Menedżer haseł Bitwarden z własnym hostem: kompletny przewodnik

Hasła nadal pozostają główną barierą oddzielającą hakerów od Twoich kont 81% naruszeń danych wynikają ze słabych lub skradzionych danych uwierzytelniających. Tylko jedna trzecia Amerykanów korzysta z menedżerów haseł, narażając miliony na kradzież danych uwierzytelniających i przejęcie kont. Prawdziwe pytanie brzmi, czy możesz powierzyć swój skarbiec komuś innemu.

Ten przewodnik pokazuje, jak samodzielnie hostować menedżera haseł Bitwarden na własnym VPS, aby uzyskać pełną kontrolę. Dowiesz się, jak krok po kroku instalować system Windows Server 2025 i Ubuntu 24.04 LTS, a także zwiększać bezpieczeństwo, dzięki czemu Twój skarbiec będzie dostępny tylko dla Ciebie.

Co zbudujesz (i dlaczego VPS)?

Jeśli samodzielnie hostujesz menedżera haseł Bitwarden, tworzysz prywatną infrastrukturę zarządzania hasłami na własnym serwerze. Ta konfiguracja zapewnia pełną kontrolę nad tym, gdzie przechowywane są dane uwierzytelniające, w jaki sposób są tworzone ich kopie zapasowe i kto może uzyskać do nich dostęp.

Dlaczego warto wybrać VPS dla Bitwarden?

Wirtualny serwer prywatny oferuje idealną równowagę kontroli, wydajności i opłacalności w zakresie zarządzania hasłami.

Pełna suwerenność danych

Twój magazyn haseł nigdy nie opuszcza infrastruktury, którą kontrolujesz. W przeciwieństwie do usług hostowanych w chmurze, Twoje zaszyfrowane dane znajdują się na wybranych przez Ciebie serwerach, w określonych przez Ciebie lokalizacjach.

Zawsze dostępna dostępność

VPS działa nieprzerwanie, dzięki czemu Twój magazyn haseł jest dostępny z dowolnego miejsca i w dowolnym czasie. Nie musisz utrzymywać komputerów osobistych działających przez całą dobę.

Dedykowane zasoby

Plany VPS oferują gwarantowane zasoby procesora, pamięci RAM i pamięci masowej, które nie są współdzielone z obciążeniami innych użytkowników. Wydajność pozostaje niezmienna niezależnie od tego, co robią inni klienci.

Skalowalność

W miarę jak Twoje potrzeby w zakresie zarządzania hasłami rosną od użytku osobistego po wdrożenie zespołowe lub biznesowe, plany VPS można skalować w celu dopasowania. Zacznij od małego i uaktualnij w razie potrzeby.

Opłacalne

Hosting VPS kosztuje znacznie mniej niż utrzymanie dedykowanego sprzętu fizycznego. Podobne korzyści z izolacji i kontroli uzyskasz bez konieczności inwestycji z góry.

Profesjonalna ochrona

Renomowani dostawcy VPS oferują ochronę DDoS, regularne kopie zapasowe i bezpieczeństwo sieci klasy korporacyjnej. Niezależne wdrożenie tych rozwiązań byłoby kosztowne i czasochłonne.

Jakie są wymagania dotyczące samodzielnego hostowania?

Aby samodzielnie hostować menedżera haseł Bitwarden, musisz znać specyfikację sprzętu. Pomoże Ci to wybrać odpowiedni plan VPS i zapobiegnie pojawianiu się później problemów z wydajnością.

Wymagania sprzętowe dla systemu Windows Server

Do pomyślnego wdrożenia w systemie Windows Server 2025 potrzebne są te minimalne specyfikacje.

Edytor: Minimalny procesor x64, 1,4 GHz; Zalecany dwurdzeniowy procesor x64, 2 GHz

BARAN: 6GB minimum; 8GB or more recommended for production use.

Składowanie: 76GB minimum; 90GB recommended for production deployments.

Doker: Docker Desktop z silnikiem 26.0+ (zalecane 27.x) i Compose; Obsługa Hyper-V (nie WSL2)

Windows Server 2025 wymaga obsługi zagnieżdżonej wirtualizacji. Użytkownicy platformy Azure powinni używać maszyn wirtualnych w wersji Standard D2s v3 z typem zabezpieczeń ustawionym na Standardowe, a nie Zaufane uruchamianie.

Wymagania sprzętowe dla systemu Linux

Dystrybucje Linuksa wymagają mniej zasobów. Aby samodzielnie hostować menedżera haseł Bitwarden w systemie Ubuntu 24.04 LTS, Debian 12 lub Rocky Linux 9, oto czego potrzebujesz.

Edytor: Minimalny procesor x64, 1,4 GHz; Zalecany dwurdzeniowy procesor x64, 2 GHz

BARAN: 2GB minimum; 4GB or more recommended for multiple users

Składowanie: 12GB minimum; 25GB recommended for production

Doker: Docker Engine 26.0+ (zalecane 27.x) i Docker Compose

Linux jest bardziej wydajnym wyborem. Wykorzystuje około jedną trzecią pamięci RAM wdrożeń systemu Windows Server, zapewniając jednocześnie identyczną funkcjonalność.

Porównanie wydajności:

Wybór dostawcy VPS

Aby samodzielnie hostować Bitwarden, potrzebujesz VPS z pełnym dostępem roota, obsługą Dockera i stabilnym publicznym adresem IP. Potrzebujesz także dużej przepustowości sieci i niezawodności, aby Twój magazyn haseł był natychmiastowo synchronizowany na wszystkich Twoich urządzeniach.

W Cloudzy zapewniamy infrastrukturę o wysokiej wydajności, której wymaga to obciążenie. Nasz Hosting Dockera VPS plany działają na procesorach AMD Ryzen 9 (do 5,7 GHz) z pamięcią masową NVMe. Zapewnia to prędkość pojedynczego wątku potrzebną do szyfrowanych operacji na bazach danych.

Wspieramy to połączeniami sieciowymi o szybkości do 40 Gb/s i umową SLA o czasie działania na poziomie 99,95%, dzięki czemu Twój skarbiec jest zawsze dostępny. Ponadto oferujemy lokalizacje w 12 miastach na całym świecie, dzięki czemu możesz przechowywać swoje dane tam, gdzie chcesz.

Zalecane konfiguracje:

• Do użytku osobistego (poniżej 10 użytkowników): 2 rdzenie procesora, 4 GB RAM, 25 GB pamięci NVMe.
• Dla zespołów (10–50 użytkowników): 4 rdzenie procesora, 8 GB RAM, 50 GB pamięci NVMe.

Co należy przygotować przed instalacją?

Przed rozpoczęciem instalacji zbierz te elementy, aby ułatwić proces.

1. Nazwa domeny i rekordy DNS

Skonfiguruj nazwę domeny (np. Vault.twojadomena.com) z rekordami DNS A wskazującymi Twój adres IP VPS. Bitwarden działa najlepiej z nazwą domeny. Używanie wyłącznie adresu IP ogranicza możliwości protokołu SSL i utrudnia zarządzanie certyfikatami.

2. Identyfikator i klucz instalacji Bitwarden

Odwiedź Portal hostingowy Bitwarden i podaj prawidłowy adres e-mail. Otrzymasz identyfikator instalacji i klucz instalacyjny e-mailem. Zapisz obie wartości w bezpieczny sposób, ponieważ będą potrzebne podczas konfiguracji.

3. Dane uwierzytelniające dostępu do VPS

Potwierdź, że masz gotowe:

• Poświadczenia dostępu SSH dla serwerów Linux
• Dostęp do pulpitu zdalnego (RDP) dla serwerów Windows
• Uprawnienia administratora lub roota

4. Plan certyfikatów SSL

Zdecyduj, jak będziesz obsługiwać szyfrowanie SSL/TLS:

• Let's Encrypt automatyczne generowanie certyfikatu podczas instalacji
• Wstępnie uzyskane certyfikaty SSL od urzędu certyfikacji
• Certyfikaty z podpisem własnym tylko dla środowisk testowych

5. Szczegóły serwera SMTP

Do zaproszeń użytkowników i weryfikacji za pomocą poczty e-mail potrzebne będą poświadczenia serwera SMTP:

• Nazwa hosta i port SMTP
• Nazwa użytkownika i hasło uwierzytelniające
• Adres e-mail nadawcy

Bez konfiguracji SMTP nie można zapraszać użytkowników ani weryfikować adresów e-mail. Jednak system będzie nadal działał dla początkowego konta administratora.

Jak zainstalować w systemie Linux (Ubuntu/Debian/Rocky)?

W tym przewodniku wykorzystano Ubuntu 24.04 LTS. Te kroki działają identycznie w Debianie 12 i Rocky Linux 9 z odpowiednimi zmianami menedżera pakietów. Wykonanie tych kroków pomoże Ci samodzielnie hostować menedżera haseł Bitwarden w dowolnej z tych dystrybucji Linuksa.

Krok 1: Wstępna konfiguracja serwera

Połącz się z Linux VPS przez SSH i zaktualizuj system:

sudo apt update && sudo apt upgrade -y

Sprawdź, czy porty 80 (HTTP) i 443 (HTTPS) są otwarte w zaporze. Dla UFW na Ubuntu:

sudo ufw allow 80/tcp

sudo ufw allow 443/tcp

sudo ufw reload

Krok 2: Zainstaluj silnik Docker

Bitwarden działa w kontenerach Docker. Docker Engine stanowi podstawę Twojej instalacji. Zainstaluj Docker Engine 26.0+ i wtyczkę Docker Compose V2:

sudo apt install docker.io docker-compose-plugin -y

sudo systemctl enable --now docker

sudo systemctl status docker

The włącz – teraz polecenie natychmiast uruchamia Docker i zapewnia jego uruchomienie po ponownym uruchomieniu serwera.

Sprawdź, czy instalacja się powiodła:

docker --version

docker compose version
Both commands should return version numbers. Docker Engine should be 26.0 or higher, Docker Compose should be 2.0 or higher.

Krok 3: Utwórz użytkownika i katalog Bitwarden

Uruchamianie Bitwarden jako dedykowany użytkownik inny niż root jest zgodne z najlepszymi praktykami bezpieczeństwa. Ogranicza to potencjalne szkody w przypadku naruszenia bezpieczeństwa aplikacji. Utwórz to dedykowane konto użytkownika:

sudo adduser bitwarden

Po wyświetleniu monitu ustaw silne hasło. To hasło zabezpiecza dostęp SSH, jeśli kiedykolwiek będziesz musiał zalogować się bezpośrednio jako użytkownik Bitwarden.

Utwórz grupę Docker, jeśli nie istnieje (większość systemów już ją ma):

sudo groupadd docker

Dodaj użytkownika Bitwarden do grupy Docker. Daje to pozwolenie na uruchamianie poleceń Dockera bez sudo:

sudo usermod -aG docker bitwarden

Utwórz katalog instalacyjny Bitwarden z ograniczonymi uprawnieniami:

sudo mkdir /opt/bitwarden

sudo chmod -R 700 /opt/bitwarden

sudo chown -R bitwarden:bitwarden /opt/bitwarden

The 700 pozwolenie oznacza, że ​​tylko użytkownik Bitwarden może czytać, zapisywać i wykonywać pliki w tym katalogu. Chroni to bazę danych haseł przed innymi użytkownikami systemu.

Przełącz się na użytkownika Bitwarden dla wszystkich pozostałych kroków instalacji:

sudo su - bitwarden

cd /opt/bitwarden

Krok 4: Pobierz i uruchom skrypt instalacyjny

Pobierz skrypt instalacyjny Bitwarden:

curl -Lso bitwarden.sh "https://func.bitwarden.com/api/dl/?app=self-host&platform=linux" && chmod 700 bitwarden.sh

Rozpocznij instalację:

./bitwarden.sh install

Krok 5: Skonfiguruj monity instalacji

Instalator poprosi o podanie kilku wartości:

Nazwa domeny: Wprowadź skonfigurowany rekord DNS (vault.twojadomena.com)

Certyfikat SSL: Typ Y jeśli chcesz, aby Let’s Encrypt wygenerował certyfikat, lub N jeśli już go masz

Identyfikator instalacji: Wprowadź identyfikator z https://bitwarden.com/host/

Klucz instalacyjny: Wprowadź klucz ze strony https://bitwarden.com/host/

Postępuj zgodnie z pozostałymi monitami w zależności od wybranego certyfikatu SSL. Proces instalacji pobierze obrazy Dockera i skonfiguruje środowisko.

Krok 6: Skonfiguruj ustawienia poczty e-mail

Edytuj plik środowiska:

nano ./bwdata/env/global.override.env

Ustaw swoje dane uwierzytelniające SMTP:

globalSettings__mail__smtp__host=smtp.yourprovider.com

globalSettings__mail__smtp__port=587

globalSettings__mail__smtp__ssl=false

globalSettings__mail__smtp__startTls=true

[email protected]

globalSettings__mail__smtp__password=yourpassword

Zapisz plik (Ctrl+X, następnie Y, następnie Enter).

Krok 7: Uruchom Bitwarden

Uruchom instancję Bitwarden:

./bitwarden.sh start

Pierwsze uruchomienie pobiera wszystkie obrazy Dockera z GitHub Container Registry. Może to potrwać kilka minut. Sprawdź, czy wszystkie kontenery działają:

docker ps

Powinieneś zobaczyć wiele kontenerów Bitwarden na liście „W górę”.

Odwiedź skonfigurowaną domenę (https://vault.yourdomain.com) w przeglądarce internetowej. Powinieneś zobaczyć stronę logowania do skarbca internetowego Bitwarden. Utwórz konto główne, aby rozpocząć korzystanie z menedżera haseł.

Jak zainstalować na serwerze Windows (PowerShell)?

W tej sekcji opisano instalację w systemie Windows Server 2025 przy użyciu programu PowerShell. Proces ten odzwierciedla instalację systemu Linux, ale wykorzystuje polecenia specyficzne dla systemu Windows do samodzielnego hostowania menedżera haseł Bitwarden na serwerze VPS z systemem Windows.

Krok 1: Wstępna konfiguracja systemu Windows

Połącz się z serwerem VPS z systemem Windows za pomocą protokołu Remote Desktop Protocol (RDP). RDP zapewnia pełne doświadczenie GUI potrzebne do konfiguracji Docker Desktop.

Potwierdź, że Zapora systemu Windows zezwala na ruch na portach 80 i 443. Otwórz PowerShell jako administrator i uruchom:

New-NetFirewallRule -DisplayName "Allow HTTP" -Direction Inbound -Protocol TCP -LocalPort 80 -Action Allow

New-NetFirewallRule -DisplayName "Allow HTTPS" -Direction Inbound -Protocol TCP -LocalPort 443 -Action Allow

Krok 2: Zainstaluj pulpit Docker

Docker Desktop oficjalnie nie obsługuje systemu Windows Server. Możesz napotkać problemy ze stabilnością. Aby zapewnić płynniejszą pracę, zalecamy Linuksa.

Pobierz i zainstaluj Docker Desktop dla Windows z https://www.docker.com/products/docker-desktop/. Podczas instalacji odznacz „Użyj WSL2 zamiast Hyper-V”. Bitwarden potrzebuje trybu Hyper-V do działania.

Po instalacji otwórz Docker Desktop i przejdź do Ustawienia → Zasoby. Ustaw przydział pamięci RAM na co najmniej 4 GB. Daje to pamięć RAM z systemu Windows do Dockera.

Krok 3: Utwórz użytkownika i katalog Bitwarden

Otwórz PowerShell z uprawnieniami administratora i utwórz użytkownika Bitwarden:

$Password = Read-Host -AsSecureString

Po wyświetleniu monitu wprowadź bezpieczne hasło. Następnie utwórz konto użytkownika:

New-LocalUser "Bitwarden" -Password $Password -Description "Bitwarden Local Admin"

Dodaj użytkownika Bitwarden do grupy docker-users:

Add-LocalGroupMember -Group "docker-users" -Member "Bitwarden"

Utwórz katalog instalacyjny Bitwarden:

mkdir C:\Bitwarden

W Docker Desktop przejdź do Ustawienia → Zasoby → Udostępnianie plików. Dodać C:\Bitwarden do listy Zasoby. Kliknij Zastosuj i uruchom ponownie.

Krok 4: Pobierz skrypt instalacyjny Bitwarden

Przejdź do katalogu Bitwarden:

cd C:\Bitwarden

Pobierz skrypt instalacyjny:

Invoke-RestMethod -OutFile bitwarden.ps1 -Uri "https://func.bitwarden.com/api/dl/?app=self-host&platform=windows"

Uruchom instalator:

.\bitwarden.ps1 -install

Krok 5: Skonfiguruj monity instalacji

Monity instalatora odzwierciedlają instalację systemu Linux:

Nazwa domeny: Wprowadź nazwę domeny skonfigurowaną przez DNS

Certyfikat SSL: Wchodzić Y dla certyfikatu Let’s Encrypt lub N jeśli zapewnisz własne

Identyfikator instalacji: Z https://bitwarden.com/host/

Klucz instalacyjny: Z https://bitwarden.com/host/

Wypełnij pozostałe monity w zależności od wybranej konfiguracji protokołu SSL.

Krok 6: Skonfiguruj pocztę e-mail i rozpocznij

Redagować C:\Bitwarden\bwdata\env\global.override.env z ustawieniami SMTP, a następnie uruchom ponownie Bitwarden:

.\bitwarden.ps1 -restart

Uzyskaj dostęp do skarbca Bitwarden w skonfigurowanej domenie, aby utworzyć konto główne.

Jaki jest najszybszy sposób weryfikacji i wzmocnienia?

Gdy już samodzielnie hostujesz menedżera haseł Bitwarden, przed dodaniem użytkowników lub zaimportowaniem haseł sprawdź, czy Twoja instancja działa.

Kroki weryfikacji

Kontrola certyfikatu SSL: Otwórz swoją domenę Bitwarden w przeglądarce internetowej (https://vault.yourdomain.com). Powinieneś zobaczyć ekran logowania do skarbca internetowego Bitwarden, ikonę kłódki na pasku adresu i brak ostrzeżeń „Niezabezpieczony”.

Jeśli widzisz ostrzeżenia dotyczące certyfikatów, przejrzyj sekcję dotyczącą konfiguracji protokołu SSL.

Tworzenie konta administratora: Kliknij „Utwórz konto” na ekranie logowania. Użyj silnego hasła głównego składającego się z co najmniej 12 znaków, składających się z wielkich i małych liter, cyfr i symboli. Zapisz to hasło i przechowuj je bezpiecznie w trybie offline.

Bitwarden nie może odzyskać utraconych haseł głównych.

Test aplikacji klienckiej: Zainstaluj rozszerzenie przeglądarki Bitwarden lub aplikację mobilną. Przed zalogowaniem dotknij ikony ustawień/koła zębatego, zmień „Adres URL serwera” na domenę hostowaną samodzielnie, zapisz i wróć do logowania.

Wprowadź swoje dane uwierzytelniające i sprawdź, czy możesz dodać nowe hasło, zsynchronizować je ze skarbcem internetowym i pobrać z rozszerzenia przeglądarki.

Kondycja kontenera Docker: Sprawdź, czy wszystkie kontenery działają.

Linux:

cd /opt/bitwarden

docker ps

Okna:

cd C:\Bitwarden

docker ps

Oczekiwany wynik: na liście znajduje się 5–7 kontenerów, wszystkie wyświetlają „Up” w kolumnie STATUS. Nazwy kontenerów obejmują: bitwarden-web, bitwarden-api, bitwarden-identity, bitwarden-attachments, bitwarden-icons, bitwarden-mssql, bitwarden-nginx.

Jeśli jakikolwiek kontener wyświetla komunikat „Exited” lub go brakuje, sprawdź dzienniki: dzienniki tworzenia dokera [nazwa-kontenera]

Lista kontrolna wzmacniania zabezpieczeń

Włącz uwierzytelnianie dwuskładnikowe: Skonfiguruj 2FA dla swojego konta administratora od razu. Bitwarden obsługuje aplikacje uwierzytelniające, pocztę e-mail i klucze sprzętowe do weryfikacji drugiego stopnia.

Skonfiguruj reguły zapory: Ogranicz SSH (port 22 w systemie Linux) lub RDP (port 3389 w systemie Windows) do znanych adresów IP. Rozważ użycie Fail2ban w systemie Linux, aby zablokować próby użycia siły.

Skonfiguruj regularne kopie zapasowe: Kopia zapasowa /opt/bitwarden/bwdata (Linux) lub C:\Bitwarden\bwdata (Windows) zgodnie z harmonogramem. Ten katalog zawiera bazę danych i ustawienia. Przechowuj kopie zapasowe poza serwerem w celu prawdziwego odzyskiwania po awarii.

Zaktualizuj odnowienie certyfikatu: Jeśli korzystasz z Let’s Encrypt, sprawdź, czy skonfigurowano odnowienie. Przetestuj odnowienie za pomocą polecenia: ./bitwarden.sh odnawia certyfikat na Linuksie.

Wyłącz rejestrację użytkownika: Po utworzeniu potrzebnych kont wyłącz rejestrację nowych użytkowników, aby zapobiec nieautoryzowanym rejestracjom. Redagować global.override.env i dodaj: globalSettings__disableUserRegistration=true następnie uruchom ponownie Bitwarden.

Skonfiguruj dostęp do portalu administracyjnego: Autoryzuj określone adresy e-mail w celu uzyskania dostępu do Portalu administratora systemu. Dodać [email protected] do pliku ustawień.

Przejrzyj dzienniki dostępu: Monitor /opt/bitwarden/bwdata/logs (Linux) lub C:\Bitwarden\bwdata\logs (Windows) co tydzień pod kątem podejrzanych wzorców aktywności.

Jak bezpiecznie konserwować i aktualizować Bitwarden?

Bieżąca konserwacja zapewnia bezpieczeństwo i dobre działanie instancji. Właściwe praktyki konserwacji pomogą Ci niezawodnie hostować menedżera haseł Bitwarden przez lata.

Procedura aktualizacji

Bitwarden wydaje aktualizacje z poprawkami bezpieczeństwa i nowymi funkcjami. Aktualizuj swoją instancję co miesiąc lub gdy aktualizacje zabezpieczeń zostaną ogłoszone oficjalnymi kanałami.

Proces aktualizacji Linuksa:

cd /opt/bitwarden

./bitwarden.sh updateself

./bitwarden.sh update

./bitwarden.sh start

The aktualizuję się polecenie aktualizuje sam skrypt instalacyjny, podczas gdy aktualizacja pobiera nowe obrazy Dockera.

Proces aktualizacji systemu Windows:

cd C:\Bitwarden

.\bitwarden.ps1 -updateself

.\bitwarden.ps1 -update

.\bitwarden.ps1 -start

Strategia tworzenia kopii zapasowych

Twój bwdane katalog zawiera wszystko: bazę danych, pliki ustawień, certyfikaty SSL i logi. Automatyczne kopie zapasowe są obowiązkowym krokiem bezpieczeństwa, gdy samodzielnie hostujesz menedżera haseł Bitwarden.

Co wykonać kopię zapasową:

Baza danych: Używa Linuksa bwdata/mssql/data (SQL Server), używa systemu Windows bwdata/mssql/data.

Konfiguracja: The bwdane/środ katalog zawiera zmienne środowiskowe, ustawienia SMTP i szczegóły konfiguracji domeny.

Certyfikaty SSL: Znajduje się w bwdata/ssl jeśli używasz niestandardowych certyfikatów zamiast Let’s Encrypt.

Automatyczny skrypt kopii zapasowej (Linux):

#!/bin/bash

# Save as /home/bitwarden/backup-bitwarden.sh

BACKUP_DIR="/home/bitwarden/backups"

DATE=$(date +%Y%m%d-%H%M%S)

# Create backup directory if it doesn't exist

mkdir -p $BACKUP_DIR

# Create compressed backup

cd /opt/bitwarden

tar -czf $BACKUP_DIR/bitwarden-backup-$DATE.tar.gz bwdata/

# Keep only last 30 days of backups

find $BACKUP_DIR -name "bitwarden-backup-*.tar.gz" -mtime +30 -delete

# Optional: Copy to remote storage

# rsync -az $BACKUP_DIR/ user@remoteserver:/backups/bitwarden/

Ustaw skrypt jako wykonywalny i dodaj do crontab:

chmod +x /home/bitwarden/backup-bitwarden.sh

# Run daily at 2 AM

crontab -e

# Add this line:

0 2 * * * /home/bitwarden/backup-bitwarden.sh

Kopia zapasowa systemu Windows (PowerShell):

# Run as scheduled task

$Date = Get-Date -Format "yyyyMMdd-HHmmss"

$BackupPath = "C:\Backups\Bitwarden"

New-Item -ItemType Directory -Force -Path $BackupPath

Compress-Archive -Path "C:\Bitwarden\bwdata" -DestinationPath "$BackupPath\bitwarden-backup-$Date.zip"

# Clean old backups (older than 30 days)

Get-ChildItem -Path $BackupPath -Filter "*.zip" | 

  Where-Object {$_.LastWriteTime -lt (Get-Date).AddDays(-30)} | 

  Remove-Item

Przechowuj kopie zapasowe poza serwerem, korzystając z protokołu rsync, szyfrowanej pamięci w chmurze lub oddzielnego serwera kopii zapasowych VPS. Kopie zapasowe na serwerze nie chronią przed awarią sprzętu. Dla bezpieczny transfer plików kopii zapasowych w zdalnych lokalizacjach, należy rozważyć szyfrowane protokoły, takie jak SFTP lub FTPS.

Monitorowanie

Skonfiguruj podstawowe monitorowanie, aby wychwycić problemy, zanim wpłyną one na użytkowników:

Stan kontenera: Sprawdź, czy wszystkie kontenery Docker działają przez cały dzień.

Miejsce na dysku: Monitoruj dostępną pamięć w katalogu bwdata, aby zapobiec uszkodzeniu bazy danych na pełnych dyskach.

Wygaśnięcie certyfikatu SSL: Sprawdź, czy certyfikaty odnawiają się zgodnie z harmonogramem i czy nie wygasły nieoczekiwanie.

Przegląd dziennika: Co tydzień sprawdzaj dzienniki błędów pod kątem nietypowych działań lub błędów uwierzytelniania.

Testowanie odzyskiwania

Co kwartał testuj proces przywracania kopii zapasowych, aby móc odzyskać dane po utracie danych:

1. Zatrzymaj Bitwardena
2. Zmień nazwę bieżącego katalogu bwdata
3. Przywróć z kopii zapasowej
4. Uruchom Bitwarden i sprawdź funkcjonalność
5. Jeśli się powiedzie, usuń stary katalog

Linux kontra Windows: który wybrać?

Obie platformy z powodzeniem umożliwiają samodzielne hostowanie menedżera haseł Bitwarden. Każdy z nich ma wyraźne zalety i kompromisy, które warto rozważyć.

Zalety Linuksa

Efektywność wykorzystania zasobów: Linux potrzebuje co najmniej około 2 GB pamięci RAM w porównaniu z minimum 4 GB systemu Windows. Przekłada się to na niższe koszty hostingu z miesiąca na miesiąc.

Niższe obciążenie operacyjne: Linux poświęca więcej zasobów na uruchamianie Bitwarden niż sam system operacyjny.

Prostsze aktualizacje: Menedżerowie pakietów usprawniają aktualizacje systemu. Integracja z Dockerem jest natywna i prosta, bez dodatkowych warstw.

Wsparcie społeczności: Społeczność zajmująca się własnym hostingiem korzysta głównie z Linuksa. W Internecie znajdziesz więcej przewodników społeczności i zasobów dotyczących rozwiązywania problemów.

Koszt: Większość dystrybucji Linuksa jest bezpłatna, co eliminuje koszty licencji na system operacyjny.

Zalety serwera Windows

Znajomość: Administratorzy systemów doświadczeni w pracy z systemem Windows Server mogą od razu wykorzystać istniejącą wiedzę.

Integracja: Lepsza integracja z istniejącą infrastrukturą opartą na systemie Windows i środowiskami Active Directory.

Narzędzia do zarządzania: Narzędzia do zarządzania serwerem Windows mogą być preferowane w środowiskach organizacyjnych z dużym obciążeniem systemem Windows.

Wsparcie: Opcje komercyjnej pomocy technicznej firmy Microsoft w zakresie rozwiązywania problemów i pomocy.

Porównanie wydajności

Zalecenie

Wybierz Linux, chyba że masz określone wymagania dotyczące systemu Windows Server. Ubuntu 24.04 LTS oferuje najlepszą równowagę pomiędzy stabilnością, efektywnością wykorzystania zasobów i wsparciem społeczności. Pięcioletni okres wsparcia dobrze pokrywa się z typowymi cyklami wdrażania VPS.

Rozwiązywanie problemów (szybkie odpowiedzi)

Bitwarden nie uruchamia się: Jeśli kontenery zawiodą lub skarbiec będzie nieosiągalny, sprawdź najpierw stan usługi Docker. W systemie Linux uruchom Okno dokowane stanu sudo systemctl. W systemie Windows sprawdź, czy Docker Desktop jest aktywny. Sprawdź dzienniki błędów za pomocą doker tworzy dzienniki aby wykryć konflikty portów lub problemy z uprawnieniami do plików uniemożliwiające uruchomienie.

Domena nieosiągalna: Jeśli widzisz błędy związane z przekroczeniem limitu czasu połączenia, sprawdź, czy rekordy A DNS wskazują adres IP VPS. Upewnij się, że zapora sieciowa zezwala na porty 80 i 443. Uruchom okno dokowane ps aby potwierdzić, że wszystkie kontenery pokazują „Up”. Jeśli którykolwiek z nich ma status „Exited”, sprawdź dzienniki tego konkretnego kontenera.

Błędy e-maili: Jeśli użytkownicy nie otrzymają zaproszeń, sprawdź ustawienia SMTP w bwdata/env/global.override.env. Większość dostawców potrzebuje portu 587 z StartTLS. Niezależnie przetestuj SMTP, aby wykluczyć problemy z poświadczeniami, lub sprawdź identity.txt dzienniki błędów odrzucenia po stronie serwera.

Błędy certyfikatu SSL: Ostrzeżenia przeglądarki zwykle oznaczają, że weryfikacja Let's Encrypt nie powiodła się. Upewnij się, że port 80 jest otwarty dla publicznego Internetu. Aby naprawić wygasłe certyfikaty, wymuś odnowienie za pomocą ./bitwarden.sh odnawia certyfikat (Linux) lub .\bitwarden.ps1 -renewcert (Okna).

Wysokie wykorzystanie pamięci: Jeśli VPS zwalnia, użyj statystyki dokera w celu identyfikacji pojemników wymagających dużej ilości zasobów. Ponowne uruchomienie Bitwarden może tymczasowo usunąć wycieki pamięci. Jednak utrzymujące się problemy często wymagają przejścia na plan z 4 GB lub więcej pamięci RAM.

Aktualizacja przerywa instalację: Zawsze twórz kopie zapasowe bwdane katalog przed aktualizacją. Jeśli aktualizacja się nie powiedzie, przywróć ten katalog i powróć do poprzedniej wersji. Przed ponowną próbą aktualizacji sprawdź oficjalne informacje o wydaniu pod kątem istotnych zmian.

Sprawdź informacje o wersji pod adresem https://github.com/bitwarden/server/releases za przerwanie zmian przed aktualizacją.

Alternatywa: Vaulttwarden dla lekkich wdrożeń

Dla użytkowników poszukujących bardziej zasobooszczędnej opcji Vaulttwarden oferuje atrakcyjną alternatywę. Vaulttwarden to nieoficjalny serwer kompatybilny z Bitwarden, napisany w Rust, który zużywa mniej zasobów.

Zalety Vaulttwardena

Minimalne wymagania dotyczące zasobów: Vaulttwarden działa płynnie przy zaledwie 512 MB pamięci RAM. Dzięki temu nadaje się do urządzeń o niskim poborze mocy, takich jak Raspberry Pi.

Kompatybilny z klientami Bitwarden: Korzystasz z tych samych oficjalnych aplikacji, rozszerzeń i klientów mobilnych Bitwarden. Zamiast tego po prostu wskaż im adres URL serwera Vaulttwarden.

Zawiera funkcje premium: Vaulttwarden zapewnia funkcje premium, takie jak generowanie TOTP i załączniki plików, bez konieczności posiadania płatnej licencji Bitwarden.

Szybsze wdrożenie: Instalacja zwykle trwa mniej niż 10 minut w systemach Linux i nie wymaga skomplikowanych kroków konfiguracyjnych.

Kiedy wybrać Vaulttwarden

Vaulttwarden działa najlepiej w przypadku:

• Do użytku osobistego lub w małych zespołach (poniżej 10 użytkowników)
• Plany VPS z ograniczonymi zasobami i ograniczoną pamięcią RAM
• Użytkownicy czują się komfortowo, korzystając z oprogramowania wspieranego przez społeczność
• Środowiska, w których priorytetem jest efektywne wykorzystanie zasobów nad wsparciem komercyjnym

Kiedy wybrać oficjalny Bitwarden

Trzymaj się oficjalnego Bitwardena dla:

• Wdrożenia w przedsiębiorstwach wymagające komercyjnych umów wsparcia
• Organizacje wymagające oficjalnych audytów i certyfikatów bezpieczeństwa
• Wdrożenia przekraczające 50 użytkowników przy jednoczesnym dużym obciążeniu
• Środowiska wymagające gwarancji wsparcia integracji stron trzecich

Obie opcje zapewniają niezawodne zarządzanie hasłami. Wybór zależy od konkretnych ograniczeń zasobów, wymagań dotyczących wsparcia i potrzeb w zakresie skali.

Wniosek

Samodzielny hosting Bitwarden zapewnia bezpieczeństwo klasy korporacyjnej i suwerenność danych w niecałą godzinę. Z naruszeniem w 2025 r kosztuje średnio 4,44 miliona dolarów, kontrolowanie poświadczeń zmniejsza ryzyko, zachowując jednocześnie wygodę nowoczesnego menedżera haseł.

Aby zabezpieczyć swoją instancję, natychmiast włącz uwierzytelnianie dwuskładnikowe i skonfiguruj automatyczne kopie zapasowe poza serwerem. Pamiętaj, że hasła głównego nie da się odzyskać z założenia, dlatego przechowuj je fizycznie w trybie offline, a nie cyfrowo.

Wreszcie, zapewnij długoterminową odporność subskrybowanie aktualizacji zabezpieczeń i co kwartał testuj przywracanie kopii zapasowej. Te proste nawyki konserwacyjne zapewniają dostępność skarbca i ochronę przed utratą danych.

Często zadawane pytania