这是一个创建于 92 天前的主题,其中的信息可能已经有所发展或是发生改变。
- 服务器配置 OpenVPN ,通过根证书+自签名密钥+账户密码方式访问
- 服务器关闭 22 端口,即由 OpenVPN 网络下,通过公钥方式进行免密登录,仅放开 443 端口(有个博客站)
- 数据源用 MySQL ,异云服务商、异地主机搭建主从数据库
- Nginx 屏蔽 Web 端及页面访问,只保留相关 API 接口,API 接口访问受限 OpenVPN 网络白名单
- 启用自签名 SSL 证书,并导入安卓手机\PC ,即访问 https://11.1.0.1 网络 (Bitwarden 的服务访问需要 ssl)
 | 1 yiwayhb 92 天前  1 我的也差不多,只有 SSL 证书用的是 Let's Encrypt ,管理日常的密码也够用,至少比用同一个密码安全性高。 重要密码(涉及资金的),还是别记到里面比较好,安全往往出在最薄弱的环节 |
 | 2 suuuch 92 天前 2 有一个比较特殊的方式,每个密码后面人工记忆一个固定后缀/前缀。 比如说 自动保存的密码是:xxxxx 但是实际的密码是 xxxx-ab 这样。 这样的弊端就是操作 valut 的时候要额外注意,不要把真实密码给存进去了。 |
 | 3 E263AFF275EE4117 OP @yiwayhb 谢谢,我也是用的 Let's Encrypt 的 SSL 证书,但是我不想互联网访问,就搞的自签 SSL 证书并通过 VPN 网络访问。 我目前也不会把涉及资金相关密码存网络上,上面存的一些常用的。 |
 | 4 onice 92 天前 10 我所了解的,几乎所有的密码管理器,都不会把明文存储到服务器上。服务器上存储的,都是加密后的数据。 其获得你的密码,核心的地方在于你的密码库密码。只要你的密码库密码泄露,攻击者就拿不到你的密码数据。 由上可知,关注定反而不应该放在密码库的密码是否安全。由于是自建,关注点应该放在数据的完整性。即密码库要有备份,不要被攻击者删除或被加密勒索。 |
| 6 E263AFF275EE4117 OP @suuuch 真牛的啊!自己记忆一个 XXXX 固定后缀就只有自己晓得!安全等级又提高了! 谢谢 |
| 7 E263AFF275EE4117 OP @onice 是的,自建就怕数据丢。 如果我密码库主密码泄露,确实相当于这个密码库里都是明文了。 2L 的老哥回复的,也给了我一个启发,我现在能做的就是提高下安全等级,并且不保存涉及资金安全信息在上面。 |
 | 8 rulagiti 92 天前 1 做的很好了 |
 | 9 YaakovZiv 92 天前 我也自建了,但是我配置了云平台上的防火墙,仅限我自己的 IP 访问。 |
 | 10 Felix2Yu 92 天前 1 @E263AFF275EE4117 其实数据丢失不用太担心。如果你用手机、浏览器客户端,即使服务端挂了,也能离线导出密码本。大不了重部署后再导入回去 |
 | 11 crackself 92 天前 via Android 同是自建,配置 iptables 防火墙禁止端口,绑定 local host 端口,经 nginx 转发代理访问。重点是数据库要有多个备份 |
 | 12 CnpPt 92 天前 via Android 比我安全系数高姥姥家去了,我自建用 CloudFlared 扔公网了,密码库密码非弱密码加 MFA 验证搞定。 |
 | 13 neroxps 92 天前 via Android 我司程序还在用记事本 企业微信在线文档存密码高多了。 全公司就我用密码管理器。 |
| 14 E263AFF275EE4117 OP @YaakovZiv 如果多端,怎么做到固定 IP 地址访问的啊 |
| 15 E263AFF275EE4117 OP @Felix2Yu 我以为那个导出是需要联网的,这样说来,即使服务端挂了,其他终端也是保存了一份的,最差是同步数据有差异。 |
 | 16 imba97 92 天前 用了好几年了,现在有 MFA 、PassKey 是真的好用 |
 | 17 hefish 92 天前 我都是写纸上,缝内裤里面一层的。不到最后关头不拿出来看。 |
 | 18 Madrid 92 天前 via iPhone 安全的 放心用吧 不要泄漏你的主密码就好了 |
 | 19 docx 92 天前 via iPhone 偏个题,都主从了,这个成本为什么不直接开个官方 pro 还不用自己维护 |
 | 21 MFWT 92 天前 可以了,我目前也是类似措施,Vaultwarden 不暴露到公网,只能在我自己的网络内访问(杏泉网络,类似 DN42 那种 Overlay Network )用自己的域名后缀+自己的证书,每隔一小时自动拉取最新数据库备份到我本地 NAS |
 | 22 zhenjiachen 92 天前 via iPhone 我都是直接暴露在公网的,服务器不买公网 IP ,使用 cloudflared 链接 cf ,证书也是 cf ,用的 google 旧配置服务器,一个月 0.5 刀,已经稳定运行 4 年了 |
 | 23 skiy 92 天前 via iPhone 我是 sqlite 。有次升级,登录不了了。然后备份数据库后重新安装,把那密码提取到旧数据库中就能登录了。 所以… |
 | 24 irrigate2554 92 天前 via Android 1 光是用密码管理器就已经超过 99% 的人了 |
25 memcache 92 天前 很安全了已经. 我是 ddns+ nginx + nas docker 暴露公网 |
 | 27 LnTrx 92 天前 关键是终端设备的安全性 |
 | 28 mx1700 92 天前 via Android 我是不搞备份,服务器挂过,离线导出本地密码库,重新搭建服务器导入即可 |
 | 29 gudecatch 92 天前 本地服务器用 cloudflare tunnel 放到公网 但是并不知道这样是不是安全 |
 | 30 zhhmax 92 天前 1 你这个也太谨慎了。 我是部署在公网上的 VPS 了,ssh 仅允许公钥方式进行免密登录,SSL 证书用的 Let's Encrypt 。vaultwarden 开启了 admin ,admin 登录密码长达 32 位,包含字母数字和特殊字符。 为什么我不担心,因为首先别人不知道我注册的邮箱是什么,然后再加上高强度 20 位登录密码以及两步验证,我不相信还有人能爆破的了。其次就是 ssh 只通过公钥登录已经最大程度上避免了数据库上密码文件的泄漏,更别提数据泄漏后破解密码文件的复杂程度了。 |
 | 32 silencefly 92 天前 via iPhone ddns https fail2ban 定时备份加密后传 OneDrive |
 | 33 siweipancc 92 天前 via iPhone 官方也就 10 美元……我选省心的,自己的服务器我可没信心哈哈 |
 | 36 383394544 91 天前 我之前加密 ssh 的方式是用 cloudflare 的 argo tunnel ,然后服务器 22 端口只放行 cf 的 ipv6 段。 |
 | 37 JKOR 91 天前 我是公网 ip 服务器,使用 nginx 转发,配上了域名直接暴露在公网,但是加了 mTLS ,客户端需要证书才能访问,我感觉在安全性方面 mTLS 已经够用了,更多地需要关注数据库备份情况。 |
 | 39 StarUDream 91 天前 我的 vaultwarden 是放在 nas 里的,然后 tailscale 组网到公网服务器,用 nginx+域名暴露出去。 数据库用的 sqlite ,所以备份很简单。 账户开启了二次验证,倒也不会出很大问题。 基本上现在很少增改密码了,即使断网,bitwarden 的插件也有缓存能继续用。 |
 | 40 YangQingLin 91 天前 1 @onice 说的太对了,自建一定要做好数据备份,推荐用下面这个容器做定时备份: https://hub.docker.com/r/bruceforce/vaultwarden-backup 一个备份文件才 400 多 KB ,我直接一小时备份一次 并且部署成功之后一定要本地起一个 vaultwarden 测试一下恢复操作 |
| 41 YangQingLin 91 天前 @zhhmax 有试过恢复操作吗?我之前也和你一样直接压缩数据目录备份的,后来发现无法恢复 |
 | 42 concernedz 91 天前 腾讯云轻量服务器 1panel 搭的,每天定时加密压缩到七牛云 vaultwarden 没开 admin 管理 ssh 关闭了密码登录,防火墙限制了只限国内的 限 ip 这个方法想过,但多端不知道咋解决 |
 | 43 wtf12138 91 天前 牛,我用 bitwarden 官方的,懒得自己搭 |
 | 44 python35 91 天前 我是腾讯云 docker 部署+cos 每日备份+直接公网访问 我倒是不担心服务器出问题,毕竟服务器上是加密存的,更怕本地浏览器的插件缓存或者浏览器内存被读了 |
 | 46 superrichman 91 天前 1 @hefish 你这密码太骚了 |
 | 47 SethShi 91 天前 1panel 开 2FA, 然后直接用商店里的镜像 挂载数据目录, 每天自动备份三处, 服务器, 七牛云, 腾讯云   |
 | 48 q534 91 天前 官方免费的有什么问题吗? |
 | 49 ryan4290 91 天前 我一直用的坚果云的 WebDav 配合 KeePass 去用的,这个支持 WebDav 协议吗? |
 | 50 wyfig 91 天前 之前也想过,后来完全放弃这方面想法了。 官方免费的用了四五年了,一点问题没有。 想用高级的一年 10 美元也挺划算的,完全没有必要折腾。 |
| 51 E263AFF275EE4117 OP @docx 是刚好有这套配置在,顺便利用起来自建密码管理的。 如果单独搭建这套确实不如开 pro 了。 |
| 52 E263AFF275EE4117 OP @concernedz 我有一台也是轻量云,限 ip 就是通过 openvpn 网络+自签名 SSL 证书实现多端访问。 |
| 53 concernedz 91 天前 @E263AFF275EE4117 #52 那客户端还要挂客户端,感觉挺麻烦的 |
| 54 E263AFF275EE4117 OP @ryan4290 我暂时还不太清楚,是否支持 WebDav 协议。我也才刚开始用这个才搭建好的。 |
| 55 E263AFF275EE4117 OP @python35 你说的本地浏览器插件缓存或浏览器内存被读了,这种有什么好的方式避免嘛。。。我想了下,即使安全等级在高,就像主密码泄露一样,所有的功夫都白搭了。 |
 | 56 ZColin 91 天前 嗯……bitwarden 本身的加密已经很好了,别人盗了你的 db ,没主密码他也搞不定。 我一般直接映射公网绑定域名然后关闭注册,定时备份到 onedrive 上就行了。 保证东西不丢就行,至于盗取破解……基本不可能,除非你的主密码泄露。 如果实在是感觉怕被盗的话不如本地部署 keepass |
 | 57 CSGO 91 天前 我也是自建,按我了解数据即使被人拿也没事。我对其安全的要求是不丢失,以及不被人后台破坏。所以我是数据定期备份到 google 云盘,后台白名单 ip 访问,整个站点套了 cf ,登录用了 fail2ban 。 |
| 58 skiy 91 天前 via iPhone @ZColin 如果是 sqlite ,可以破的。创建个新的,把那行用户信息添加到旧的 db 上,就能登录了…我试过。所以 sqlite 有一定的风险。 |
 | 59 W4J1e 91 天前 看起来比我折腾(安全)得多,我就做了简单的混淆(子目录),每天备份到 onedrive 。 |
 | 60 whobuki 91 天前 这一长串流程都可以扔给赛博菩萨 cloudflare tunnel 解决,就是服务端和客户端都需要折腾一下出国网络 |
 | 61 BardOS 91 天前 N1 盒子搭建的放公司,CFTunnel 打洞,WAF 设置规则,主密码还有二次验证,没那么容易破的。 |
 | 62 sarices 91 天前 自建的特别是 docker 部署的,如果稳定就别手贱 pull 新的镜像,先备份!先备份!先备份!,别问我怎么知道的。 我现在都是用官方的服务 |
 | 65 twinsdestiny 91 天前 @skiy #57 那能看到旧 DB 原有用户的密码吗,看不到等于新建了个用户而已,这也叫破? |
 | 66 bowencool 91 天前 @YangQingLin #41 我也是备份数据目录,刚才问了 AI ,确实有概率恢复不了 |
| 67 bowencool 91 天前 @YangQingLin #40 太复杂了,还是在客户端导出 JSON 方便 |
 | 68 Ichiban 91 天前 1 再提一点,vaultwarden 可以设置 subpath 的 域名很容易被各种途径扫到,但加了 subpath 之后,光扫到域名 https://11.1.0.1 没用,还得找到 https://11.1.0.1/xxx/xxx ,不带 subpath 的挂个什么别的东西,这样藏得更深 |
| 69 skiy 91 天前 via iPhone @twinsdestiny ???你回复前能不能看看我回别人的信息?别人说是拿到了 db 。拿到 db 不就相当于裸了吗?再部署个,把 db 丢进去,密码不就能显示了吗? |
70
neptuno 91 天前 bitwarden 开个 pro 会员就行了,你这个成本也不低,稳定性还不如官方
 | 71 aimerforreimu 91 天前 bitwarden 库都是加密的,只要主密码不泄露就行,唯一需要担心的是中间人攻击吧 |
 | 72 gogogo2000 91 天前 现在主流密码管理器的设计在服务器上存放的都是高度加密的密文,而打开密码库的主密钥从头到尾是不会在网络上传输的,即便被监听了也抓不到。但如果是访问者中了木马被记录键盘了自然就另当别论了。 |
 | 74 buxiny 91 天前 @ZingLix 有的, 在 /config.json 内设置 { "domain": "https://***.youdomain.com/subpath", ... } https://rs.ppgg.in/reverse-proxy/using-an-alternate-base-dir |
 | 75 lucifer9 91 天前 自建主要是备份数据库,记住一定要异地备份 最重要的是如果备份是加密的话,千万别把密码只存在 vaultwarden 里面 |
| 76 skiy 91 天前 via iPhone @conky …那你又得找我前一条回复了。。。参考#58 再参考我 #23 的回复。我是实践过才说话的。如果你觉得不可能,你可以尝试下再回复我。我没必要说假话,又没利益冲突。 |
 | 78 justwkj07 91 天前 每天同步到 oss 备份 |
 | 79 sayemike 91 天前 大佬们若是发现惊天大漏洞的,建议向 bitwarden 提交漏洞悬赏,赚美刀 https://bitwarden.com/help/is-bitwarden-audited/#bug-bounty-program |
 | 81 byiceb 91 天前 做的真复杂,我直接用免费版 |
| 83 skiy 91 天前 via iPhone @ZxykM ?你先理清楚我的逻辑。不是说你主密码加密不加密。 1. 先将旧后 db 备份成 bak.db 2. 删除 db ,重新部署。新数据库为 db 。注册个管理员账号 3. 将这个新数据库 db 的字段及值,拷贝到 bak.db 4. 将 bak.db 恢复成 db 文件名。重新启动。 5. 用新的管理员账号就能登录。服务就侧正常运行了。再配合相应的客户端,就能查看到数据。 不是说你原来的管理员账号能被解出来,而是说能重置密码。 |
| 84 skiy 91 天前 via iPhone @raycloud 看我 #83 的回复。 你要说,各条记录的密码也要把主账号的密码加入,再加密。这个我确实不知道。因为我之前有次升级后,主账号和密码登录不上,就使用此方法恢复了。不过是去年还是前年的事情了。不清楚现在的版本有没有升级。 至于怎么说,你们自己认为吧。反正我遇到过一次,现在悠着点了,不敢随意升级了。 |
 | 85 nekoneko 91 天前 我是 所有服务器和设备通过 zerotier 和 easytier 组网 之后 NAS 部署服务, 腾讯云部署 Lucky 来做转发 |
 | 86 wangbingxu 91 天前 Elpass 日常使用(macos 原生非常舒服),买了 Proton Pass + SimpleLogin Lifetime ,作为备用,以及使用邮箱无限别名,基本就够用了。 试过自建 Bitwarden ,实在太丑了,还是放弃了 |
 | 88 since2021 91 天前 不试试 lesspass 吗,根本不用存储密码 |
| 89 zhhmax 91 天前 @YangQingLin #41 可以的,我都不知道换过多少台服务器重新部署了,解压文件夹之后直接重新 docker 命令启动就行。我的一个备份文件大小是 3 兆,所以我把历史所有每 5 分钟的备份都存起来了,如果其中一个备份不可用,再往前推 5 分钟用另外一个就行。 |
| 90 ZColin 91 天前 @skiy #83 现在不行的,每个字符串的加密参数都是跟主密码加 KDF 的迭代参数派生的,比如参数种子是你的主密码+600001 ,你就算移花接木换了管理员账号密码,也会因为主密码派生的密钥不同导致无法解密。 |
 | 91 suyuyu 91 天前 我直接用,没想还有这么多门道 |
| 92 skiy 91 天前 @ZColin ...看到了。修改主密码时,"同时轮换账户的加密密钥" 这个也要选上才行。 我现在怀疑我这个的所有数据可能都还没有把“主密码”加入盐值加密的。得更新一下才行了。 https://imgur.com/a/xLBpKkQ |
 | 96 frankilla 91 天前 我就装在家里的软路由里,这玩意不是明文的吧~ |
| 97 E263AFF275EE4117 OP @neptuno 有其他业务需求在用,所以自建这个密码管理是顺带的。不利用起来资源也是半闲置状态的。 |
| 98 YaakovZiv 91 天前 @E263AFF275EE4117 你是说多个设备不同 IP 作为访问源,需要每次都加白名单的问题吗。我是用的公有云,每次都是手机端 APP 上加白名单后使用。用完再删除 |
 | 100 zololiu 91 天前 直接购买了官方的服务,一年也就几十块钱,省心不折腾。 |
Select Language