EQVPS

Свои пароли на своём сервере: Vaultwarden на VPS

Jul 5, 2026 · 3 min read · EQVPS Team

Менеджер паролей — единственное приложение, которое знает всё: каждый логин, каждый код восстановления, каждый ваш секрет. Большинство отдаёт это в чужое облако и надеется. Можно вместо этого запустить его самому, на машине, которой вы управляете. Vaultwarden — лёгкий сервер, совместимый с Bitwarden, который ровно это и делает. Ниже — честная версия того, как сделать это правильно, включая ту часть, где вы становитесь службой безопасности.

Что такое Vaultwarden

Это маленький self-hosted сервер, говорящий по протоколу Bitwarden. Вы продолжаете пользоваться официальными приложениями и расширениями Bitwarden — просто направляете их на свой сервер вместо публичного облака. Написан лёгким: спокойно живёт на машине с 1 ГБ и почти вас не замечает.

Зачем держать у себя

Хранилище лежит на вашей инфраструктуре. Никакая третья сторона не держит ваши зашифрованные данные, чужая утечка — не ваша проблема, а политику бэкапов и доступа задаёте вы. Для человека, которому важна приватность, этот контроль и есть смысл. В обмен аптайм и бэкапы теперь ваши — к этому вернёмся честно.

Установка

Маленькая машина. 1 ГБ оперативки достаточно. Диска нужно чуть-чуть — хранилище это текст.

Docker с постоянным томом. Запустите контейнер Vaultwarden и примонтируйте том под его данные. Этот том — всё ваше хранилище; он обязан переживать рестарты, обновления и перезагрузки.

services:
  vaultwarden:
    image: vaultwarden/server:latest
    restart: unless-stopped
    volumes:
      - ./vw-data:/data
    environment:
      - SIGNUPS_ALLOWED=true   # выключите после того, как зарегистрируетесь
    ports:
      - "127.0.0.1:8080:80"

HTTPS обязателен для всего, что держит секреты. Поставьте перед ним reverse-proxy, чтобы терминировать TLS на вашем домене. Caddy сам получает бесплатный сертификат:

vault.yourdomain.com {
    reverse_proxy 127.0.0.1:8080
}

Направьте vault.yourdomain.com на ваш VPS. Поскольку серверу с секретами нужен свой публичный HTTPS-эндпоинт, тут просится тариф с выделенным IP — NAT-машина с одним проброшенным SSH-портом его не отдаст.

Бэкапьте так, будто это незаменимо — потому что так и есть

Том с данными и есть ваше хранилище. Если диск умрёт, а копии нет, вместе с ним уходят все пароли. Это здесь самый важный шаг, важнее любого тюнинга: настройте регулярный бэкап этого тома куда-то вне машины — на другую машину, в объектное хранилище, на свой ноутбук. Сделайте это до того, как доверите серверу что-то настоящее.

Закройте машину как следует

На этой машине лежат все ваши пароли, так к ней и относитесь:

Честные ограничения

Как платить

Регистрация по email, оплата в USDC или USDT — без карты и без документов. Логично для машины, которая держит ключи ко всему остальному вне любого следа с вашим именем.

FAQ

Сколько нужно VPS под Vaultwarden?

Совсем немного — 1 ГБ оперативки за глаза; сервер лёгкий. Важнее характеристик — выделенный IP и домен, потому что серверу с секретами нужен свой HTTPS-эндпоинт.

Безопасно ли вообще держать пароли у себя?

Настолько, насколько вы это сделаете: HTTPS, SSH только по ключам, регистрация закрыта после настройки, обновления накатываются, бэкап лежит вне машины. Реальный риск — операционный: пропустите бэкап, и один отказ диска унесёт хранилище.

Можно пользоваться обычными приложениями Bitwarden?

Да. Vaultwarden совместим с официальными приложениями и расширениями Bitwarden — просто направьте их на URL своего сервера вместо публичного облака.

Что если сервер умрёт?

С бэкапом вне машины вы восстанавливаетесь и работаете дальше. Без него хранилище пропало — именно поэтому бэкап настраивают первым делом, а не последним.

← Back to blogSee plans & pricing →