有没有老哥讲下 Vaultwarden

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 258 天前的主题，其中的信息可能已经有所发展或是发生改变。

首页密码管理器贴看见的，说是很好用的自建工具。

我现在是用 1password ，目前使用体验上我是满意的，缺陷有两点：

印象里年费几十刀，记不太清，相对服务而言是合理的收费，但是如果能自建省了何乐而不为。
1password 似乎是个小公司，并不具有 FLAG 级别的公信力，说实话，如果可以的话我并不想将密码托管在对方服务器。

目前我有的条件：7*24 运行的 nas ，有公网 IP 。

Vaultwarden 大概看了下项目页面，但是由于不是商业项目，还是太简陋了，很多信息无法获得，有没有用过的老哥来分享一下以下几点：

整体使用上易用性体验如何，有无 Vaultwarden 和 1password 都用过的老哥对比一下。
我个人使用的三点刚需：Chrome 上能高质量自动补全登录信息、Windows 上能方便保存新密码、安卓上至少能查看，不知道该项目对这三个级别的易用性完成度如何。
项目页面没有留一个 Demo 地址，我甚至无法登入进去看该项目的真实运行情况是如何的。1password 主要是基于浏览器插件运行，但 Vaultwarden 似乎没有插件，那如何补全其他页面的密码？
该项目的备份恢复情况如何，将物理存储映射到硬盘并备份后，如果出现损坏可以直接从硬盘导入吗？
该项目说支持 2FA ，我目前 github 的 2FA 是保存在密码管理器里的，它列举的所有 2FA 机构中是否包含 Github 使用的机构？
有无老哥分享分享公网 IP 挂带证书域名的方法，我个人使用体验上只用过 acme.sh 签 let'sencrypt 证书，我对其稳定性非常不满意。。。

拜谢

22 条回复 • 2024-03-31 18:58:36 +08:00

qweruiop

258 天前

易用性上比 1p 差的不要太多。。。不过想着安全性上面，忍忍也就过了。。。

biu7

258 天前

app 和扩展都用的 bitwarden ，所以你下个 bitwarden 体验一下就知道了

0o0O0o0O0o

258 天前 via iPhone

3. 它只是 bitwarden 的第三方开源后端，你的 1 2 3 5 可以在 bitwarden 那边找到答案
4. 可以，我选的 sqlite ，你可以备份整个目录

Noicdi

258 天前 via iPhone

平常说的自建 bitwarden ，后端就是 vaultwarden 。所以客户端和浏览器插件用的都是 bitwarden ，登录时设置为自建服务器即可。
1. 不清楚
2. 浏览器插件的功能上有自动补全功能，但是有时候不太灵敏；我认为挺方便；可以用 bitwarden 的软件查看
3. vaultwarden 提供 docker 部署，整一个然后在用 bitwarden 的插件测试一下
4. 可以导出密码，生存一个明文的 json ，我都是把这个文件存在 icloud 里
5. 不清楚
6.不清楚

Noicdi

258 天前 via iPhone

@Noicdi #4
4. 除了导出密码外，还可以选择将 docker 的数据目录保存下来。我尝试过这种恢复方案，可行

mohumohu

258 天前

2FA 是通用算法，跟平台没有啥关系。
至于证书，套个 caddy 就完事了。

mschultz

258 天前

3. Bitwarden 官方本身就有开源服务端自建方案（ https://bitwarden.com/help/install-on-premise-linux/ ），不过对 Server 的性能要求较高。一般使用小内存 VPS 的玩家会选择 Vaultwarden 。Vaultwarden 是官方服务端自建方案的「平替」，占用资源较小，兼容 Bitwarden 官方的 API 。所以 Vaultwarden 用户在各平台客户端（包括浏览器插件）方面都是用 Bitwarden 官方的。Bitwarden 官方客户端在登录的时候可以选择连接官方服务（ bitwarden.com ）还是 Self-Hosted 服务（自己的域名）。

原来项目叫 Bitwarden_RS ，顾名思义就是 Bitwarden 服务端的一个第三方 Rust 实现，后来为避免商标争议和误导改名 Vaultwarden 。

4. Vaultwarden 的数据存储文件组织结构比较简单，主要就是一个 SQLite 和一个附件文件夹（如无附件可忽略），文档里有关于备份策略的详细说明： https://github.com/dani-garcia/vaultwarden/wiki/Backing-up-your-vault 多个月前我试过一次直接导入我备份的 sqlite 文件到新部署的 Vaultwarden 中，似乎没啥问题，数据都在。

totoro625

258 天前

0. Vaultwarden Demo 可以简单粗暴认为是商业化运行的 bitwarden 付费版： https://bitwarden.com
当讨论 Vaultwarden 时，默认就是 bitwarden = Vaultwarden
1. Vaultwarden 能用，但是细节体验上不如 1password 流畅，但是 bitwarden 官方发文正在重构所有客户端及插件，值得期待
2. 都可以，安卓也能自动填充，包括 App ，如 QQ 等，易用性 OK 的，浏览器插件上 Vaultwarden 不够优雅，但是足够用
3. 直接去 bitwarden 官方体验： https://vault.bitwarden.com
插件在： https://bitwarden.com/download/
4. 非常 easy ，就一个文件，当然整个文件夹备份也是 OK 的
推荐备份命令：sqlite3 /data/vault/db.sqlite3 ".backup '/data/vault/backups/db-$(date '+%Y%m%d-%H%M').sqlite3'"
5. 通用密码管理器支持的都支持，Github 也支持，Steam 这些不支持，如需 Steam 请去 KeePass ，需要额外插件
6. let'sencrypt 和 zerossl 都很烂，目前推荐用 GTS 证书，Google 关键词“使用 ACME.SH 申请 Google CA SSL 证书”
我的做法是，用 GCP 免费小鸡每月强制生成一份证书，再推送到本地 NAS 。
使用境外服务器生成证书可以避免网络干扰导致的证书签发失败。
签发方式使用 DNS mode + DNS alias mode （多个域名），而不是 HTTP 验证

mschultz

258 天前

5. 2FA 字面意义上是一种安全机制，不是一个具体的方法/算法。这里假定你指的是常见的 TOTP 算法（就是一般 6 位数字，30 秒变一次），这个算法是标准化的（ RFC6238 ），基本原理就是一个函数 HOTP(K, T)，其中 K 是密钥，T 是一个随着时间递增的整数，然后这个函数通过一些内部 Hash 之类的运算最后输出 6 位数字。

一个密码管理器所谓支持保存 TOTP 两步验证码，其实就是帮你保存那个密钥（在网站上设置 2FA 时生成的，经常以二维码的形式给你展示一次，让你用密码管理器去扫），然后支持在任意时刻把这个函数计算的 6 位数字显示出来。由于是标准化的，相当多的密码管理器（包括 Bitwarden 客户端 + Vaultwarden 服务端的组合）都支持这个功能，通用的，你自己写点代码也能实现这么一个输出 6 位验证码的函数出来。

另 Vaultwarden, 1Password 这些服务近年来也开始支持 Passkey 。