
还在为LastPass的订阅费肉疼?担心1Password的云端同步泄露隐私?Vaultwarden作为Bitwarden官方客户端的完美平替,用一行Docker命令就能搭建私有密码库,支持跨设备同步、两步验证、紧急访问,甚至能跑在树莓派上!今天手把手教你部署这套“密码银行系统”!
Vaultwarden 是Bitwarden密码管理器的Rust重构版,资源占用降低10倍,却100%兼容官方客户端!三分钟部署,永久拥有属于你的:
🔐 超级加密:AES-256 + PBKDF2算法护体
🚦 智能限速:自动封禁暴力破解IP
🚨 应急通道:亲属紧急接管账户
📦 安全共享:加密发送密码片段
🛡️ 隐身模式:一键关闭Web入口防爆破
一、打开 DockerCompose 快速部署

新建 docker-compose.yml 文件,填入以下配置:
version: '3'
services:
vaultwarden:
container_name: vaultwarden
image: vaultwarden/server:latest
restart: always
volumes:
- ./data/:/data/
ports:
- "80:80"
environment:
- DOMAIN=https://vault.yourdomain.com # 绑定你的域名
- LOGIN_RATELIMIT_MAX_BURST=10 # 60秒内最多10次登录尝试
- ADMIN_TOKEN=你的超强令牌 # 务必替换为随机字符串
- EMERGENCY_ACCESS_ALLOWED=true # 控制用户是否可以启用紧急访问
- WEB_VAULT_ENABLED=true # 启用网页管理端 二、启动你的企业级密码

3秒后访问 http://你的IP:8080,见证奇迹的时刻!
三、一些推荐的环境变量配置
- DOMAIN=https://vault.yourdomain.com # 这是您希望与您的Vaultwarden实例关联的域名。
- LOGIN_RATELIMIT_MAX_BURST=10 # 允许在一阵登录/两步验证尝试中的最大请求次数。
- LOGIN_RATELIMIT_SECONDS=60 # 这是来自同一IP的登录请求之间的平均秒数,在Vaultwarden限制登录次数之前。
- ADMIN_RATELIMIT_MAX_BURST=10 # 这与LOGIN_RATELIMIT_MAX_BURST相同,只争对admin面板。
- ADMIN_RATELIMIT_SECONDS=60 # 这与LOGIN_RATELIMIT_SECONDS相同
- ADMIN_SESSION_LIFETIME=20 # 会话持续时间
- ADMIN_TOKEN=KC72y8rUu9YpLGkTf3 # 此值是Vaultwarden管理员面板的令牌(一种密码)。为了安全起见,这应该是一个长的随机字符串。如果未设置此值,则管理员面板将被禁用。建议openssl rand -base64 48 生成ADMIN_TOKEN确保安全
- SENDS_ALLOWED=true # 此设置决定是否允许用户创建Bitwarden发送 - 一种凭证共享形式。
- EMERGENCY_ACCESS_ALLOWED=true # 此设置控制用户是否可以启用紧急访问其账户的权限。例如,这样做可以在用户去世后,配偶可以访问密码库以获取账户凭证。可能的值:true / false。
- WEB_VAULT_ENABLED=true # 此设置决定了网络保险库是否可访问。一旦您配置了您的账户和客户端,停止您的容器,然后将此值切换为false并重启Vaultwarden,可以用来防止未授权访问。可能的值:true/false。 1. 登录Web控制台
浏览器打开 http://IP:8080 → 点击「创建账户」注册管理员
2. 绑定专属域名(必须设置项)
在NAS或者路由器配置反代,将 vault.yourdomain.com 指向8080端口
(不会的小伙伴可以私信,后期也会出相应教程)
3. 核弹级安全加固
🔑 开启两步验证(推荐Yubikey物理密钥)
⚔️ 进入容器执行 ./data/config.json 调整加密参数
💣 禁用网页端:设置 WEB_VAULT_ENABLED=false 后重启
应急接管
成员账户开启「紧急联系人」功能,设置72小时延迟生效,防止突然社死
跨组织共享
创建「集合」→ 邀请团队成员 → 按部门分级授权(市场部只能看社交媒体密码)
自毁模式
在 .env 文件添加 INVITATIONS_ALLOWED=false 关闭新用户注册
如果说LastPass是租保险箱,Vaultwarden就是自己造金库!实测256MB内存的甲骨文ARM机都能流畅跑,再也不用被订阅制PUA了~ 部署时记得 ADMIN_TOKE 刻在U盘上,别学某同学设成123456结果被猫咪踩键盘误删了库🤣
你见过最离谱的密码是什么?同事曾用“老板生日+公司WiFi密码”当银行卡密码,结果...(评论区聊一聊)
👉 关注「镜像车间」公众号,更多Docker镜像实战手记,就在镜像车间。
(本文测试环境:飞牛NAS + 阿里云域名,反向代理方案下期见)