Vaultwarden — причина, з якої «self-hosted менеджер паролів» перестав бути спортом для ентузіастів: він реімплементує серверний API Bitwarden на Rust, тож кожен офіційний клієнт Bitwarden — розширення, мобільні застосунки, десктоп, CLI — працює без змін, а сервер простоює на 50–256 MB RAM замість багатогігабайтного офіційного стеку. VPS класу $5 тягне його для родини; за $15 — для компанії. Саме встановлення — один контейнер; інженерії заслуговують HTTPS, адмін-поверхня та бекапи.

Що йому реально потрібно

РозгортанняCPURAMДиск
Особисте / родина (2–10 користувачів)1 vCPU512 MB всього разом з ОС1–2 GB (сховище + вкладення)
Невелика компанія (10–100)2 vCPU1–2 GB5–20 GB (вкладення, sends)
З Postgres/MariaDB замість SQLite2 vCPU+512 MBтак само

SQLite — дефолт і (непопулярна думка, підтримана мейнтейнерами) підходить переважній більшості інстансів: навантаження на запис у менеджера паролів тривіальне. Переходьте на Postgres за сотень користувачів або якщо дисципліна point-in-time recovery у вас уже налагоджена деінде.

Три граблі, які реально б'ють

  • HTTPS не опціональний. Веб-сховище та розширення використовують WebCrypto, який браузери вмикають лише в secure-контексті — по чистому HTTP логін просто не працює. Ставте Vaultwarden за Caddy (два рядки конфігу, автоматичний Let's Encrypt) або nginx + certbot. Ніколи не публікуйте порт контейнера напряму.
  • Адмін-панель — заряджена рушниця. /admin зі слабким токеном = повна компрометація сховища. Генеруйте токен argon2-хешем (vaultwarden hash), а краще: не задавайте ADMIN_TOKEN узагалі (панель вимкнена) і вмикайте лише за потреби.
  • Відкрита реєстрація. За замовчуванням зареєструватися може будь-хто, хто знайшов URL. Після створення своїх акаунтів ставте SIGNUPS_ALLOWED=false і використовуйте запрошення — сканери інтернету знаходять інстанси Vaultwarden протягом годин після появи DNS.

Бекапи: частина, яку пропускають і шкодують

Self-hosted менеджер паролів концентрує все ваше цифрове життя в одній директорії. Правила, які важливі:

  • Бекапте всю data-директорію (db.sqlite3, attachments/, rsa_key* — без RSA-ключів після відновлення зламаються всі сесії/2FA). Для SQLite — sqlite3 db.sqlite3 ".backup ...", а не сире копіювання живого файлу.
  • Виносьте бекапи з сервера — restic чи borg на іншу машину або S3-сумісне сховище, шифровано. Бекап на тому ж диску — це копія, а не бекап.
  • Тестуйте відновлення щокварталу. Підніміть одноразовий контейнер із бекапу, залогіньтеся, побачте записи. Неперевірений бекап — це надія, а не план.

Де хостити

Раціонально підходить будь-який крихітний VPS у стабільній юрисдикції: E2E-шифрування Vaultwarden означає, що хост ніколи не бачить ваші секрети — важлива лише доступність. Практичний вибір: маленький VPS у ЄС (юрисдикція GDPR, близько до вас) або підселити його на наявну машину — він достатньо легкий, щоб ділити сервер із PaaS чи моніторингом. Для рівня «корпоративна параноя» (сховище компанії, комплаєнс) dedicated за $25–35 з каталогу дає фізичну ізоляцію дешевше за два місця Bitwarden Enterprise.

Підсумок

Vaultwarden — один із найцінніших self-hosted сервісів на мегабайт з наявних: повний UX Bitwarden, тривіальне залізо, один контейнер. Витратьте зекономлені зусилля рівно туди, куди вказує цей гайд — HTTPS, замкнений адмін, закрита реєстрація, перевірені зовнішні бекапи — і він тихо працюватиме роками. Факти перевірені 8 липня 2026.