Trình quản lý mật khẩu Bitwarden tự lưu trữ: Hướng dẫn đầy đủ

Tuy nhiên, mật khẩu vẫn là rào cản chính giữa tin tặc và tài khoản của bạn 81% vi phạm dữ liệu xuất phát từ thông tin xác thực yếu hoặc bị đánh cắp. Chỉ một phần ba người Mỹ sử dụng trình quản lý mật khẩu, khiến hàng triệu người có nguy cơ bị đánh cắp thông tin xác thực và chiếm đoạt tài khoản. Câu hỏi thực sự là liệu bạn có thể tin tưởng người khác giao kho tiền của mình hay không.

Hướng dẫn này chỉ cho bạn cách tự lưu trữ trình quản lý mật khẩu Bitwarden trên VPS của riêng bạn để kiểm soát hoàn toàn. Bạn sẽ tìm hiểu cách cài đặt từng bước cho Windows Server 2025 và Ubuntu 24.04 LTS, cùng với việc tăng cường bảo mật giúp chỉ bạn mới có thể truy cập vào vault của mình.

Bạn sẽ xây dựng cái gì (và tại sao lại là VPS)?

Khi bạn tự lưu trữ trình quản lý mật khẩu Bitwarden, bạn sẽ tạo cơ sở hạ tầng quản lý mật khẩu riêng trên máy chủ của riêng mình. Thiết lập này cung cấp cho bạn toàn quyền kiểm soát nơi lưu trữ thông tin xác thực, cách chúng được sao lưu và ai có thể truy cập chúng.

Tại sao chọn VPS cho Bitwarden?

Máy chủ riêng ảo cung cấp sự cân bằng lý tưởng về kiểm soát, hiệu suất và hiệu quả chi phí cho việc quản lý mật khẩu.

Hoàn thành chủ quyền dữ liệu

Kho mật khẩu của bạn không bao giờ rời khỏi cơ sở hạ tầng mà bạn kiểm soát. Không giống như các dịch vụ được lưu trữ trên đám mây, dữ liệu được mã hóa của bạn nằm trên các máy chủ bạn chọn, ở những vị trí bạn chỉ định.

Khả năng truy cập luôn bật

VPS chạy liên tục, giúp kho mật khẩu của bạn có sẵn ở mọi nơi, mọi lúc. Bạn không cần phải để máy tính cá nhân chạy suốt ngày đêm.

Tài nguyên chuyên dụng

Các gói VPS cung cấp tài nguyên CPU, RAM và bộ lưu trữ được đảm bảo không bị chia sẻ với khối lượng công việc của người dùng khác. Hiệu suất luôn ổn định bất kể khách hàng khác đang làm gì.

Khả năng mở rộng

Khi nhu cầu quản lý mật khẩu của bạn tăng lên từ mục đích sử dụng cá nhân đến triển khai theo nhóm hoặc doanh nghiệp, các gói VPS có thể mở rộng quy mô để phù hợp. Bắt đầu nhỏ và nâng cấp khi cần thiết.

Hiệu quả về chi phí

Chi phí lưu trữ VPS thấp hơn nhiều so với việc duy trì phần cứng vật lý chuyên dụng. Bạn nhận được các lợi ích kiểm soát và cách ly tương tự mà không cần đầu tư trước.

Bảo vệ chuyên nghiệp

Các nhà cung cấp VPS có uy tín cung cấp tính năng bảo vệ DDoS, sao lưu thường xuyên và bảo mật mạng cấp doanh nghiệp. Việc thực hiện những điều này một cách độc lập sẽ tốn kém và mất thời gian.

Yêu cầu về Tự lưu trữ là gì?

Bạn cần biết thông số phần cứng để tự lưu trữ trình quản lý mật khẩu Bitwarden. Điều này giúp bạn chọn gói VPS phù hợp và ngăn các vấn đề về hiệu suất xuất hiện sau này.

Yêu cầu phần cứng cho Windows Server

Để triển khai thành công trên Windows Server 2025, bạn cần có các thông số kỹ thuật tối thiểu này.

Bộ xử lý: x64, CPU tối thiểu 1,4 GHz; Khuyến nghị x64, lõi kép 2GHz

ĐẬP: 6GB minimum; 8GB or more recommended for production use.

Kho: 76GB minimum; 90GB recommended for production deployments.

Người đưa tin: Docker Desktop với Engine 26.0+ (khuyên dùng 27.x) và Compose; Hỗ trợ Hyper-V (không phải WSL2)

Windows Server 2025 cần hỗ trợ ảo hóa lồng nhau. Người dùng Azure nên sử dụng Máy ảo D2s v3 tiêu chuẩn với Loại bảo mật được đặt thành Tiêu chuẩn, không phải Khởi chạy đáng tin cậy.

Yêu cầu phần cứng cho Linux

Các bản phân phối Linux cần ít tài nguyên hơn. Để tự lưu trữ trình quản lý mật khẩu Bitwarden trên Ubuntu 24.04 LTS, Debian 12 hoặc Rocky Linux 9, đây là những gì bạn cần.

Bộ xử lý: x64, CPU tối thiểu 1,4 GHz; Khuyến nghị x64, lõi kép 2GHz

ĐẬP: 2GB minimum; 4GB or more recommended for multiple users

Kho: 12GB minimum; 25GB recommended for production

Người đưa tin: Docker Engine 26.0+ (khuyên dùng 27.x) và Docker Compose

Linux là sự lựa chọn hiệu quả hơn. Nó sử dụng khoảng một phần ba RAM khi triển khai Windows Server trong khi vẫn cung cấp chức năng giống hệt nhau.

So sánh hiệu suất:

Chọn nhà cung cấp VPS của bạn

Để tự lưu trữ Bitwarden, bạn cần có VPS có quyền truy cập root đầy đủ, hỗ trợ Docker và địa chỉ IP công cộng ổn định. Bạn cũng cần thông lượng mạng cao và độ tin cậy về thời gian hoạt động để kho mật khẩu đồng bộ hóa ngay lập tức trên tất cả các thiết bị của bạn.

Tại Cloudzy, chúng tôi cung cấp cơ sở hạ tầng hiệu suất cao mà khối lượng công việc này yêu cầu. Của chúng tôi Lưu trữ VPS Docker các gói chạy trên bộ xử lý AMD Ryzen 9 (tốc độ lên tới 5,7 GHz) với bộ lưu trữ NVMe. Điều này mang lại tốc độ đơn luồng cần thiết cho các hoạt động cơ sở dữ liệu được mã hóa.

Chúng tôi hỗ trợ điều này với các kết nối mạng lên tới 40 Gbps và SLA thời gian hoạt động 99,95%, vì vậy kho tiền của bạn luôn có thể truy cập được. Ngoài ra, chúng tôi còn cung cấp các địa điểm ở 12 thành phố trên toàn cầu, cho phép bạn lưu trữ dữ liệu của mình ở nơi bạn muốn.

Cấu hình được đề xuất:

• Dành cho sử dụng cá nhân (dưới 10 người dùng): 2 nhân CPU, RAM 4GB, bộ nhớ lưu trữ NVMe 25GB.
• Dành cho nhóm (10–50 người dùng): 4 nhân CPU, RAM 8GB, bộ nhớ lưu trữ NVMe 50GB.

Bạn nên chuẩn bị những gì trước khi cài đặt?

Trước khi bắt đầu cài đặt, hãy thu thập các mục này để quá trình dễ dàng hơn.

1. Tên miền và bản ghi DNS

Định cấu hình tên miền (như vault.yourdomain.com) với bản ghi DNS A trỏ đến địa chỉ IP VPS của bạn. Bitwarden hoạt động tốt nhất với một tên miền. Chỉ sử dụng địa chỉ IP sẽ giới hạn các tùy chọn SSL của bạn và gây khó khăn cho việc quản lý chứng chỉ.

2. ID và khóa cài đặt Bitwarden

Ghé thăm Cổng lưu trữ Bitwarden và cung cấp một địa chỉ email hợp lệ. Bạn sẽ nhận được ID cài đặt và khóa cài đặt qua email. Lưu cả hai giá trị một cách an toàn vì bạn sẽ cần chúng trong quá trình thiết lập.

3. Thông tin xác thực truy cập VPS

Xác nhận rằng bạn đã sẵn sàng những thứ sau:

• Thông tin xác thực truy cập SSH cho máy chủ Linux
• Truy cập Remote Desktop (RDP) cho máy chủ Windows
• Quyền quản trị viên hoặc cấp cơ sở

4. Gói chứng chỉ SSL

Quyết định cách bạn sẽ xử lý mã hóa SSL/TLS:

• Hãy mã hóa việc tạo chứng chỉ tự động trong khi cài đặt
• Chứng chỉ SSL có được trước từ cơ quan cấp chứng chỉ
• Chứng chỉ tự ký chỉ dành cho môi trường thử nghiệm

5. Chi tiết máy chủ SMTP

Đối với lời mời của người dùng và xác minh email, bạn sẽ cần thông tin xác thực máy chủ SMTP:

• Tên máy chủ và cổng SMTP
• Xác thực tên người dùng và mật khẩu
• Địa chỉ email người gửi

Nếu không thiết lập SMTP, bạn không thể mời người dùng hoặc xác minh địa chỉ email. Tuy nhiên, hệ thống vẫn sẽ hoạt động đối với tài khoản quản trị viên ban đầu.

Bạn cài đặt trên Linux (Ubuntu/Debian/Rocky) như thế nào?

Hướng dẫn này sử dụng Ubuntu 24.04 LTS. Các bước hoạt động giống hệt nhau trên Debian 12 và Rocky Linux 9 với các điều chỉnh trình quản lý gói phù hợp. Làm theo các bước sau sẽ giúp bạn tự lưu trữ trình quản lý mật khẩu Bitwarden trên bất kỳ bản phân phối Linux nào.

Bước 1: Cấu hình máy chủ ban đầu

Kết nối với VPS Linux của bạn thông qua SSH và cập nhật hệ thống:

sudo apt update && sudo apt upgrade -y

Xác minh rằng cổng 80 (HTTP) và 443 (HTTPS) đang mở trong tường lửa của bạn. Đối với UFW trên Ubuntu:

sudo ufw allow 80/tcp

sudo ufw allow 443/tcp

sudo ufw reload

Bước 2: Cài đặt Docker Engine

Bitwarden chạy trong các vùng chứa Docker. Docker Engine tạo thành nền tảng cho quá trình cài đặt của bạn. Cài đặt Docker Engine 26.0+ và plugin Docker Compose V2:

sudo apt install docker.io docker-compose-plugin -y

sudo systemctl enable --now docker

sudo systemctl status docker

các bật –bây giờ lệnh khởi động Docker ngay lập tức và đảm bảo nó khởi chạy sau khi máy chủ khởi động lại.

Xác minh cài đặt thành công:

docker --version

docker compose version
Both commands should return version numbers. Docker Engine should be 26.0 or higher, Docker Compose should be 2.0 or higher.

Bước 3: Tạo người dùng và thư mục Bitwarden

Chạy Bitwarden với tư cách là người dùng không phải root chuyên dụng tuân theo các phương pháp bảo mật tốt nhất. Điều này hạn chế thiệt hại tiềm tàng nếu ứng dụng bị xâm phạm. Tạo tài khoản người dùng chuyên dụng này:

sudo adduser bitwarden

Đặt mật khẩu mạnh khi được nhắc. Mật khẩu này đảm bảo quyền truy cập SSH nếu bạn cần đăng nhập trực tiếp với tư cách là người dùng Bitwarden.

Tạo nhóm Docker nếu nó không tồn tại (hầu hết các hệ thống đều có nhóm này):

sudo groupadd docker

Thêm người dùng Bitwarden vào nhóm Docker. Điều này cấp quyền chạy các lệnh Docker mà không cần sudo:

sudo usermod -aG docker bitwarden

Tạo thư mục cài đặt Bitwarden với quyền hạn chế:

sudo mkdir /opt/bitwarden

sudo chmod -R 700 /opt/bitwarden

sudo chown -R bitwarden:bitwarden /opt/bitwarden

các 700 quyền có nghĩa là chỉ người dùng Bitwarden mới có thể đọc, ghi hoặc thực thi các tệp trong thư mục này. Điều này bảo vệ cơ sở dữ liệu mật khẩu của bạn khỏi những người dùng hệ thống khác.

Chuyển sang người dùng Bitwarden cho tất cả các bước cài đặt còn lại:

sudo su - bitwarden

cd /opt/bitwarden

Bước 4: Tải xuống và chạy tập lệnh cài đặt

Tải xuống tập lệnh cài đặt Bitwarden:

curl -Lso bitwarden.sh "https://func.bitwarden.com/api/dl/?app=self-host&platform=linux" && chmod 700 bitwarden.sh

Bắt đầu cài đặt:

./bitwarden.sh install

Bước 5: Định cấu hình lời nhắc cài đặt

Trình cài đặt sẽ nhắc một số giá trị:

Tên miền: Nhập bản ghi DNS được định cấu hình của bạn (vault.yourdomain.com)

Chứng chỉ SSL: Kiểu Y nếu bạn muốn Let's Encrypt tạo chứng chỉ hoặc N nếu bạn đã có một cái rồi

ID cài đặt: Nhập ID từ https://bitwarden.com/host/

Khóa cài đặt: Nhập khóa từ https://bitwarden.com/host/

Làm theo các lời nhắc còn lại dựa trên lựa chọn chứng chỉ SSL của bạn. Quá trình cài đặt sẽ tải xuống hình ảnh Docker và định cấu hình môi trường.

Bước 6: Định cấu hình cài đặt email

Chỉnh sửa tập tin môi trường:

nano ./bwdata/env/global.override.env

Đặt thông tin xác thực SMTP của bạn:

globalSettings__mail__smtp__host=smtp.yourprovider.com

globalSettings__mail__smtp__port=587

globalSettings__mail__smtp__ssl=false

globalSettings__mail__smtp__startTls=true

[email protected]

globalSettings__mail__smtp__password=yourpassword

Lưu tệp (Ctrl+X, rồi Y, rồi Enter).

Bước 7: Bắt đầu Bitwarden

Khởi chạy phiên bản Bitwarden của bạn:

./bitwarden.sh start

Lần khởi động đầu tiên tải xuống tất cả hình ảnh Docker từ GitHub Container Register. Việc này có thể mất vài phút. Xác minh tất cả các container đang chạy:

docker ps

Bạn sẽ thấy nhiều vùng chứa Bitwarden được liệt kê là “Up”.

Truy cập miền được định cấu hình của bạn (https://vault.yourdomain.com) trong trình duyệt web. Bạn sẽ thấy trang đăng nhập kho tiền web Bitwarden. Tạo tài khoản chính của bạn để bắt đầu sử dụng trình quản lý mật khẩu của bạn.

Bạn cài đặt trên Windows Server (PowerShell) như thế nào?

Phần này đề cập đến việc cài đặt trên Windows Server 2025 bằng PowerShell. Quá trình này phản ánh quá trình cài đặt Linux nhưng sử dụng các lệnh dành riêng cho Windows để tự lưu trữ trình quản lý mật khẩu Bitwarden trên VPS Windows của bạn.

Bước 1: Cấu hình Windows ban đầu

Kết nối với VPS Windows của bạn bằng Giao thức máy tính từ xa (RDP). RDP cung cấp trải nghiệm GUI đầy đủ cần thiết cho việc thiết lập Docker Desktop.

Xác nhận Tường lửa Windows cho phép lưu lượng truy cập trên cổng 80 và 443. Mở PowerShell với tư cách Quản trị viên và chạy:

New-NetFirewallRule -DisplayName "Allow HTTP" -Direction Inbound -Protocol TCP -LocalPort 80 -Action Allow

New-NetFirewallRule -DisplayName "Allow HTTPS" -Direction Inbound -Protocol TCP -LocalPort 443 -Action Allow

Bước 2: Cài đặt Docker Desktop

Docker Desktop không chính thức hỗ trợ Windows Server. Bạn có thể phải đối mặt với vấn đề ổn định. Chúng tôi khuyên dùng Linux để có trải nghiệm mượt mà hơn.

Tải xuống và cài đặt Docker Desktop cho Windows từ https://www.docker.com/products/docker-desktop/. Trong quá trình cài đặt, bỏ chọn “Sử dụng WSL2 thay vì Hyper-V”. Bitwarden cần chế độ Hyper-V để chạy.

Sau khi cài đặt, hãy mở Docker Desktop và đi tới Cài đặt → Tài nguyên. Đặt phân bổ RAM thành ít nhất 4GB. Điều này mang lại RAM từ Windows cho Docker.

Bước 3: Tạo người dùng và thư mục Bitwarden

Mở PowerShell với đặc quyền của Quản trị viên và tạo người dùng Bitwarden:

$Password = Read-Host -AsSecureString

Nhập mật khẩu an toàn khi được nhắc. Sau đó tạo tài khoản người dùng:

New-LocalUser "Bitwarden" -Password $Password -Description "Bitwarden Local Admin"

Thêm người dùng Bitwarden vào nhóm docker-users:

Add-LocalGroupMember -Group "docker-users" -Member "Bitwarden"

Tạo thư mục cài đặt Bitwarden:

mkdir C:\Bitwarden

Trong Docker Desktop, điều hướng đến Cài đặt → Tài nguyên → Chia sẻ tệp. Thêm vào C:\Bitwarden vào danh sách Tài nguyên. Nhấp vào Áp dụng & Khởi động lại.

Bước 4: Tải xuống tập lệnh cài đặt Bitwarden

Điều hướng đến thư mục Bitwarden:

cd C:\Bitwarden

Tải xuống tập lệnh cài đặt:

Invoke-RestMethod -OutFile bitwarden.ps1 -Uri "https://func.bitwarden.com/api/dl/?app=self-host&platform=windows"

Chạy trình cài đặt:

.\bitwarden.ps1 -install

Bước 5: Định cấu hình lời nhắc cài đặt

Lời nhắc của trình cài đặt phản ánh quá trình cài đặt Linux:

Tên miền: Nhập tên miền được cấu hình DNS của bạn

Chứng chỉ SSL: Đi vào Y đối với chứng chỉ Let’s Encrypt hoặc N nếu cung cấp của riêng bạn

ID cài đặt: Từ https://bitwarden.com/host/

Khóa cài đặt: Từ https://bitwarden.com/host/

Hoàn thành các lời nhắc còn lại dựa trên lựa chọn thiết lập SSL của bạn.

Bước 6: Cấu hình Email và bắt đầu

Biên tập C:\Bitwarden\bwdata\env\global.override.env bằng cài đặt SMTP của bạn, sau đó khởi động lại Bitwarden:

.\bitwarden.ps1 -restart

Truy cập kho tiền Bitwarden tại miền đã định cấu hình của bạn để tạo tài khoản chính.

Cách nhanh nhất để xác minh và làm cứng là gì?

Sau khi bạn tự lưu trữ trình quản lý mật khẩu Bitwarden, hãy xác minh phiên bản của bạn hoạt động trước khi thêm người dùng hoặc nhập mật khẩu.

Các bước xác minh

Kiểm tra chứng chỉ SSL: Mở miền Bitwarden của bạn trong trình duyệt web (https://vault.yourdomain.com). Bạn sẽ thấy màn hình đăng nhập kho tiền web Bitwarden, biểu tượng ổ khóa trên thanh địa chỉ và không có cảnh báo “Không an toàn”.

Nếu bạn thấy cảnh báo chứng chỉ, hãy xem lại phần thiết lập SSL.

Tạo tài khoản quản trị: Nhấp vào “Tạo tài khoản” trên màn hình đăng nhập. Sử dụng mật khẩu chính mạnh có ít nhất 12 ký tự bao gồm chữ hoa, chữ thường, số và ký hiệu. Hãy ghi lại mật khẩu này và lưu trữ an toàn ngoại tuyến.

Bitwarden không thể khôi phục mật khẩu chính bị mất.

Kiểm tra ứng dụng khách hàng: Cài đặt tiện ích mở rộng trình duyệt hoặc ứng dụng di động Bitwarden. Trước khi đăng nhập, hãy nhấn vào biểu tượng cài đặt/bánh răng, thay đổi “URL máy chủ” thành miền tự lưu trữ của bạn, lưu và quay lại đăng nhập.

Nhập thông tin đăng nhập của bạn và xác minh rằng bạn có thể thêm mục nhập mật khẩu mới, xem nó đồng bộ hóa với kho lưu trữ web và truy xuất nó từ tiện ích mở rộng của trình duyệt.

Tình trạng vùng chứa Docker: Xác minh tất cả các container đang chạy.

Linux:

cd /opt/bitwarden

docker ps

Windows:

cd C:\Bitwarden

docker ps

Sản lượng dự kiến: 5-7 container được liệt kê, tất cả đều hiển thị “Up” ở cột STATUS. Tên vùng chứa bao gồm: bitwarden-web, bitwarden-api, bitwarden-identity, bitwarden-attachments, bitwarden-icons, bitwarden-mssql, bitwarden-nginx.

Nếu bất kỳ vùng chứa nào hiển thị “Đã thoát” hoặc bị thiếu, hãy kiểm tra nhật ký: docker soạn nhật ký [tên vùng chứa]

Danh sách kiểm tra tăng cường bảo mật

Kích hoạt xác thực hai yếu tố: Định cấu hình 2FA cho tài khoản quản trị viên của bạn ngay lập tức. Bitwarden hỗ trợ các ứng dụng xác thực, email và khóa phần cứng để xác minh yếu tố thứ hai.

Cấu hình quy tắc tường lửa: Hạn chế SSH (cổng 22 trên Linux) hoặc RDP (cổng 3389 trên Windows) đối với các địa chỉ IP đã biết. Hãy cân nhắc việc sử dụng Fail2ban trên Linux để chặn các nỗ lực tấn công bạo lực.

Thiết lập sao lưu thường xuyên: Hỗ trợ /opt/bitwarden/bwdata (Linux) hoặc C:\Bitwarden\bwdata (Windows) theo lịch trình. Thư mục này chứa cơ sở dữ liệu và cài đặt của bạn. Lưu trữ các bản sao lưu ngoài máy chủ để khắc phục thảm họa thực sự.

Cập nhật gia hạn chứng chỉ: Nếu sử dụng Let's Encrypt, hãy xác minh việc gia hạn đã được thiết lập. Kiểm tra gia hạn bằng lệnh: ./bitwarden.sh đổi mới chứng chỉ trên Linux.

Vô hiệu hóa đăng ký người dùng: Sau khi tạo các tài khoản cần thiết, hãy tắt đăng ký người dùng mới để ngăn chặn việc đăng ký trái phép. Biên tập global.override.env và thêm: GlobalSettings__disableUserRegistration=true sau đó khởi động lại Bitwarden.

Định cấu hình quyền truy cập cổng thông tin quản trị: Cho phép các địa chỉ email cụ thể truy cập Cổng thông tin quản trị hệ thống. Thêm vào quản trị viê[email protected] vào tập tin cài đặt của bạn.

Xem lại nhật ký truy cập: Màn hình /opt/bitwarden/bwdata/logs (Linux) hoặc C:\Bitwarden\bwdata\log (Windows) hàng tuần để phát hiện các mẫu hoạt động đáng ngờ.

Làm thế nào để bạn duy trì và nâng cấp Bitwarden một cách an toàn?

Việc bảo trì liên tục giúp phiên bản của bạn được an toàn và hoạt động tốt. Thực hành bảo trì thích hợp giúp bạn tự lưu trữ trình quản lý mật khẩu Bitwarden một cách đáng tin cậy trong nhiều năm.

Quy trình cập nhật

Bitwarden phát hành bản cập nhật với các bản vá bảo mật và tính năng mới. Cập nhật phiên bản của bạn hàng tháng hoặc khi các bản cập nhật bảo mật được công bố thông qua các kênh chính thức.

Quá trình cập nhật Linux:

cd /opt/bitwarden

./bitwarden.sh updateself

./bitwarden.sh update

./bitwarden.sh start

các tự cập nhật lệnh tự cập nhật tập lệnh cài đặt, trong khi cập nhật kéo hình ảnh Docker mới.

Quá trình cập nhật Windows:

cd C:\Bitwarden

.\bitwarden.ps1 -updateself

.\bitwarden.ps1 -update

.\bitwarden.ps1 -start

Chiến lược dự phòng

Của bạn dữ liệu thư mục chứa mọi thứ: cơ sở dữ liệu, tệp cài đặt, chứng chỉ SSL và nhật ký. Sao lưu tự động là bước an toàn bắt buộc khi bạn tự lưu trữ trình quản lý mật khẩu Bitwarden.

Những gì cần sao lưu:

Cơ sở dữ liệu: Linux sử dụng bwdata/mssql/dữ liệu (Máy chủ SQL), Windows sử dụng bwdata/mssql/dữ liệu.

Cấu hình: các bwdata/env thư mục chứa các biến môi trường, cài đặt SMTP và chi tiết thiết lập tên miền.

Chứng chỉ SSL: Nằm ở bwdata/ssl nếu sử dụng chứng chỉ tùy chỉnh thay vì Let's Encrypt.

Tập lệnh sao lưu tự động (Linux):

#!/bin/bash

# Save as /home/bitwarden/backup-bitwarden.sh

BACKUP_DIR="/home/bitwarden/backups"

DATE=$(date +%Y%m%d-%H%M%S)

# Create backup directory if it doesn't exist

mkdir -p $BACKUP_DIR

# Create compressed backup

cd /opt/bitwarden

tar -czf $BACKUP_DIR/bitwarden-backup-$DATE.tar.gz bwdata/

# Keep only last 30 days of backups

find $BACKUP_DIR -name "bitwarden-backup-*.tar.gz" -mtime +30 -delete

# Optional: Copy to remote storage

# rsync -az $BACKUP_DIR/ user@remoteserver:/backups/bitwarden/

Làm cho tập lệnh có thể thực thi được và thêm vào crontab:

chmod +x /home/bitwarden/backup-bitwarden.sh

# Run daily at 2 AM

crontab -e

# Add this line:

0 2 * * * /home/bitwarden/backup-bitwarden.sh

Sao lưu Windows (PowerShell):

# Run as scheduled task

$Date = Get-Date -Format "yyyyMMdd-HHmmss"

$BackupPath = "C:\Backups\Bitwarden"

New-Item -ItemType Directory -Force -Path $BackupPath

Compress-Archive -Path "C:\Bitwarden\bwdata" -DestinationPath "$BackupPath\bitwarden-backup-$Date.zip"

# Clean old backups (older than 30 days)

Get-ChildItem -Path $BackupPath -Filter "*.zip" | 

  Where-Object {$_.LastWriteTime -lt (Get-Date).AddDays(-30)} | 

  Remove-Item

Lưu trữ các bản sao lưu bên ngoài máy chủ bằng rsync, lưu trữ đám mây được mã hóa hoặc VPS sao lưu riêng. Sao lưu trên máy chủ không bảo vệ khỏi lỗi phần cứng. Vì chuyển tập tin an toàn của các bản sao lưu đến các vị trí ở xa, hãy xem xét các giao thức được mã hóa như SFTP hoặc FTPS.

Giám sát

Thiết lập giám sát cơ bản để phát hiện sự cố trước khi chúng ảnh hưởng đến người dùng:

Tình trạng vùng chứa: Kiểm tra xem tất cả các vùng chứa Docker vẫn chạy suốt cả ngày.

Dung lượng ổ đĩa: Giám sát bộ nhớ có sẵn trong thư mục bwdata để ngăn ngừa hỏng cơ sở dữ liệu từ các đĩa đầy.

Chứng chỉ SSL hết hạn: Xác minh chứng chỉ được gia hạn đúng lịch và chưa hết hạn đột ngột.

Đánh giá nhật ký: Kiểm tra nhật ký lỗi hàng tuần để phát hiện hoạt động bất thường hoặc lỗi xác thực.

Kiểm tra phục hồi

Kiểm tra quy trình khôi phục bản sao lưu của bạn hàng quý để bạn có thể khôi phục sau khi mất dữ liệu:

1. Dừng Bitwarden
2. Đổi tên thư mục bwdata hiện tại
3. Khôi phục từ bản sao lưu
4. Khởi động Bitwarden và xác minh chức năng
5. Nếu thành công, xóa thư mục cũ

Linux và Windows: Bạn nên chọn cái nào?

Cả hai nền tảng đều cho phép bạn tự lưu trữ trình quản lý mật khẩu Bitwarden thành công. Mỗi cái đều có những ưu điểm và sự đánh đổi riêng biệt đáng để xem xét.

Ưu điểm của Linux

Hiệu quả tài nguyên: Linux cần RAM tối thiểu khoảng 2GB so với mức tối thiểu 4GB của Windows. Điều này có nghĩa là chi phí lưu trữ hàng tháng sẽ thấp hơn.

Chi phí vận hành thấp hơn: Linux dành nhiều tài nguyên hơn để chạy Bitwarden hơn là bản thân hệ điều hành.

Cập nhật đơn giản hơn: Trình quản lý gói hợp lý hóa các bản cập nhật hệ thống. Tích hợp Docker là nguyên bản và đơn giản mà không cần thêm lớp.

Hỗ trợ cộng đồng: Cộng đồng tự lưu trữ chủ yếu sử dụng Linux. Bạn sẽ tìm thấy nhiều hướng dẫn cộng đồng và tài nguyên khắc phục sự cố có sẵn trực tuyến.

Trị giá: Hầu hết các bản phân phối Linux đều miễn phí, loại bỏ chi phí cấp phép hệ điều hành.

Ưu điểm của máy chủ Windows

Sự quen thuộc: Quản trị viên hệ thống có kinh nghiệm với Windows Server có thể tận dụng kiến ​​thức hiện có ngay lập tức.

Tích hợp: Tích hợp tốt hơn với cơ sở hạ tầng dựa trên Windows hiện có và môi trường Active Directory.

Công cụ quản lý: Các công cụ Quản lý Máy chủ Windows có thể được ưu tiên hơn trong môi trường tổ chức nặng về Windows.

Ủng hộ: Các tùy chọn hỗ trợ thương mại từ Microsoft để khắc phục sự cố và hỗ trợ.

So sánh hiệu suất

Sự giới thiệu

Chọn Linux trừ khi bạn có yêu cầu cụ thể về Windows Server. Ubuntu 24.04 LTS mang đến sự cân bằng tốt nhất về tính ổn định, hiệu quả sử dụng tài nguyên và hỗ trợ cộng đồng. Thời gian hỗ trợ 5 năm phù hợp với vòng đời triển khai VPS thông thường.

Khắc phục sự cố (Câu trả lời nhanh)

Bitwarden sẽ không bắt đầu: Nếu vùng chứa bị lỗi hoặc không thể truy cập vào vault, trước tiên hãy kiểm tra trạng thái dịch vụ Docker. Trên Linux, chạy docker trạng thái sudo systemctl. Trên Windows, hãy xác minh Docker Desktop đang hoạt động. Kiểm tra nhật ký lỗi với docker soạn nhật ký để phát hiện xung đột cổng hoặc các vấn đề về quyền truy cập tệp ngăn cản quá trình khởi động.

Tên miền không thể truy cập được: Nếu bạn thấy lỗi hết thời gian kết nối, hãy xác minh bản ghi DNS A của bạn trỏ đến IP VPS. Đảm bảo tường lửa của bạn cho phép cổng 80 và 443. Chạy docker ps để xác nhận tất cả các container đều hiển thị “Up”. Nếu có bất kỳ "Đã thoát", hãy kiểm tra nhật ký của vùng chứa cụ thể đó.

Lỗi email: Nếu người dùng không nhận được lời mời, hãy xác minh cài đặt SMTP trong bwdata/env/global.override.env. Hầu hết các nhà cung cấp đều cần cổng 587 với StartTLS. Kiểm tra SMTP một cách độc lập để loại trừ các vấn đề về thông tin xác thực hoặc kiểm tra identity.txt nhật ký về lỗi từ chối phía máy chủ.

Lỗi chứng chỉ SSL: Cảnh báo của trình duyệt thường có nghĩa là quá trình xác thực Let's Encrypt không thành công. Xác nhận cổng 80 được mở cho internet công cộng. Để khắc phục các chứng chỉ đã hết hạn, hãy buộc gia hạn bằng ./bitwarden.sh đổi mới chứng chỉ (Linux) hoặc .\bitwarden.ps1 -renewcert (Cửa sổ).

Sử dụng bộ nhớ cao: Nếu VPS chậm lại, hãy sử dụng số liệu thống kê docker để xác định các container nặng tài nguyên. Khởi động lại Bitwarden có thể tạm thời xóa rò rỉ bộ nhớ. Tuy nhiên, các sự cố dai dẳng thường yêu cầu nâng cấp lên gói có RAM 4GB trở lên.

Cập nhật cài đặt ngắt: Luôn sao lưu dữ liệu thư mục trước khi cập nhật. Nếu cập nhật không thành công, hãy khôi phục thư mục này và trở lại phiên bản trước. Kiểm tra ghi chú phát hành chính thức để biết các thay đổi có thể xảy ra trước khi thử cập nhật lại.

Kiểm tra ghi chú phát hành tại https://github.com/bitwarden/server/releases để phá vỡ các thay đổi trước khi cập nhật.

Giải pháp thay thế: Vaultwarden cho việc triển khai nhẹ

Đối với những người dùng đang tìm kiếm tùy chọn tiết kiệm tài nguyên hơn, Vaultwarden cung cấp một giải pháp thay thế hấp dẫn. Vaultwarden là máy chủ tương thích Bitwarden không chính thức được viết bằng Rust và sử dụng ít tài nguyên hơn.

Ưu điểm của Vaultwarden

Yêu cầu nguồn lực tối thiểu: Vaultwarden chạy mượt mà chỉ với RAM 512MB. Điều này làm cho nó phù hợp với các thiết bị có công suất thấp như Raspberry Pi.

Tương thích với khách hàng Bitwarden: Bạn sử dụng cùng các ứng dụng, tiện ích mở rộng và ứng dụng khách di động chính thức của Bitwarden. Thay vào đó, chỉ cần trỏ chúng tới URL máy chủ Vaultwarden của bạn.

Các tính năng cao cấp đi kèm: Vaultwarden cung cấp các tính năng cao cấp như tạo TOTP và tệp đính kèm mà không cần giấy phép Bitwarden trả phí.

Triển khai nhanh hơn: Quá trình cài đặt thường hoàn tất sau chưa đầy 10 phút trên hệ thống Linux mà không cần các bước thiết lập phức tạp.

Khi nào nên chọn Vaultwarden

Vaultwarden hoạt động tốt nhất cho:

• Sử dụng cá nhân hoặc nhóm nhỏ (dưới 10 người dùng)
• Các gói VPS bị hạn chế về tài nguyên với RAM hạn chế
• Người dùng hài lòng với phần mềm được cộng đồng hỗ trợ
• Môi trường ưu tiên hiệu quả sử dụng tài nguyên hơn là hỗ trợ thương mại

Khi nào nên chọn Bitwarden chính thức

Hãy gắn bó với Bitwarden chính thức để:

• Doanh nghiệp triển khai cần hợp đồng hỗ trợ thương mại
• Các tổ chức yêu cầu kiểm tra và chứng nhận an ninh chính thức
• Triển khai vượt quá 50 người dùng với mức độ sử dụng đồng thời cao
• Môi trường cần đảm bảo hỗ trợ tích hợp của bên thứ ba

Cả hai tùy chọn đều cung cấp khả năng quản lý mật khẩu mạnh mẽ. Sự lựa chọn phụ thuộc vào những hạn chế về nguồn lực cụ thể, yêu cầu hỗ trợ và nhu cầu về quy mô của bạn.

Phần kết luận

Bitwarden tự lưu trữ cung cấp bảo mật cấp doanh nghiệp và chủ quyền dữ liệu trong vòng chưa đầy một giờ. Với vi phạm năm 2025 chi phí trung bình 4,44 triệu USD, việc kiểm soát thông tin xác thực của bạn sẽ giảm rủi ro trong khi vẫn giữ được sự tiện lợi của trình quản lý mật khẩu hiện đại.

Để bảo mật phiên bản của bạn, hãy bật xác thực hai yếu tố ngay lập tức và định cấu hình sao lưu tự động ngoài máy chủ. Hãy nhớ rằng mật khẩu chính của bạn không thể khôi phục được theo thiết kế, vì vậy hãy lưu trữ mật khẩu đó ngoại tuyến thay vì kỹ thuật số.

Cuối cùng, đảm bảo khả năng phục hồi lâu dài bằng cách đăng ký cập nhật bảo mật và kiểm tra quá trình khôi phục bản sao lưu của bạn hàng quý. Những thói quen bảo trì đơn giản này giúp kho tiền của bạn có thể truy cập được và được bảo vệ khỏi mất dữ liệu.

Câu hỏi thường gặp