Vaultwarden — причина, з якої «self-hosted менеджер паролів» перестав бути спортом для ентузіастів: він реімплементує серверний API Bitwarden на Rust, тож кожен офіційний клієнт Bitwarden — розширення, мобільні застосунки, десктоп, CLI — працює без змін, а сервер простоює на 50–256 MB RAM замість багатогігабайтного офіційного стеку. VPS класу $5 тягне його для родини; за $15 — для компанії. Саме встановлення — один контейнер; інженерії заслуговують HTTPS, адмін-поверхня та бекапи.
Що йому реально потрібно
| Розгортання | CPU | RAM | Диск |
|---|---|---|---|
| Особисте / родина (2–10 користувачів) | 1 vCPU | 512 MB всього разом з ОС | 1–2 GB (сховище + вкладення) |
| Невелика компанія (10–100) | 2 vCPU | 1–2 GB | 5–20 GB (вкладення, sends) |
| З Postgres/MariaDB замість SQLite | 2 vCPU | +512 MB | так само |
SQLite — дефолт і (непопулярна думка, підтримана мейнтейнерами) підходить переважній більшості інстансів: навантаження на запис у менеджера паролів тривіальне. Переходьте на Postgres за сотень користувачів або якщо дисципліна point-in-time recovery у вас уже налагоджена деінде.
Три граблі, які реально б'ють
- HTTPS не опціональний. Веб-сховище та розширення використовують WebCrypto, який браузери вмикають лише в secure-контексті — по чистому HTTP логін просто не працює. Ставте Vaultwarden за Caddy (два рядки конфігу, автоматичний Let's Encrypt) або nginx + certbot. Ніколи не публікуйте порт контейнера напряму.
- Адмін-панель — заряджена рушниця.
/adminзі слабким токеном = повна компрометація сховища. Генеруйте токен argon2-хешем (vaultwarden hash), а краще: не задавайте ADMIN_TOKEN узагалі (панель вимкнена) і вмикайте лише за потреби. - Відкрита реєстрація. За замовчуванням зареєструватися може будь-хто, хто знайшов URL. Після створення своїх акаунтів ставте
SIGNUPS_ALLOWED=falseі використовуйте запрошення — сканери інтернету знаходять інстанси Vaultwarden протягом годин після появи DNS.
Бекапи: частина, яку пропускають і шкодують
Self-hosted менеджер паролів концентрує все ваше цифрове життя в одній директорії. Правила, які важливі:
- Бекапте всю data-директорію (
db.sqlite3,attachments/,rsa_key*— без RSA-ключів після відновлення зламаються всі сесії/2FA). Для SQLite —sqlite3 db.sqlite3 ".backup ...", а не сире копіювання живого файлу. - Виносьте бекапи з сервера — restic чи borg на іншу машину або S3-сумісне сховище, шифровано. Бекап на тому ж диску — це копія, а не бекап.
- Тестуйте відновлення щокварталу. Підніміть одноразовий контейнер із бекапу, залогіньтеся, побачте записи. Неперевірений бекап — це надія, а не план.
Шукаєте сервер, який просто працює?
Valebyte VPS — NVMe, підтримка 24/7, розгортання за 60 секунд.
Де хостити
Раціонально підходить будь-який крихітний VPS у стабільній юрисдикції: E2E-шифрування Vaultwarden означає, що хост ніколи не бачить ваші секрети — важлива лише доступність. Практичний вибір: маленький VPS у ЄС (юрисдикція GDPR, близько до вас) або підселити його на наявну машину — він достатньо легкий, щоб ділити сервер із PaaS чи моніторингом. Для рівня «корпоративна параноя» (сховище компанії, комплаєнс) dedicated за $25–35 з каталогу дає фізичну ізоляцію дешевше за два місця Bitwarden Enterprise.
Підсумок
Vaultwarden — один із найцінніших self-hosted сервісів на мегабайт з наявних: повний UX Bitwarden, тривіальне залізо, один контейнер. Витратьте зекономлені зусилля рівно туди, куди вказує цей гайд — HTTPS, замкнений адмін, закрита реєстрація, перевірені зовнішні бекапи — і він тихо працюватиме роками. Факти перевірені 8 липня 2026.