера без редагування конфігураційних файлів. Після реєстрації всіх співробітників рекомендується встановити SIGNUPS_ALLOWED=false для запобігання реєстрації сторонніх осіб.

Налаштування Nginx і SSL для Bitwarden self hosted

Прямий проброс портів контейнера в мережу - погана практика. Для забезпечення безпеки і управління SSL-сертифікатами необхідно використовувати reverse proxy, наприклад Nginx. Це стандартна схема, яку ми також рекомендуємо застосовувати, коли налаштовуєте Self-hosted n8n або інші веб-сервіси.

Конфігурація Nginx

Встановіть Nginx і Certbot для автоматичного отримання сертифікатів Let's Encrypt. Приклад конфігураційного файлу для сайту:

server {
    listen 80;

    server_name pass.yourdomain.com;
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl http2;
    server_name pass.yourdomain.com;

    ssl_certificate /etc/letsencrypt/live/pass.yourdomain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/pass.yourdomain.com/privkey.pem;

    client_max_body_size 128M;

    location / {
        proxy_pass http://127.0.0.1:8080;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }

    location /notifications/hub {
        proxy_pass http://127.0.0.1:3012;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
    }

    location /notifications/hub/negotiate {
        proxy_pass http://127.0.0.1:8080;
    }
}

Секція /notifications/hub необхідна для роботи WebSocket. Це дозволяє мобільним додаткам та розширенням браузера миттєво отримувати сповіщення про зміни в базі паролів без необхідності ручної синхронізації.

Адміністрування та командний доступ до свого парольного менеджера

Коли свій парольний менеджер запущено, основне управління відбувається через веб-інтерфейс. Для командної роботи в Vaultwarden реалізовано концепцію організацій. Організація — це спільний простір, де адміністратор може створювати колекції (папки) та розподіляти права доступу між співробітниками.

Налаштування SMTP для сповіщень

Щоб запрошувати нових користувачів, сервер повинен вміти відправляти електронну пошту. В панелі адміністратора або через змінні оточення додайте налаштування SMTP-шлюзу. Без цього користувачі не зможуть підтвердити свій e-mail та отримувати сповіщення про вхід з нових пристроїв.

- SMTP_HOST=smtp.mailgun.org
- [email protected]
- SMTP_PORT=587
- SMTP_SECURITY=starttls
- [email protected]
- SMTP_PASSWORD=password

Управління колекціями

Всередині організації можна створити колекції, наприклад: "Маркетинг", "Розробка", "Адміни". Кожному співробітнику призначається рівень доступу: "Лише читання", "Читання та запис" або "Адміністратор колекції". Це дозволяє гнучко розмежовувати доступ до критичної інфраструктури. Дана модель прав доступу нагадує ту, що використовується в корпоративних VPN-рішеннях, таких як VLESS-Reality, де доступ до ресурсів суворо регламентований.

Безпека та бекапи в password manager selfhost

Безпека password manager selfhost базується на наскрізному шифруванні (E2EE). Сервер ніколи не бачить ваш майстер-пароль в чистому вигляді — всі операції шифрування відбуваються на клієнті. Однак, відповідальність за збереження зашифрованої бази лежить на власнику VPS.

Стратегія резервного копіювання

SQLite база даних в Vaultwarden — це один файл db.sqlite3. Однак просте копіювання файла під час роботи сервера може призвести до пошкодження даних (corruption). Правильний метод — використання команди .backup через sqlite3 cli або використання спеціалізованих скриптів.

1. Локальний бекап: Регулярне створення дампу бази даних.
2. Зовнішнє сховище: Відправка зашифрованих архівів на S3-сумісне хмарне сховище або інший сервер.
3. Версійність: Зберігання копій за останні 30 днів.

Приклад простого скрипта для бекапу:

#!/bin/bash
BACKUP_DIR="/backups/vaultwarden"
DATA_DIR="/opt/vaultwarden/vw-data"
TIMESTAMP=$(date +"%Y%m%d_%H%M%S")

sqlite3 $DATA_DIR/db.sqlite3 ".backup '$BACKUP_DIR/db_$TIMESTAMP.sqlite3'"
tar -czf $BACKUP_DIR/attachments_$TIMESTAMP.tar.gz $DATA_DIR/attachments
find $BACKUP_DIR -type f -mtime +30 -delete

Імпорт даних з 1Password та LastPass

Перехід на vaultwarden vps максимально спрощений завдяки вбудованим інструментам імпорту. Bitwarden API підтримує практично всі популярні формати експорту. Якщо ваша команда раніше використовувала LastPass або 1Password, процес міграції займе не більше 15 хвилин.

Інструкція з міграції

• Експортуйте дані зі старого менеджера у форматі .csv або .json.
• У веб-інтерфейсі Vaultwarden перейдіть до розділу Інструменти -> Імпорт даних.
• Виберіть формат вихідного файлу (наприклад, "1Password (macOS/Windows)").
• Завантажте файл і натисніть "Імпортувати".

Важливо: після успішного імпорту обов'язково видаліть файли експорту з локального комп'ютера, оскільки вони містять ваші паролі у відкритому вигляді. Vaultwarden коректно обробляє вкладені папки, теги і навіть кастомні поля, зберігаючи структуру вашої бази даних в цілості.

Оптимізація та вирішення проблем

Незважаючи на високу стабільність, під час експлуатації vaultwarden docker можуть виникнути нюанси, пов'язані з лімітами Nginx або оновленням контейнера. Якщо ви завантажуєте великі файли (наприклад, ключі SSH або сертифікати) як вкладення, ви можете зіткнутися з помилкою 413 Request Entity Too Large. Це вирішується збільшенням client_max_body_size в конфігу Nginx, як було показано вище.

Оновлення Vaultwarden

Оновлення відбувається шляхом перестворення контейнера з новим образом. Завдяки тому, що всі дані зберігаються у зовнішньому volume, цей процес безпечний і займає менше хвилини:

docker-compose pull
docker-compose up -d --remove-orphans

Рекомендується перевіряти наявність оновлень раз на місяць, оскільки розробники оперативно закривають виявлені вразливості в upstream-версії Bitwarden і додають підтримку нових функцій клієнтських додатків.

Висновки

Для надійної роботи корпоративного менеджера паролів Vaultwarden оптимально використовувати VPS з 1 GB RAM та NVMe-диском, що гарантує миттєвий доступ до даних та стабільність при зростанні команди. Рекомендується налаштувати автоматичні бекапи бази даних у стороннє сховище та закрити реєстрацію нових користувачів відразу після формування штату співробітників.