Vaultwarden

Обзор

Vaultwarden — это неофициальная, ресурсоэффективная реализация серверной части Bitwarden, написанная на языке Rust. Проект позволяет развернуть полноценный менеджер паролей на собственном сервере с минимальными затратами ресурсов, сохраняя полную совместимость со всеми официальными клиентами Bitwarden.

Что такое Vaultwarden

Vaultwarden (ранее известный как bitwarden_rs) — это open-source проект, созданный разработчиком dani-garcia как альтернатива официальному серверу Bitwarden. Официальный сервер Bitwarden написан на C# и требует значительных системных ресурсов (включая Microsoft SQL Server), тогда как Vaultwarden написан на Rust и использует SQLite, MySQL или PostgreSQL, что делает его идеальным выбором для развёртывания на маломощных устройствах — от Raspberry Pi до небольших VPS. Проект переименован из bitwarden_rs в Vaultwarden начиная с версии 1.21.0 в 2021 году, чтобы избежать путаницы и возможных проблем с торговой маркой Bitwarden.

Сценарии использования

• Персональное хранилище паролей. Самостоятельное размещение менеджера паролей для себя и семьи без необходимости платить за облачные подписки и передавать данные третьей стороне.
• Командная работа в малом бизнесе. Организация совместного доступа к паролям через механизм организаций, коллекций и ролей — без лицензионных ограничений на количество пользователей.
• Хранение конфиденциальных данных на своей инфраструктуре. Подходит для тех, кто по соображениям безопасности или комплаенса не может использовать облачные сервисы для хранения секретов.
• Развёртывание на маломощных устройствах. Благодаря малому потреблению ресурсов Vaultwarden работает даже на Raspberry Pi, NAS-устройствах и контейнерных средах.
• Лабораторная и учебная среда. Идеален для изучения принципов self-hosting, работы с Docker и инфраструктурой безопасности.

Основные возможности

Полная совместимость с Bitwarden

Vaultwarden реализует Bitwarden API и полностью совместим со всеми официальными клиентами: мобильными приложениями (iOS, Android), настольными приложениями (Windows, macOS, Linux), браузерными расширениями и веб-хранилищем. Пользователи получают привычный интерфейс Bitwarden, работая при этом с собственным сервером.

Управление паролями и секретами

• Персональные хранилища (vaults) для каждого пользователя
• Поддержка вложений (attachments) к записям
• Функция Bitwarden Send для безопасной передачи текстов и файлов
• Загрузка иконок сайтов (favicons)
• API-ключи для автоматизации
• Поддержка SSH-ключей (экспериментально)

Организации и совместный доступ

• Создание организаций с коллекциями паролей
• Ролевая модель доступа (владелец, администратор, менеджер, пользователь)
• Группы пользователей
• Политики безопасности организации
• Журнал событий (event logs)

Безопасность и аутентификация

• Двухфакторная аутентификация (2FA): TOTP, email, FIDO2/WebAuthn, YubiKey, Duo
• Экстренный доступ (Emergency Access) — назначение доверенных лиц для доступа к хранилищу в экстренных ситуациях
• Поддержка SSO через OpenID Connect (начиная с версии 1.35.0)
• Шифрование данных на стороне клиента (zero-knowledge architecture)

Административная панель

Vaultwarden имеет собственную веб-панель администратора, позволяющую управлять пользователями, приглашениями, настройками сервера и просматривать диагностическую информацию. Доступ к панели защищается через переменную ADMIN_TOKEN.

Развёртывание и установка

Docker (рекомендуемый способ)

Основной и рекомендуемый способ установки — через Docker или Podman. Образы доступны в реестрах ghcr.io, docker.io и quay.io. Минимальная конфигурация через Docker Compose включает:

• Контейнер vaultwarden/server:latest
• Постоянный том для директории /data/ (хранение базы данных, вложений, конфигурации)
• Переменная окружения DOMAIN с указанием домена сервера
• Обратный прокси (nginx, Caddy, Traefik) для обеспечения HTTPS

Поддерживаемые базы данных

• SQLite (по умолчанию, подходит для большинства случаев)
• MySQL / MariaDB
• PostgreSQL

Альтернативные способы

• Сборка из исходного кода на Rust
• Установка через community-пакеты (могут отставать от актуальной версии)
• Развёртывание на NAS-устройствах (Synology, QNAP и др.)

Технические особенности

• Язык разработки: Rust (83%), Handlebars (10.3%), TypeScript (4.2%)
• Лицензия: AGPL-3.0 (свободное использование с обязательством раскрытия модификаций)
• Веб-хранилище: модифицированная версия Bitwarden Web Vault, встроенная в контейнер
• Подписание образов: OCI-образы и бинарные файлы подписываются через GitHub Attestations для верификации подлинности
• Экспериментальные функции: поддержка S3-бэкенда через OpenDAL, взаимная TLS-аутентификация (mutual TLS), интеграция с AnonAddy/SimpleLogin

Отличия от официального сервера Bitwarden

• Минимальные системные требования. Vaultwarden потребляет значительно меньше оперативной памяти и процессорных ресурсов, чем официальный сервер, написанный на C#/.NET.
• Простота развёртывания. Один Docker-контейнер вместо набора микросервисов официального сервера.
• Все Premium-функции бесплатно. Vaultwarden предоставляет функции, которые в официальном Bitwarden доступны только по платной подписке (2FA через FIDO2, Emergency Access, организации и др.).
• Нет официальной поддержки. Проект развивается сообществом; баг-репорты следует направлять в репозиторий Vaultwarden, а не в каналы поддержки Bitwarden.

Безопасность и обновления

Проект активно развивается и оперативно закрывает обнаруженные уязвимости. Рекомендуется регулярно обновлять Vaultwarden до последней стабильной версии, использовать ADMIN_TOKEN для защиты панели администратора и выполнять регулярные резервные копии директории /data/. На GitHub у проекта более 55 900 звёзд, 2 600 форков и 173 активных контрибьюторов, что свидетельствует о высоком уровне доверия сообщества.

Для кого подходит Vaultwarden

• Энтузиасты self-hosting и домашних серверов
• Частные пользователи, ценящие приватность и контроль над данными
• Малый и средний бизнес, которому нужен менеджер паролей без лицензионных затрат
• DevOps-инженеры и системные администраторы, управляющие секретами в инфраструктуре
• Пользователи маломощных устройств (Raspberry Pi, бюджетные VPS, NAS)