Vaultwarden
Vaultwarden 的核心定位、与 Bitwarden 的关系、功能和使用场景。
#status / growing
#type / resource
#tech / ops
Vaultwarden
[!info] related notes Vaultwarden prelogin 404 故障 Docker Compose 容器升级步骤 Debian 部署 Homepage 和 Vaultwarden
0. Bitwarden vs Vaultwarden:关系与区别
简单来说:
Bitwarden = 官方品牌 + 官方客户端 + 官方云服务 + 官方自建服务端
Vaultwarden = 非官方的 Bitwarden 兼容服务端
| 项目 | Bitwarden | Vaultwarden |
|---|---|---|
| 身份 | 官方项目 | 非官方兼容实现(Rust 编写) |
| 客户端 | 官方浏览器扩展、桌面 App、手机 App、Web Vault | 没有自己的客户端,直接用 Bitwarden 官方客户端 |
| 服务端 | 官方 Bitwarden Server(可云端/自建) | 单体 Rust 服务,轻量 |
| 资源占用 | 组件多,偏重 | 单体服务,适合家用/NAS/小主机 |
| 兼容性 | 官方完整支持 | 尽量兼容官方客户端 API |
| 适合场景 | 企业、团队、需要官方支持 | 个人、家庭、小团队、Homelab |
你不需要找”Vaultwarden 客户端”,正常使用方式就是:
Bitwarden 浏览器扩展 / 手机 App / 桌面 App
↓
连接到你自建的 Vaultwarden 服务端 (https://pass.bakersean.top)
↓
数据存在你家 Debian 服务器上
为什么家用选 Vaultwarden 而不是官方 Bitwarden Server
官方 Bitwarden 自建服务端偏完整企业部署,组件和资源需求相对高。Vaultwarden 是单体服务,Docker 一跑就能用,特别适合家庭服务器、NAS、小型 VPS、Debian 小主机、Homelab 这类场景。
代价
它不是 Bitwarden 官方服务端,所以会出现客户端和服务端版本兼容性问题:
- 新版 Bitwarden 扩展用了新 API 接口
- Vaultwarden 旧版本还没支持该接口
- 于是客户端报错(如
prelogin/password => 404)
解决方式通常是升级 Vaultwarden。详见 vaultwarden-prelogin-404。
1. 核心定位:它到底是什么?
本质上是 Bitwarden 的轻量化服务端。
- 对内:它是你的数字保险箱,存储密码、银行卡、私钥、笔记。
- 对外:它是一个完全属于你的数据同步中心,让你的电脑、手机、平板实时同步这些机密信息。
- 优势:相比官方免费版,你的自托管版本直接解锁了高级会员功能(如 TOTP 验证码生成、密码健康报告、附件存储等)。
2. 界面功能详解 (基于你的后台截图)
🏦 密码库 (Vault) - 你的大本营
这是你存放所有数据的地方,支持四种类型:
- 登录 (Logins):最常用的。存账号、密码、网址。
- 高级技巧:在“验证码 (TOTP)”一栏填入网站的 2FA 密钥(就是扫描二维码得到的那个字符串),Vaultwarden 就能变身 Google Authenticator,自动帮你生成 6 位动态验证码,登录时直接自动粘贴,极其方便!
- 支付卡 (Cards):存信用卡、借记卡信息。
- 身份 (Identities):存姓名、地址、身份证号、护照号,填表时一键填充。
- 安全笔记 (Secure Notes):存 SSH 私钥、恢复代码 (Recovery Codes)、Wi-Fi 密码等纯文本。
✈️ Send (安全发送) - “阅后即焚”的机密信使
截图里你看到的那个 Send 页面
- 场景:你要把一个 Wi-Fi 密码或机密文件发给同事,但微信/QQ 传输会被服务器留底,不安全。
- 用法:
- 点击
新增 Send。 - 输入文本或上传文件(最大 500MB,受限于你 N100 的配置)。
- 关键设置:可以设置 “访问密码”、“1小时后自动删除” 或 “被访问 1 次后自动删除”。
- 生成一个链接,发给对方。
- 点击
- 效果:对方点开链接 -> 输入密码 -> 看到内容。你看完即焚,像特工电影一样,数据完全在你掌控中。
🛠️ 工具 (Tools)
- 生成器 (Generator):
- 永远不要自己想密码!用这个生成
s&2@L9#x...这种 20 位以上的随机密码。 - 支持生成“密码短语” (Passphrase),比如
correct-horse-battery-staple,既长又好记。
- 永远不要自己想密码!用这个生成
- 导入/导出 (Import/Export):
- 搬家神器:支持从 Chrome、LastPass、1Password 等几十种浏览器和软件一键导入数据。
- 备份救命:建议定期导出
.json(加密) 格式进行冷备份。
📊 报告 (Reports) - 你的安全体检单
这是自托管版本最香的功能之一(官方要付费)。它能扫描你的整个密码库:
- 暴露的密码:检查你的密码是否在已知的黑客泄露数据库中(Pwned Passwords)。
- 重复使用的密码:这是大忌!它会把所有用了同一个密码的网站揪出来。
- 弱密码:找出那些还在用
123456的账号。 - 未启用的 2FA:扫描支持两步验证但你还没开启的网站。
3. 正确的使用姿势 (Day-to-Day Workflow)
不要只用网页版! 网页版是用来管理的,日常使用靠客户端。
✅ 浏览器插件 (核心体验)
- 安装:Chrome/Edge 商店搜索
Bitwarden。 - 连接:点击设置 -> 自托管环境 -> 填入
https://pass.bakersean.top-> 登录。 - 自动填充:
- 当你打开淘宝登录页,插件图标上会显示数字
1。 - 按快捷键
Ctrl + Shift + L(Windows) 或Cmd + Shift + L(Mac),账号密码自动填入。 - 再按一次,自动填入 TOTP 验证码(如果你配了的话)。
- 当你打开淘宝登录页,插件图标上会显示数字
✅ 手机端 (iOS/Android)
- 下载:App Store / Google Play 搜
Bitwarden。 - 设置:登录前点击小齿轮/自托管,填入你的域名。
- 开启生物识别:设置里开启 FaceID/指纹解锁,平时不用输主密码。
- 开启自动填充:
- iOS: 设置 -> 密码 -> 密码选项 -> 勾选 Bitwarden。
- Android: 设置 -> 自动填充服务 -> 选择 Bitwarden。
- 效果:你在手机 APP 里登录账号时,键盘上方会自动跳出 Bitwarden 的账号提示,一点就填进去了。
4. 自托管用户的“保命”守则
既然你是自己的“服务商”,安全责任就在你身上:
-
主密码 (Master Password) 是上帝之钥:
- 一旦忘记,神仙难救。没有“找回密码”功能。
- 建议:把主密码写在纸上,锁进家里的物理保险柜。
-
关闭注册 (Close the Door):
- 你自己注册完账号后,务必去服务器的
compose.yaml里把SIGNUPS_ALLOWED改为false并重启容器。 - 否则,任何知道你域名的人都能来你服务器上存密码!
- 你自己注册完账号后,务必去服务器的
-
数据备份 (Backup):
- 虽然 N100 没那么容易坏,但如果不备份,一旦硬盘挂了就全没了。
- 策略:定期把 Docker 里的
vw-data目录复制到别的地方(比如 NAS、OneDrive 或加密后传到云端)。