搭建专属的密码管理工具——Vaultwarden

官方GitHub地址：https://github.com/dani-garcia/vaultwarden
官方docker镜像地址（官方构建镜像在3个不同的容器注册中心都可用）：
GitHub: ghcr.io/dani-garcia/vaultwarden
Docker Hub: docker.io/vaultwarden/server
Quay: quay.io/vaultwarden/server

官方配置参数介绍：https://github.com/dani-garcia/vaultwarden/wiki/Configuration-overview

1、安装vaultwarden

1.1 创建安装目录

mkdir -p /root/data/docker_data/vaultwarden
cd /root/data/docker_data/vaultwarden
nano docker-compose.yml

1.2 详细配置如下：

version: '3'

services:
  vaultwarden:
    container_name: vaultwarden
    image: vaultwarden/server:latest
    restart: unless-stopped
    volumes:
      - ./data/:/data/
    ports:
      - 8000:80
    environment:
      - PUSH_ENABLED=true    # 启用移动客户端推送通知1
      - PUSH_INSTALLATION_ID=8f16d34b-a70c-4d55-a1ef-b141002505a9    # 启用移动客户端推送通知2
      - PUSH_INSTALLATION_KEY=DG6Xp5kmPUrXJKlfkN5j    # 启用移动客户端推送通知3
      - PUSH_RELAY_URI=https://push.bitwarden.eu    # 启用移动客户端推送通知4
      - PUSH_IDENTITY_URI=https://identity.bitwarden.eu       # 启用移动客户端推送通知5
      - DOMAIN=https://XX.XX.com # 这是您希望与您的Vaultwarden实例关联的域名。
      - LOGIN_RATELIMIT_MAX_BURST=10 # 允许在一阵登录/两步验证尝试中的最大请求次数。
      - LOGIN_RATELIMIT_SECONDS=60 # 这是来自同一IP的登录请求之间的平均秒数，在Vaultwarden限制登录次数之前。
      - ADMIN_RATELIMIT_MAX_BURST=10 # 这与LOGIN_RATELIMIT_MAX_BURST相同，只争对admin面板。
      - ADMIN_RATELIMIT_SECONDS=60 # 这与LOGIN_RATELIMIT_SECONDS相同
      - ADMIN_SESSION_LIFETIME=20 # 会话持续时间
      - ADMIN_TOKEN=RFKwm4gcotk222222 # 此值是Vaultwarden管理员面板的令牌（一种密码）。为了安全起见，这应该是一个长的随机字符串。如果未设置此值，则管理员面板将被禁用。建议openssl rand -base64 48 生成ADMIN_TOKEN确保安全
      - SENDS_ALLOWED=true  # 此设置决定是否允许用户创建Bitwarden发送 - 一种凭证共享形式。
      - EMERGENCY_ACCESS_ALLOWED=false # 此设置控制用户是否可以启用紧急访问其账户的权限。例如，这样做可以在用户去世后，配偶可以访问密码库以获取账户凭证。可能的值：true / false。
      - WEB_VAULT_ENABLED=true # 此设置决定了网络保险库是否可访问。一旦您配置了您的账户和客户端，停止您的容器，然后将此值切换为false并重启Vaultwarden，可以用来防止未授权访问。可能的值：true/false。
      - SIGNUPS_ALLOWED=true # 此设置控制新用户是否可以在没有邀请的情况下注册账户。可能的值：true / false。

简单说一下：
DOMAIN改成最后你要用的域名形式
ADMIN_TOKEN可以在ssh里面输入openssl rand -base64 48生成
SIGNUPS_ALLOWED等你注册好之后，如果你只是想自己用，可以把这边改成false

理论上我们就可以输入 http://ip:8000 访问了。

1.3 更新 vaultwarden

cd /root/data/docker_data/vaultwarden

docker-compose pull

docker-compose up -d    # 请不要使用 docker-compose stop 来停止容器，因为这么做需要额外的时间等待容器停止；docker-compose up -d 直接升级容器时会自动停止并立刻重建新的容器，完全没有必要浪费那些时间。

docker image prune  # prune 命令用来删除不再使用的 docker 对象。删除所有未被 tag 标记和未被容器使用的镜像

提示：

WARNING! This will remove all dangling images.
Are you sure you want to continue? [y/N] 

输入

利用 Docker 搭建的应用，更新非常容易～

1.4 卸载 vaultwarden
同样进入安装页面，先停止所有容器。

cd /root/data/docker_data/vaultwarden

docker-compose down

cd ..

rm -rf /root/data/docker_data/vaultwarden  # 完全删除

可以卸载得很干净。

2、利用 Nginx Proxy Manager反向代理

具体见：https://blog.inyes.net/index.php/archives/41/

3、常见问题及注意点

3.1自v1.29.0版本起，Vaultwarden默认启用了WebSocket。

WebSocket通知用于通知浏览器、桌面和浏览器扩展Bitwarden客户端某些事件已经发生，例如密码数据库中的条目被修改或删除时。收到通知后，客户端可以采取适当的行动，比如刷新被修改的条目，或者从其本地缓存中移除被删除的条目。在这种通知方案中，Bitwarden客户端与Bitwarden服务器（在这种情况下是Vaultwarden）建立一个持久的WebSocket连接。每当服务器有事件要报告时，它就通过这个持久连接将事件发送给客户端。

之前的版本需要一个反向代理，因为WebSocket运行在与默认HTTPS端口不同的端口上。

自Vaultwarden版本 1.29.0 起，您可以激活移动客户端推送通知，以便在移动应用、网页扩展和网页保险库之间自动同步您的个人保险库，无需手动同步。

3.2 admin页面
此页面允许服务器管理员查看所有已注册用户并删除他们。即使在禁用注册的情况下，它也允许邀请新用户

参考资料
https://github.com/dani-garcia/vaultwarden
https://blog.laoda.de/archives/docker-compose-install-vaultwarden