自托管 Bitwarden 密码管理器：完整指南

密码仍然是黑客和您的帐户之间的主要障碍，但 81% 的数据泄露 源于凭证薄弱或被盗。只有三分之一的美国人使用密码管理器，使数百万人面临凭证盗窃和帐户接管的风险。真正的问题是您是否可以信任其他人来保管您的保管库。

本指南向您展示如何在您自己的 VPS 上自行托管 Bitwarden 密码管理器以实现完全控制。您将学习 Windows Server 2025 和 Ubuntu 24.04 LTS 的分步安装，以及确保只有您可以访问您的保管库的安全强化。

您将构建什么（以及为何选择 VPS）？

当您自行托管 Bitwarden 密码管理器时，您可以在自己的服务器上创建私有密码管理基础设施。此设置使您可以完全控制凭据的存储位置、备份方式以及谁可以访问它们。

为什么选择 Bitwarden VPS？

虚拟专用服务器为密码管理提供了控制、性能和成本效益的理想平衡。

完整的数据主权

您的密码库永远不会离开您控制的基础设施。与云托管服务不同，您的加密数据驻留在您选择的服务器上的指定位置。

始终在线的辅助功能

VPS 持续运行，使您的密码库可以随时随地使用。您不需要让个人计算机全天候运行。

专用资源

VPS 计划提供有保证的 CPU、RAM 和存储资源，这些资源不会与其他用户的工作负载共享。无论其他客户在做什么，性能都保持一致。

可扩展性

随着您的密码管理需求从个人使用扩展到团队或企业部署，VPS 计划可以进行扩展以匹配。从小规模开始，根据需要进行升级。

性价比高

VPS 托管成本远低于维护专用物理硬件。您无需前期投资即可获得类似的隔离和控制优势。

专业安全

信誉良好的 VPS 提供商提供 DDoS 保护、定期备份和企业级网络安全。独立实施这些将是昂贵且耗时的。

自托管有哪些要求？

您需要了解硬件规格才能自行托管 Bitwarden 密码管理器。这可以帮助您选择正确的 VPS 计划并防止以后出现性能问题。

Windows Server 的硬件要求

为了在 Windows Server 2025 上成功部署，您需要这些最低规格。

处理器： x64，最低 1.4GHz CPU；推荐 x64、2GHz 双核

内存： 6GB minimum; 8GB or more recommended for production use.

贮存： 76GB minimum; 90GB recommended for production deployments.

码头工人： Docker Desktop，带有 Engine 26.0+（推荐 27.x）和 Compose； Hyper-V 支持（不是 WSL2）

Windows Server 2025 需要嵌套虚拟化支持。 Azure 用户应使用标准 D2s v3 虚拟机，并将安全类型设置为标准，而不是可信启动。

Linux 的硬件要求

Linux 发行版需要更少的资源。要在 Ubuntu 24.04 LTS、Debian 12 或 Rocky Linux 9 上自行托管 Bitwarden 密码管理器，您需要满足以下条件。

处理器： x64，最低 1.4GHz CPU；推荐 x64、2GHz 双核

内存： 2GB minimum; 4GB or more recommended for multiple users

贮存： 12GB minimum; 25GB recommended for production

码头工人： Docker Engine 26.0+（推荐27.x）和Docker Compose

Linux 是更高效的选择。它使用 Windows Server 部署的大约三分之一的 RAM，同时提供相同的功能。

性能比较：

公制	Linux（Ubuntu 24.04）	Windows Server 2025
最低内存	2GB	6GB
最小存储空间	12GB	76GB
Docker 开销	降低	更高 (Hyper-V)
更新复杂性	简单的	缓和
社区资源	广泛的	缓和
初始设置时间	15-30分钟	30-60分钟

选择您的 VPS 提供商

要自行托管 Bitwarden，您需要具有完全 root 访问权限、Docker 支持和稳定的公共 IP 地址的 VPS。您还需要高网络吞吐量和正常运行时间可靠性，以便您的密码库能够在所有设备上即时同步。

在 Cloudzy，我们提供此工作负载所需的高性能基础设施。我们的 Docker VPS 托管 计划在具有 NVMe 存储的 AMD Ryzen 9 处理器（高达 5.7 GHz）上运行。这提供了加密数据库操作所需的单线程速度。

我们通过高达 40 Gbps 的网络连接和 99.95% 的正常运行时间 SLA 来支持这一点，因此您的保管库始终可以访问。此外，我们在全球 12 个城市设有办事处，让您可以将数据托管在您想要的地方。

推荐配置：

• 个人使用（10 名以下用户）： 2 个 CPU 核心、4GB RAM、25GB NVMe 存储。
• 对于团队（10-50 位用户）： 4 个 CPU 核心、8GB RAM、50GB NVMe 存储。

安装前需要准备什么？

在开始安装之前，请收集这些物品以简化安装过程。

1. 域名和DNS记录

使用指向您的 VPS IP 地址的 DNS A 记录配置域名（例如Vault.yourdomain.com）。 Bitwarden 与域名配合使用效果最佳。仅使用 IP 地址会限制您的 SSL 选项，并使证书管理变得困难。

2. Bitwarden安装ID和密钥

参观 Bitwarden 托管门户 并提供有效的电子邮件地址。您将通过电子邮件收到安装 ID 和安装密钥。安全地保存这两个值，因为您在设置过程中将需要它们。

3.VPS访问凭证

确认您已准备好以下内容：

• Linux 服务器的 SSH 访问凭据
• Windows 服务器的远程桌面 (RDP) 访问
• 管理员或根级权限

4. SSL证书计划

决定如何处理 SSL/TLS 加密：

• Let's Encrypt 在安装过程中自动生成证书
• 从证书颁发机构预先获取 SSL 证书
• 仅用于测试环境的自签名证书

5. SMTP 服务器详细信息

对于用户邀请和电子邮件验证，您需要 SMTP 服务器凭据：

• SMTP 主机名和端口
• 验证用户名和密码
• 发件人电子邮件地址

如果没有 SMTP 设置，您将无法邀请用户或验证电子邮件地址。但是，系统仍将对初始管理员帐户起作用。

如何在 Linux (Ubuntu/Debian/Rocky) 上安装？

本指南使用 Ubuntu 24.04 LTS。这些步骤在 Debian 12 和 Rocky Linux 9 上的工作方式相同，但需要进行适当的包管理器调整。遵循这些步骤将帮助您在任何这些 Linux 发行版上自行托管 Bitwarden 密码管理器。

第 1 步：初始服务器配置

通过 SSH 连接到您的 Linux VPS 并更新系统：

sudo apt update && sudo apt upgrade -y

验证端口 80 (HTTP) 和 443 (HTTPS) 是否在防火墙中打开。对于 Ubuntu 上的 UFW：

sudo ufw allow 80/tcp

sudo ufw allow 443/tcp

sudo ufw reload

第2步：安装Docker引擎

Bitwarden 在 Docker 容器内运行。 Docker 引擎构成了安装的基础。安装 Docker Engine 26.0+ 和 Docker Compose V2 插件：

sudo apt install docker.io docker-compose-plugin -y

sudo systemctl enable --now docker

sudo systemctl status docker

这 立即启用 命令立即启动 Docker 并确保它在服务器重新启动后启动。

验证安装是否成功：

docker --version

docker compose version
Both commands should return version numbers. Docker Engine should be 26.0 or higher, Docker Compose should be 2.0 or higher.

第3步：创建Bitwarden用户和目录

以专用非 root 用户身份运行 Bitwarden 遵循安全最佳实践。如果应用程序受到损害，这可以限制潜在的损害。创建此专用用户帐户：

sudo adduser bitwarden

出现提示时设置强密码。如果您需要直接以 Bitwarden 用户身份登录，此密码可保护 SSH 访问。

如果不存在则创建一个 Docker 组（大多数系统已经有这个）：

sudo groupadd docker

将 Bitwarden 用户添加到 Docker 组。这授予在没有 sudo 的情况下运行 Docker 命令的权限：

sudo usermod -aG docker bitwarden

创建具有受限权限的 Bitwarden 安装目录：

sudo mkdir /opt/bitwarden

sudo chmod -R 700 /opt/bitwarden

sudo chown -R bitwarden:bitwarden /opt/bitwarden

这 700 权限意味着只有 Bitwarden 用户可以读取、写入或执行该目录中的文件。这可以保护您的密码数据库免受其他系统用户的侵害。

切换到 Bitwarden 用户以执行所有剩余的安装步骤：

sudo su - bitwarden

cd /opt/bitwarden

第 4 步：下载并运行安装脚本

下载 Bitwarden 安装脚本：

curl -Lso bitwarden.sh "https://func.bitwarden.com/api/dl/?app=self-host&platform=linux" && chmod 700 bitwarden.sh

开始安装：

./bitwarden.sh install

步骤 5：配置安装提示

安装程序将提示输入几个值：

域名： 输入您配置的 DNS 记录 (vault.yourdomain.com)

SSL 证书： 类型 Y 如果您希望 Let’s Encrypt 生成证书，或者 N 如果你已经有一个

安装ID： 输入 https://bitwarden.com/host/ 中的 ID

安装密钥： 输入 https://bitwarden.com/host/ 中的密钥

根据您的 SSL 证书选择，按照其余提示进行操作。安装过程将下载Docker镜像并配置环境。

步骤 6：配置电子邮件设置

编辑环境文件：

nano ./bwdata/env/global.override.env

设置您的 SMTP 凭据：

globalSettings__mail__smtp__host=smtp.yourprovider.com

globalSettings__mail__smtp__port=587

globalSettings__mail__smtp__ssl=false

globalSettings__mail__smtp__startTls=true

[email protected]

globalSettings__mail__smtp__password=yourpassword

保存文件（Ctrl+X，然后 Y，然后 Enter）。

第7步：启动Bitwarden

启动您的 Bitwarden 实例：

./bitwarden.sh start

第一个启动从 GitHub 容器注册表下载所有 Docker 镜像。这可能需要几分钟的时间。验证所有容器正在运行：

docker ps

您应该看到多个 Bitwarden 容器列为“Up”。

在 Web 浏览器中访问您配置的域 (https://vault.yourdomain.com)。您应该会看到 Bitwarden Web Vault 登录页面。创建您的主帐户以开始使用密码管理器。

如何在 Windows Server (PowerShell) 上安装？

本节介绍使用 PowerShell 在 Windows Server 2025 上进行安装。该过程镜像 Linux 安装，但使用特定于 Windows 的命令在 Windows VPS 上自行托管 Bitwarden 密码管理器。

第 1 步：初始 Windows 配置

使用远程桌面协议 (RDP) 连接到您的 Windows VPS。 RDP 提供 Docker 桌面设置所需的完整 GUI 体验。

确认 Windows 防火墙允许端口 80 和 443 上的流量。以管理员身份打开 PowerShell 并运行：

New-NetFirewallRule -DisplayName "Allow HTTP" -Direction Inbound -Protocol TCP -LocalPort 80 -Action Allow

New-NetFirewallRule -DisplayName "Allow HTTPS" -Direction Inbound -Protocol TCP -LocalPort 443 -Action Allow

第2步：安装Docker桌面

Docker Desktop 并未正式支持 Windows Server。您可能会面临稳定性问题。我们推荐使用 Linux 以获得更流畅的体验。

下载并安装适用于 Windows 的 Docker Desktop https://www.docker.com/products/docker-desktop/。安装过程中，取消选中“使用 WSL2 而不是 Hyper-V”。 Bitwarden 需要 Hyper-V 模式才能运行。

安装后，打开 Docker Desktop 并转到“设置”→“资源”。将 RAM 分配设置为至少 4GB。这将 RAM 从 Windows 提供给 Docker。

第3步：创建Bitwarden用户和目录

使用管理员权限打开 PowerShell 并创建 Bitwarden 用户：

$Password = Read-Host -AsSecureString

出现提示时输入安全密码。然后创建用户帐户：

New-LocalUser "Bitwarden" -Password $Password -Description "Bitwarden Local Admin"

将 Bitwarden 用户添加到 docker-users 组：

Add-LocalGroupMember -Group "docker-users" -Member "Bitwarden"

创建 Bitwarden 安装目录：

mkdir C:\Bitwarden

在 Docker Desktop 中，导航到设置 → 资源 → 文件共享。添加 C:\比特沃登 到资源列表。单击“应用并重新启动”。

第4步：下载Bitwarden安装脚本

导航到 Bitwarden 目录：

cd C:\Bitwarden

下载安装脚本：

Invoke-RestMethod -OutFile bitwarden.ps1 -Uri "https://func.bitwarden.com/api/dl/?app=self-host&platform=windows"

运行安装程序：

.\bitwarden.ps1 -install

步骤 5：配置安装提示

安装程序提示镜像Linux安装：

域名： 输入您的 DNS 配置的域名

SSL 证书： 进入 Y 对于 Let’s Encrypt 证书或 N 如果提供您自己的

安装ID： 来自 https://bitwarden.com/host/

安装密钥： 来自 https://bitwarden.com/host/

根据您的 SSL 设置选择完成其余提示。

第 6 步：配置电子邮件并启动

编辑 C:\Bitwarden\bwdata\env\global.override.env 修改您的 SMTP 设置，然后重新启动 Bitwarden：

.\bitwarden.ps1 -restart

访问您配置的域中的 Bitwarden 金库以创建您的主帐户。

验证和强化的最快方法是什么？

自托管 Bitwarden 密码管理器后，请在添加用户或导入密码之前验证您的实例是否正常运行。

验证步骤

SSL 证书检查： 在网络浏览器中打开您的 Bitwarden 域 (https://vault.yourdomain.com)。您应该会看到 Bitwarden Web Vault 登录屏幕、地址栏中有一个挂锁图标，并且没有“不安全”警告。

如果您看到证书警告，请查看 SSL 设置部分。

管理员帐户创建： 单击登录屏幕上的“创建帐户”。使用至少 12 个混合大写、小写、数字和符号的强主密码。记下此密码并安全地离线存储。

Bitwarden 无法恢复丢失的主密码。

客户端应用测试： 安装 Bitwarden 浏览器扩展或移动应用程序。登录之前，点击设置/齿轮图标，将“服务器 URL”更改为您的自托管域，保存并返回登录。

输入您的凭据并验证您可以添加新密码条目，查看它同步到网络保管库，并从浏览器扩展中检索它。

Docker 容器健康状况： 验证所有容器正在运行。

Linux：

cd /opt/bitwarden

docker ps

视窗：

cd C:\Bitwarden

docker ps

预期输出：列出 5-7 个容器，全部在 STATUS 列中显示“Up”。容器名称包括：bitwarden-web、bitwarden-api、bitwarden-identity、bitwarden-attachments、bitwarden-icons、bitwarden-mssql、bitwarden-nginx。

如果任何容器显示“已退出”或丢失，请检查日志： docker compose 日志 [容器名称]

安全强化清单

启用双因素身份验证： 立即为您的管理员帐户配置 2FA。 Bitwarden 支持身份验证器应用程序、电子邮件和硬件密钥进行第二因素验证。

配置防火墙规则： 将 SSH（Linux 上的端口 22）或 RDP（Windows 上的端口 3389）限制为已知 IP 地址。考虑在 Linux 上使用fail2ban 来阻止暴力尝试。

设置定期备份： 备份 /opt/bitwarden/bwdata （Linux）或 C:\Bitwarden\bwdata （Windows）按计划进行。该目录包含您的数据库和设置。将备份存储在服务器外以实现真正的灾难恢复。

更新证书续订： 如果使用 Let’s Encrypt，请验证是否已设置续订。使用以下命令测试更新： ./bitwarden.sh 更新证书 在 Linux 上。

禁用用户注册： 创建所需帐户后，禁用新用户注册以防止未经授权的注册。编辑 global.override.env 并添加： globalSettings__disableUserRegistration=true 然后重新启动 Bitwarden。

配置管理门户访问： 授权特定电子邮件地址访问系统管理员门户。添加 [email protected] 到您的设置文件。

查看访问日志： 监视器 /opt/bitwarden/bwdata/日志 （Linux）或 C:\Bitwarden\bwdata\logs (Windows) 每周检查可疑活动模式。

如何安全维护和升级Bitwarden？

持续维护可确保您的实例安全且性能良好。正确的维护实践可帮助您多年来可靠地自行托管 Bitwarden 密码管理器。

更新程序

Bitwarden 发布了包含安全补丁和新功能的更新。每月或在通过官方渠道宣布安全更新时更新您的实例。

Linux更新流程：

cd /opt/bitwarden

./bitwarden.sh updateself

./bitwarden.sh update

./bitwarden.sh start

这 更新自我 命令更新安装脚本本身，同时 更新 拉取新的 Docker 镜像。

Windows 更新过程：

cd C:\Bitwarden

.\bitwarden.ps1 -updateself

.\bitwarden.ps1 -update

.\bitwarden.ps1 -start

备份策略

你的 数据数据 目录包含所有内容：数据库、设置文件、SSL 证书和日志。当您自行托管 Bitwarden 密码管理器时，自动备份是强制性的安全步骤。

要备份的内容：

数据库： Linux用途 bwdata/mssql/数据 (SQL Server)、Windows 使用 bwdata/mssql/数据.

配置： 这 bwdata/env 目录包含环境变量、SMTP 设置和域设置详细信息。

SSL 证书： 位于 bw数据/ssl 如果使用自定义证书而不是 Let’s Encrypt。

自动备份脚本（Linux）：

#!/bin/bash

# Save as /home/bitwarden/backup-bitwarden.sh

BACKUP_DIR="/home/bitwarden/backups"

DATE=$(date +%Y%m%d-%H%M%S)

# Create backup directory if it doesn't exist

mkdir -p $BACKUP_DIR

# Create compressed backup

cd /opt/bitwarden

tar -czf $BACKUP_DIR/bitwarden-backup-$DATE.tar.gz bwdata/

# Keep only last 30 days of backups

find $BACKUP_DIR -name "bitwarden-backup-*.tar.gz" -mtime +30 -delete

# Optional: Copy to remote storage

# rsync -az $BACKUP_DIR/ user@remoteserver:/backups/bitwarden/

使脚本可执行并添加到 crontab：

chmod +x /home/bitwarden/backup-bitwarden.sh

# Run daily at 2 AM

crontab -e

# Add this line:

0 2 * * * /home/bitwarden/backup-bitwarden.sh

Windows 备份（PowerShell）：

# Run as scheduled task

$Date = Get-Date -Format "yyyyMMdd-HHmmss"

$BackupPath = "C:\Backups\Bitwarden"

New-Item -ItemType Directory -Force -Path $BackupPath

Compress-Archive -Path "C:\Bitwarden\bwdata" -DestinationPath "$BackupPath\bitwarden-backup-$Date.zip"

# Clean old backups (older than 30 days)

Get-ChildItem -Path $BackupPath -Filter "*.zip" | 

  Where-Object {$_.LastWriteTime -lt (Get-Date).AddDays(-30)} | 

  Remove-Item

使用 rsync、加密云存储或单独的备份 VPS 将备份存储在服务器外。服务器上的备份不能防止硬件故障。为了 安全文件传输 如果要备份到远程位置，请考虑使用 SFTP 或 FTPS 等加密协议。

监控

设置基本监控以在问题影响用户之前发现问题：

集装箱状态： 检查所有 Docker 容器是否全天保持运行。

磁盘空间： 监视 bwdata 目录中的可用存储，以防止磁盘已满而导致数据库损坏。

SSL 证书到期： 验证证书按计划更新并且没有意外过期。

日志审核： 每周检查错误日志是否有异常活动或身份验证失败。

恢复测试

每季度测试您的备份恢复过程，以便您可以从数据丢失中恢复：

1. 停止比特沃登
2. 重命名当前bwdata目录
3. 从备份恢复
4. 启动 Bitwarden 并验证功能
5. 如果成功，删除旧目录

Linux 与 Windows：您应该选择哪一个？

这两个平台都成功地允许您自行托管 Bitwarden 密码管理器。每个都有独特的优势和值得考虑的权衡。

Linux的优势

资源效率： Linux 至少需要大约 2GB RAM，而 Windows 至少需要 4GB。这意味着每月的托管成本更低。

降低运营费用： Linux 将更多资源用于运行 Bitwarden，而不是操作系统本身。

更简单的更新： 包管理器简化了系统更新。 Docker 集成是原生且简单的，无需额外的层。

社区支持： 自托管社区主要使用 Linux。您可以在线找到更多社区指南和故障排除资源。

成本： 大多数 Linux 发行版都是免费的，从而消除了操作系统许可成本。

Windows服务器的优势

熟悉程度： 具有 Windows Server 经验的系统管理员可以立即利用现有知识。

一体化： 与现有的基于 Windows 的基础架构和 Active Directory 环境更好地集成。

管理工具： 在 Windows 密集型组织环境中，Windows Server 管理工具可能是首选。

支持： Microsoft 提供的商业支持选项可提供故障排除和帮助。

性能比较

公制	Linux（Ubuntu 24.04）	Windows Server 2025
最低内存	2GB	6GB
最小存储空间	12GB	76GB
Docker 开销	降低	更高 (Hyper-V)
更新复杂性	简单的	缓和
社区资源	广泛的	缓和
初始设置时间	15-30分钟	30-60分钟

推荐

除非您有特定的 Windows Server 要求，否则请选择 Linux。 Ubuntu 24.04 LTS 提供了稳定性、资源效率和社区支持的最佳平衡。五年支持期与典型的 VPS 部署生命周期非常吻合。

故障排除（快速解答）

Bitwarden 无法启动： 如果容器出现故障或者无法访问Vault，请先检查Docker服务状态。在 Linux 上，运行 sudo systemctl 状态泊坞窗。在 Windows 上，验证 Docker Desktop 是否处于活动状态。检查错误日志 docker 撰写日志 发现阻止启动的端口冲突或文件权限问题。

域无法访问： 如果您看到连接超时错误，请验证您的 DNS A 记录是否指向 VPS IP。确保您的防火墙允许端口 80 和 443。运行 码头工人 确认所有容器均显示“Up”。如果有任何“已退出”，请检查特定容器的日志。

电子邮件失败： 如果用户没有收到邀请，请验证 SMTP 设置 bwdata/env/global.override.env。大多数提供商需要使用 StartTLS 端口 587。独立测试 SMTP 以排除凭据问题，或检查 identity.txt 服务器端拒绝错误的日志。

SSL 证书错误： 浏览器警告通常意味着 Let’s Encrypt 验证失败。确认端口 80 已向公共互联网开放。要修复过期的证书，请强制续订 ./bitwarden.sh 更新证书 （Linux）或 .\bitwarden.ps1 -renewcert （视窗）。

高内存使用率： 如果 VPS 速度变慢，请使用 码头工人统计 识别资源密集型容器。重新启动Bitwarden可以暂时清除内存泄漏。然而，持续存在的问题通常需要升级到 4GB 以上 RAM 的计划。

更新中断安装： 始终备份您的 数据数据 更新前的目录。如果更新失败，请恢复此目录并恢复到以前的版本。在再次尝试更新之前，请检查官方发行说明是否有重大更改。

检查发行说明： https://github.com/bitwarden/server/releases 用于在更新之前进行重大更改。

替代方案：用于轻量级部署的 Vaultwarden

对于寻求更节省资源的选项的用户，Vaultwarden 提供了一个引人注目的替代方案。 Vaultwarden 是一个非官方的 Bitwarden 兼容服务器，用 Rust 编写，使用更少的资源。

避难所管理员的优势

最低资源要求： Vaultwarden 仅需要 512MB RAM 即可流畅运行。这使得它适用于 Raspberry Pi 等低功耗设备。

与 Bitwarden 客户端兼容： 您使用相同的官方 Bitwarden 应用程序、扩展程序和移动客户端。只需将他们指向您的 Vaultwarden 服务器 URL 即可。

包含的高级功能： Vaultwarden 提供 TOTP 生成和文件附件等高级功能，无需付费 Bitwarden 许可证。

更快的部署： 在 Linux 系统上安装通常会在 10 分钟内完成，无需复杂的设置步骤。

何时选择Vaultwarden

Vaultwarden 最适合：

• 个人使用或小型团队（10 名用户以下）
• RAM 有限的资源受限 VPS 计划
• 用户对社区支持的软件感到满意
• 优先考虑资源效率而非商业支持的环境

何时选择官方 Bitwarden

坚持使用官方 Bitwarden 以获得：

• 需要商业支持合同的企业部署
• 需要官方安全审核和认证的组织
• 部署超过 50 个用户且并发使用量大
• 需要第三方集成支持保障的环境

这两个选项都提供强大的密码管理。选择取决于您的特定资源限制、支持要求和规模需求。

结论

自托管 Bitwarden 可在一小时内提供企业级安全性和数据主权。 2025 年违约 平均成本 444 万美元，控制您的凭据可以降低风险，同时保留现代密码管理器的便利性。

为了保护您的实例，请立即启用双因素身份验证并配置自动服务器外备份。请记住，您的主密码在设计上是无法恢复的，因此请以物理方式离线存储，而不是以数字方式存储。

最后，通过以下方式确保长期弹性 订阅安全更新 每季度测试一次备份恢复。这些简单的维护习惯可让您的保管库易于访问并防止数据丢失。

常问问题

我可以在 macOS 上自行托管 Bitwarden 吗？

是的，尽管它需要专用的 Mac 设备，并且效率低于 Linux 或 Windows。您需要 Apple 远程访问或 RDP 功能。由于社区支持有限且复杂性较高，不建议将 macOS 自托管用于生产用途。

Bitwarden 是免费的吗？

是的。核心功能是免费的，允许您自行托管具有无限存储和设备同步功能的 Bitwarden 密码管理器。高级 2FA 的个人保费计划每年费用为 19.80 美元。家庭每年支付 47.88 美元，而团队则需要企业许可证。

Bitwarden 最好的替代品是什么？

替代方案包括 Vaultwarden（轻量级）、1Password（云 UX）、KeePassXC（离线）和 Passbolt（团队）。如果自托管看起来太复杂，官方 Bitwarden Cloud 提供相同的安全性，无需维护。

Bitwarden 的安全性如何？

设置正确后极其安全。Bitwarden 使用 AES-CBC 256 位加密。它支持 PBKDF2 SHA-256 和 Argon2id 用于密钥派生。您的主密码永远不会让您的设备处于未加密状态。自托管通过从威胁模型中消除第三方云提供商来提高安全性。

我可以从 Bitwarden 云迁移吗？

是的。从 Bitwarden 云导出您的保管库（设置 → 导出保管库），然后将其导入到您的实例中（设置 → 导入数据）。该过程只需几分钟，并保留所有密码、注释和组织结构。

如何添加用户？

从 Web 保管库中，转至设置 → 组织 → 新组织。创建组织，然后通过电子邮件邀请用户。他们会收到邀请电子邮件（需要 SMTP 设置），并可以在接受后加入您的实例。

如果我忘记了主密码会怎样？

Bitwarden 无法恢复您的主密码。这是出于安全考虑而设计的。如果没有主密码，您的保管库将保持永久加密且无法访问。写下您的主密码并将其安全地离线存储在物理位置。

我应该为 Bitwarden 使用 Docker 还是 Kubernetes？

对于大多数部署来说，Docker 已经足够并且更易于管理。 Kubernetes 仅适用于需要高可用性、负载均衡和跨多个节点自动故障转移的大型企业部署。