告别订阅费!自建企业级密码库Vaultwarden实战指南
镜像车间
2025年07月06日 20:04
收录于文集
共12篇

还在为LastPass的订阅费肉疼?担心1Password的云端同步泄露隐私?Vaultwarden作为Bitwarden官方客户端的完美平替,用一行Docker命令就能搭建私有密码库,支持跨设备同步、两步验证、紧急访问,甚至能跑在树莓派上!今天手把手教你部署这套“密码银行系统”!

🌟 项目亮点速览

Vaultwarden 是Bitwarden密码管理器的Rust重构版,资源占用降低10倍,却100%兼容官方客户端!三分钟部署,永久拥有属于你的:

  • 🔐 超级加密:AES-256 + PBKDF2算法护体

  • 🚦 智能限速:自动封禁暴力破解IP

  • 🚨 应急通道:亲属紧急接管账户

  • 📦 安全共享:加密发送密码片段

  • 🛡️ 隐身模式:一键关闭Web入口防爆破

🚀 极简部署教程

一、打开 DockerCompose 快速部署

新建 docker-compose.yml 文件,填入以下配置:  

代码块
YAML
自动换行
复制代码
version: '3'
services:
  vaultwarden:
    container_name: vaultwarden
    image: vaultwarden/server:latest
    restart: always    
    volumes:
      - ./data/:/data/    
    ports:
      - "80:80"    
    environment:
      - DOMAIN=https://vault.yourdomain.com  # 绑定你的域名
      - LOGIN_RATELIMIT_MAX_BURST=10        # 60秒内最多10次登录尝试
      - ADMIN_TOKEN=你的超强令牌            # 务必替换为随机字符串
      - EMERGENCY_ACCESS_ALLOWED=true       # 控制用户是否可以启用紧急访问
      - WEB_VAULT_ENABLED=true              # 启用网页管理端
复制成功

二、启动你的企业级密码

3秒后访问 http://你的IP:8080,见证奇迹的时刻!

三、一些推荐的环境变量配置

代码块
YAML
自动换行
复制代码
- DOMAIN=https://vault.yourdomain.com # 这是您希望与您的Vaultwarden实例关联的域名。
- LOGIN_RATELIMIT_MAX_BURST=10 # 允许在一阵登录/两步验证尝试中的最大请求次数。
- LOGIN_RATELIMIT_SECONDS=60 # 这是来自同一IP的登录请求之间的平均秒数,在Vaultwarden限制登录次数之前。
- ADMIN_RATELIMIT_MAX_BURST=10 # 这与LOGIN_RATELIMIT_MAX_BURST相同,只争对admin面板。
- ADMIN_RATELIMIT_SECONDS=60 # 这与LOGIN_RATELIMIT_SECONDS相同
- ADMIN_SESSION_LIFETIME=20 # 会话持续时间
- ADMIN_TOKEN=KC72y8rUu9YpLGkTf3 # 此值是Vaultwarden管理员面板的令牌(一种密码)。为了安全起见,这应该是一个长的随机字符串。如果未设置此值,则管理员面板将被禁用。建议openssl rand -base64 48 生成ADMIN_TOKEN确保安全
- SENDS_ALLOWED=true  # 此设置决定是否允许用户创建Bitwarden发送 - 一种凭证共享形式。
- EMERGENCY_ACCESS_ALLOWED=true # 此设置控制用户是否可以启用紧急访问其账户的权限。例如,这样做可以在用户去世后,配偶可以访问密码库以获取账户凭证。可能的值:true / false。
- WEB_VAULT_ENABLED=true # 此设置决定了网络保险库是否可访问。一旦您配置了您的账户和客户端,停止您的容器,然后将此值切换为false并重启Vaultwarden,可以用来防止未授权访问。可能的值:true/false。
复制成功

🔍 新手必看操作指南

1. 登录Web控制台

   浏览器打开 http://IP:8080 → 点击「创建账户」注册管理员

2. 绑定专属域名(必须设置项)

   在NAS或者路由器配置反代,将 vault.yourdomain.com 指向8080端口  

   (不会的小伙伴可以私信,后期也会出相应教程)

3. 核弹级安全加固

🔑 开启两步验证(推荐Yubikey物理密钥)

⚔️ 进入容器执行  ./data/config.json 调整加密参数

💣 禁用网页端:设置 WEB_VAULT_ENABLED=false 后重启

🎩 高阶玩家技巧

应急接管

成员账户开启「紧急联系人」功能,设置72小时延迟生效,防止突然社死

跨组织共享

创建「集合」→ 邀请团队成员 → 按部门分级授权(市场部只能看社交媒体密码)

自毁模式

在 .env 文件添加 INVITATIONS_ALLOWED=false 关闭新用户注册

😎 总结一下

如果说LastPass是租保险箱,Vaultwarden就是自己造金库!实测256MB内存的甲骨文ARM机都能流畅跑,再也不用被订阅制PUA了~ 部署时记得 ADMIN_TOKE 刻在U盘上,别学某同学设成123456结果被猫咪踩键盘误删了库🤣

😀聊天吹水

你见过最离谱的密码是什么?同事曾用“老板生日+公司WiFi密码”当银行卡密码,结果...(评论区聊一聊)

👉 关注「镜像车间」公众号,更多Docker镜像实战手记,就在镜像车间。

(本文测试环境:飞牛NAS + 阿里云域名,反向代理方案下期见)