Vaultwarden - это легкая, самостоятельная реализация сервера Bitwarden, написанная на Rust. Vaultwarden разработан как более простая и ресурсоэффективная альтернатива официальному серверу Bitwarden

Несмотря на свой легкий дизайн, Vaultwarden остается полностью совместимым со всей экосистемой Bitwarden, включая приложения для Android и iOS, расширения браузера и официальное настольное приложение Bitwarden. Это означает, что вы все еще можете использовать безопасное и знакомое официальное приложение Bitwarden, но все ваши данные хранятся и управляются на вашем собственном сервере.

В этой статье я покажу вам, как установить Vaultwarden на Void Linux с Docker, обратным прокси Caddy с обновлением WebSocket и Let’s Encrypt TLS.

Предварительные условия

  • Сервер под управлением Void Linux.
  • Привилегии пользователя: пользователь root или не root с привилегиями sudo.

Конвенции

1
2

# - данные команды должны выполняться с правами root либо непосредственно от имени пользователя root, либо с помощью команды sudo.
$ - данные команды должны выполняться от имени обычного пользователя.

Обновите систему

Свежая установка Void Linux требует обновления пакетов до последних доступных версий.

1

sudo xbps-install -u xbps

После того, как xbps включен, запустите полное обновление системы.

1

sudo xbps-install -Syu

Система может нуждаться в перезагрузке после обновления.

1

sudo reboot -f

Установите Docker и Docker Compose

Docker поставляется в официальных хранилищах Void, поэтому сторонние репозитории не нужны.

1

sudo xbps-install docker docker-compose

Включите и запустите Docker

Void Linux использует рунит вместо systemd. Здесь нет возможности systemctl enable. Чтобы включить и запустить услугу, вы создаете симлинк из /etc/sv/ в /var/service/. Рунит поднимает его в течение пяти секунд и автоматически запускает демон.

1

sudo ln -s /etc/sv/docker /var/service/docker

Дайте руниту минуту, затем проверьте статус сервиса:

1

sudo sv status docker

Вы должны увидеть службу, работающую с PID и временем безотказной работы:

1

run: docker: (pid 890) 7070s

Управляйте Docker как некорневым пользователем

Запуск каждой команды Docker с помощью sudo быстро устаревает. Добавьте пользователя в группу docker для запуска контейнеров без привилегий root.

1

sudo usermod -aG docker $(whoami)

Применить членство в группе без выхода из системы:

1

newgrp docker

Подтвердите, что он работает, запуская контейнер без sudo:

1

docker run --rm alpine echo "Docker works without sudo"

Вы должны увидеть:

1

Docker works without sudo

Имейте в виду, что любой человек в группе docker имеет доступ к хосту на корневом уровне через контейнерные крепления. Добавьте только надежных пользователей.

Создание Docker Compose Files

Мы будем использовать комбинацию Docker и Caddy. Docker изолирует приложение Vaultwarden в контейнере, а Caddy выступает в качестве веб-сервера, который автоматически обрабатывает соединения HTTPS. Этот метод очень эффективен и прост в обслуживании. На предыдущем этапе мы настроили систему для запуска команд Docker без sudo. Давайте перейдем к этому использованию сейчас и приступим к следующим шагам.

Давайте создадим новый каталог проекта:

1

mkdir -p vaultwarden-server && cd "$_"

Теперь создайте файл docker-compose.yml с помощью текстового редактора nano:

1

nano docker-compose.yml

Добавьте следующую конфигурацию:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31

services:
  vaultwarden:
    image: vaultwarden/server:latest
    container_name: vaultwarden
    restart: always
    environment:
      - WEBSOCKET_ENABLED=true
      - SIGNUPS_ALLOWED=true 
      - DOMAIN=https://vaultwarden.example.com
    volumes:
      - ./vw-data:/data
    networks:
      - vaultwarden_net

  caddy:
    image: caddy:latest
    container_name: caddy
    restart: always
    ports:
      - "80:80"
      - "443:443"
    volumes:
      - ./Caddyfile:/etc/caddy/Caddyfile:ro
      - ./caddy-data:/data
      - ./caddy-config:/config
    networks:
      - vaultwarden_net

networks:
  vaultwarden_net:
    name: vaultwarden_net
Важное замечание
Замените vaultwarden.example.com доменом, который вы уже настроили и указали на свой сервер. Эта конфигурация также создает внутреннюю сеть под названием vaultwarden net. Это гарантирует, что Caddy и Vaultwarden безопасно общаются внутри сервера, не выставляя порты Vaultwarden в открытый интернет.

Затем создайте файл Caddyfile:

1

nano Caddyfile

Заполните его следующей обратной конфигурацией прокси. Caddy автоматически получит сертификат SSL/TLS от Let’s Encrypt для вашего домена.

1
2
3
4
5
6
7
8

vaultwarden.example.com {
    reverse_proxy vaultwarden:80 {
        header_up Host {host}
        header_up X-Real-IP {remote_ip}
        header_up X-Forwarded-For {remote_ip}
        header_up X-Forwarded-Proto {scheme}
    }
}

Если же вы хотите запустить Vaultwarden в локальной сети для локального доменного имени то файл Caddyfile будет выглядеть следующим образом

1
2
3
4

vaultwarden.example.com {
        reverse_proxy vaultwarden:80
        tls internal
}

Опять же, не забудьте заменить vaultwarden.example.com вашим фактическим доменом/поддоменом. Сохраните файл, затем выйдите из редактора.

Запустите контейнер

Теперь, когда все конфигурации готовы, мы можем запустить оба контейнера в фоновом режиме с одной командой.

1

docker compose up -d

Docker загружает изображения Vaultwarden и Caddy и запускает их в соответствии с конфигурацией. Вы можете проверить состояние контейнера с помощью docker ps.

1

docker ps

Доступ и создание учетной записи Admin

Откройте браузер и получите доступ к домену, который вы только что создали (например, https://vaultwarden.example.com). Теперь вы увидите фронтенд.

Если все работает хорошо, вы увидите страницу входа в Vaultwarden. Нажмите «Создать аккаунт», чтобы создать свой первый аккаунт. Эта учетная запись будет администратором по умолчанию.

После создания учетной записи администратора и регистрации вашей команды настоятельно рекомендуется отключить новые регистрации, чтобы посторонние лица не создавали учетные записи на вашем сервере. Для этого:

1

sudo sed -i "s/SIGNUPS_ALLOWED: 'true'/SIGNUPS_ALLOWED: 'false'/" docker-compose.yml

Затем повторите docker, составьте -d, чтобы применить изменения.

1

docker compose up -d

Compose делает изящное воссоздание только контейнера Vaultwarden. Сеансы остаются зарегистрированными. Отныне новые учетные записи существуют только в том случае, если их приглашает администратор.

Подключите мобильное приложение Bitwarden и расширения браузера

Каждый официальный клиент Bitwarden поддерживает пользовательские серверы. В каждом клиенте:

  1. Откройте экран настроек/логинов.
  2. Нажмите значок серверной передачи в верхней части формы входа.
  3. Установите среду самообслуживания, базовый URL: https://${APP DOMAIN}.
  4. Войдите с электронной почтой и мастер-паролем, который вы создали.

Клиенты, которые работают без изменений: iOS Bitwarden, Android Bitwarden, настольное приложение (macOS, Windows, Linux), расширения браузера Chrome/Firefox/Safari/Edge и bw CLI. Поверхность API Vaultwarden совместима с API до спецификации Bitwarden 2025.11.

Завершение

Вот и все! Теперь вы можете установить расширение браузера для подключения к Vaultwarden.

Управление собственным менеджером паролей требует некоторых первоначальных усилий. Тем не менее, спокойствие, которое приходит от полного контроля над учетными данными вашей компании, стоит инвестиций. Этот процесс установки Vaultwarden демонстрирует, что такая передовая технология теперь очень доступна и может быть реализована любой технической командой.

Если вам понравился этот пост о том, как установить Vaultwarden на Void Linux, пожалуйста, поделитесь им со своими друзьями или оставьте комментарий ниже.