Vaultwarden — причина, по которой «self-hosted менеджер паролей» перестал быть спортом для энтузиастов: он реимплементирует серверный API Bitwarden на Rust, так что каждый официальный клиент Bitwarden — расширения, мобильные приложения, десктоп, CLI — работает без изменений, а сервер простаивает на 50–256 MB RAM вместо многогигабайтного официального стека. VPS класса $5 тянет его для семьи; за $15 — для компании. Сама установка — один контейнер; инженерии заслуживают HTTPS, админ-поверхность и бэкапы.

Что ему реально нужно

РазвёртываниеCPURAMДиск
Личное / семья (2–10 пользователей)1 vCPU512 MB всего вместе с ОС1–2 GB (хранилище + вложения)
Небольшая компания (10–100)2 vCPU1–2 GB5–20 GB (вложения, sends)
С Postgres/MariaDB вместо SQLite2 vCPU+512 MBтак же

SQLite — дефолт и (непопулярное мнение, поддержанное мейнтейнерами) подходит подавляющему большинству инстансов: пишущая нагрузка менеджера паролей тривиальна. Переходите на Postgres при сотнях пользователей или если дисциплина point-in-time recovery у вас уже налажена в другом месте.

Три грабли, которые реально бьют

  • HTTPS не опционален. Веб-хранилище и расширения используют WebCrypto, который браузеры включают только в secure-контексте — по чистому HTTP логин просто не работает. Ставьте Vaultwarden за Caddy (две строки конфига, автоматический Let's Encrypt) или nginx + certbot. Никогда не публикуйте порт контейнера напрямую.
  • Админ-панель — заряженное ружьё. /admin со слабым токеном = полная компрометация хранилища. Генерируйте токен argon2-хешем (vaultwarden hash), а лучше: не задавайте ADMIN_TOKEN вовсе (панель выключена) и включайте только при необходимости.
  • Открытая регистрация. По умолчанию зарегистрироваться может любой, кто нашёл URL. После создания своих аккаунтов ставьте SIGNUPS_ALLOWED=false и используйте приглашения — сканеры интернета находят инстансы Vaultwarden в течение часов после появления DNS.

Бэкапы: часть, которую пропускают и жалеют

Self-hosted менеджер паролей концентрирует всю вашу цифровую жизнь в одной директории. Правила, которые важны:

  • Бэкапьте всю data-директорию (db.sqlite3, attachments/, rsa_key* — без RSA-ключей после восстановления сломаются все сессии/2FA). Для SQLite — sqlite3 db.sqlite3 ".backup ...", а не сырое копирование живого файла.
  • Уносите бэкапы с сервера — restic или borg на другую машину или S3-совместимое хранилище, шифрованно. Бэкап на том же диске — это копия, а не бэкап.
  • Тестируйте восстановление ежеквартально. Поднимите одноразовый контейнер из бэкапа, залогиньтесь, увидьте записи. Непроверенный бэкап — это надежда, а не план.

Где хостить

Рационально подходит любой крошечный VPS в стабильной юрисдикции: E2E-шифрование Vaultwarden означает, что хост никогда не видит ваши секреты — важна только доступность. Практический выбор: маленький VPS в ЕС (юрисдикция GDPR, близко к вам) или подселить его на существующую машину — он достаточно лёгок, чтобы делить сервер с PaaS или мониторингом из нашей self-hosted серии. Для уровня «корпоративная паранойя» (хранилище компании, комплаенс) dedicated за $25–35 из каталога даёт физическую изоляцию дешевле двух мест Bitwarden Enterprise.

Итог

Vaultwarden — один из самых ценных self-hosted сервисов на мегабайт из существующих: полный UX Bitwarden, тривиальное железо, один контейнер. Потратьте сэкономленные усилия ровно туда, куда указывает этот гайд — HTTPS, запертый админ, закрытая регистрация, проверенные внешние бэкапы — и он будет тихо работать годами. Факты проверены 8 июля 2026.