自建 Bitwarden 密码管理器：完整指南

密码仍然是黑客和您账户之间的主要防线，但 81%的数据泄露 源自弱密码或被盗凭证。只有三分之一的美国人使用密码管理器，导致数百万人面临凭证盗窃和账户接管风险。真正的问题是，您是否可以信任他人来管理您的密钥库。

本指南展示如何在您自己的服务器上自托管Bitwarden密码管理器，实现完全控制。您将学到Windows Server 2025和Ubuntu 24.04 LTS的分步安装方法，以及安全加固措施以确保只有您能访问您的密钥库。

您将构建什么(以及为什么选择服务器)?

当你自行托管 Bitwarden 密码管理器时，你在自己的服务器上创建了一个私有的密码管理基础设施。这种设置让你完全控制凭证的存储位置、备份方式以及访问权限。

为什么为 Bitwarden 选择 VPS?

虚拟私有服务器为密码管理提供了控制力、性能和成本效益的理想平衡。

完整的数据主权

你的密码库永远不会离开你控制的基础设施。与云托管服务不同，你的加密数据驻留在你选择的服务器上，位于你指定的位置。

始终可访问

VPS 全天运行，让你的密码库随时随地可用。你不需要让个人计算机始终开启。

独占资源

VPS 计划提供有保证的 CPU、RAM 和存储资源，这些资源不与其他用户的工作负载共享。无论其他客户在做什么，性能都保持一致。

可扩展性

随着密码管理需求从个人使用扩展到团队或业务部署，VPS 计划可以随之扩展。从小规模开始，按需升级。

经济高效

VPS 托管成本远低于维护专用物理硬件。你获得类似的隔离和控制优势，而无需前期投资。

专业安全保护

信誉良好的 VPS 提供商提供 DDoS 保护、定期备份和企业级网络安全。独立实现这些会很昂贵且耗时。

自托管需要什么?

你需要了解硬件规格来自托管 Bitwarden 密码管理器。这有助于你选择合适的 VPS 计划，防止日后出现性能问题。

Windows 服务器硬件要求

要成功在 Windows Server 2025 上部署，你需要以下最低规格。

处理器: x64、1.4GHz CPU 最低配置；x64、2GHz 双核推荐

RAM： 6GB minimum; 8GB or more recommended for production use.

存储： 76GB minimum; 90GB recommended for production deployments.

Docker： Docker Desktop with Engine 26.0+ (推荐 27.x) 和 Compose；Hyper-V 支持（不支持 WSL2）

Windows Server 2025 需要嵌套虚拟化支持。Azure 用户应使用 Standard D2s v3 虚拟机，安全类型设置为 Standard，而非 Trusted launch。

Linux 硬件要求

Linux 发行版需要的资源更少。要在 Ubuntu 24.04 LTS、Debian 12 或 Rocky Linux 9 上自托管 Bitwarden 密码管理器，你需要以下配置。

处理器: x64、1.4GHz CPU 最低配置；x64、2GHz 双核推荐

RAM： 2GB minimum; 4GB or more recommended for multiple users

存储： 12GB minimum; 25GB recommended for production

Docker： Docker Engine 26.0+ (推荐 27.x) 和 Docker Compose

Linux 是更高效的选择。它使用的 RAM 约为 Windows Server 部署的三分之一，同时提供完全相同的功能。

性能对比：

公制	Linux (Ubuntu 24.04)	Windows Server 2025
最低内存	2GB	6GB
最小存储空间	12GB	76GB
Docker 开销	较低	更高(Hyper-V)
更新复杂性	简单	温和
社区资源	广泛	温和
初始设置时间	15-30 分钟	30-60分钟

选择你的 VPS 提供商

自建 Bitwarden，你需要一台 VPS（具有完整 root 访问权限）、Docker 支持和一个稳定的公网 IP。同时需要高网络吞吐量和可靠的正常运行时间，以确保密码库在所有设备之间即时同步。

Cloudzy 提供这种工作负载所需的高性能基础设施。我们的 Docker VPS 托管 方案采用 AMD Ryzen 9 处理器（最高 5.7 GHz）和 NVMe 存储。这提供了加密数据库操作所需的单线程性能。

我们提供高达 40 Gbps 的网络连接和 99.95% 的正常运行时间 SLA 保证，确保你的密码库随时可访问。此外，我们在全球 12 个城市提供服务器位置，让你可以在任意位置托管数据。

推荐配置：

• 个人使用（10 个用户以下）: 2 个 CPU 核心、4GB RAM、25GB NVMe 存储。
• 团队使用（10 到 50 个用户）: 4 个 CPU 核心、8GB RAM、50GB NVMe 存储。

安装前需要准备什么？

开始安装之前，先准备好这些内容会让流程更顺利。

1. 域名和 DNS 记录

配置一个域名（例如 vault.yourdomain.com），用 DNS A 记录指向你的 VPS IP 地址。Bitwarden 使用域名效果最佳。仅用 IP 地址会限制 SSL 选项，也会让证书管理变得困难。

2. Bitwarden 安装 ID 和密钥

访问 Bitwarden 托管门户 并提供一个有效的电子邮件地址。你会通过邮件收到安装 ID 和安装密钥。安全保存这两个值，因为设置时需要用到。

3. VPS 访问凭证

确认你已准备好以下内容:

• Linux 服务器的 SSH 访问凭证
• Windows 服务器的远程桌面（RDP）访问
• 管理员或 root 级权限

4. SSL 证书方案

决定如何处理 SSL/TLS 加密:

• Let's Encrypt 在安装期间自动生成证书
• 从证书颁发机构获得的 SSL 证书
• 仅用于测试环境的自签名证书

5. SMTP 服务器详情

要邀请用户和验证电子邮件，你需要 SMTP 服务器凭据：

• SMTP 主机名和端口
• 身份验证用户名和密码
• 发件人电子邮件地址

未设置 SMTP 时，你无法邀请用户或验证电子邮件地址。但初始管理员账户可以正常使用系统。

如何在 Linux（Ubuntu/Debian/Rocky）上安装？

本指南使用 Ubuntu 24.04 LTS。步骤在 Debian 12 和 Rocky Linux 9 上完全相同，只需根据包管理器进行调整。按照这些步骤，你可以在任何这些 Linux 发行版上自主部署 Bitwarden 密码管理器。

步骤 1：初始服务器配置

通过 SSH 连接到你的 Linux VPS 并更新系统：

sudo apt update && sudo apt upgrade -y

验证防火墙中端口 80（HTTP）和 443（HTTPS）已开放。在 Ubuntu 上使用 UFW：

sudo ufw allow 80/tcp

sudo ufw allow 443/tcp

sudo ufw reload

步骤 2：安装 Docker 引擎

Bitwarden 在 Docker 容器内运行。Docker 引擎是安装的基础。安装 Docker 引擎 26.0+ 和 Docker Compose V2 插件：

sudo apt install docker.io docker-compose-plugin -y

sudo systemctl enable --now docker

sudo systemctl status docker

这 启用 –now 命令立即启动 Docker 并确保服务器重启后自动启动。

验证安装成功：

docker --version

docker compose version
Both commands should return version numbers. Docker Engine should be 26.0 or higher, Docker Compose should be 2.0 or higher.

步骤 3：创建 Bitwarden 用户和目录

以独立的非 root 用户身份运行 Bitwarden 是安全最佳实践。这会限制应用被破坏时的潜在危害。创建此专用用户账户：

sudo adduser bitwarden

出现提示时设置强密码。如果需要直接以 Bitwarden 用户身份登录，此密码保护 SSH 访问。

创建 Docker 组（若不存在的话；大多数系统已有此组）：

sudo groupadd docker

将 Bitwarden 用户添加到 Docker 组。这授予在无需 sudo 的情况下运行 Docker 命令的权限：

sudo usermod -aG docker bitwarden

创建权限受限的 Bitwarden 安装目录：

sudo mkdir /opt/bitwarden

sudo chmod -R 700 /opt/bitwarden

sudo chown -R bitwarden:bitwarden /opt/bitwarden

这 700 权限意味着仅 Bitwarden 用户可以读取、写入或执行此目录中的文件。这保护你的密码数据库免受其他系统用户访问。

切换到 Bitwarden 用户，继续执行后续安装步骤：

sudo su - bitwarden

cd /opt/bitwarden

第 4 步：下载并运行安装脚本

下载 Bitwarden 安装脚本：

curl -Lso bitwarden.sh "https://func.bitwarden.com/api/dl/?app=self-host&platform=linux" && chmod 700 bitwarden.sh

开始安装：

./bitwarden.sh install

第 5 步：配置安装提示

安装程序会要求你输入几个值：

域名： 输入你配置的 DNS 记录（vault.yourdomain.com）

SSL证书: 类型 Y 如果你想让 Let's Encrypt 生成证书，或者 N 如果你已经有了

安装 ID: 输入来自 https://bitwarden.com/host/ 的 ID

安装密钥： 输入来自 https://bitwarden.com/host/ 的密钥

根据你选择的 SSL 证书，按照剩余的提示步骤操作。安装过程会下载 Docker 镜像并配置环境。

第 6 步：配置电子邮件设置

编辑环境配置文件：

nano ./bwdata/env/global.override.env

设置您的 SMTP 凭证：

globalSettings__mail__smtp__host=smtp.yourprovider.com

globalSettings__mail__smtp__port=587

globalSettings__mail__smtp__ssl=false

globalSettings__mail__smtp__startTls=true

[email protected]

globalSettings__mail__smtp__password=yourpassword

保存文件（Ctrl+X，然后 Y，然后 Enter）。

第 7 步：启动 Bitwarden

启动你的 Bitwarden 实例：

./bitwarden.sh start

首次启动时，会从 GitHub Container Registry 下载所有 Docker 镜像。这可能需要几分钟。验证所有容器是否正在运行：

docker ps

你应该看到多个 Bitwarden 容器列出为"Up"状态。

在网络浏览器中访问你配置的域名（https://vault.yourdomain.com）。你应该会看到 Bitwarden 网页保管库的登录页面。创建主账户后即可开始使用密码管理器。

如何在 Windows 服务器上安装（PowerShell）？

本部分介绍如何在 Windows Server 2025 上使用 PowerShell 安装。此过程与 Linux 安装类似，但使用 Windows 特定命令在您的 Windows VPS 上自托管 Bitwarden 密码管理器。

第一步：初始化 Windows 配置

使用远程桌面协议 (RDP) 连接到你的 Windows VPS。RDP 提供完整的图形界面体验，满足 Docker 桌面配置的需求。

确认 Windows 防火墙允许端口 80 和 443 的流量。以管理员身份打开 PowerShell 并运行：

New-NetFirewallRule -DisplayName "Allow HTTP" -Direction Inbound -Protocol TCP -LocalPort 80 -Action Allow

New-NetFirewallRule -DisplayName "Allow HTTPS" -Direction Inbound -Protocol TCP -LocalPort 443 -Action Allow

第二步：安装 Docker Desktop

Docker Desktop 不正式支持 Windows Server。您可能会遇到稳定性问题。我们建议使用 Linux 以获得更稳定的体验。

从以下位置下载并安装 Docker Desktop for Windows https://www.docker.com/products/docker-desktop/在安装过程中，取消勾选"Use WSL2 instead of Hyper-V"。Bitwarden 需要 Hyper-V 模式才能运行。

安装后，打开 Docker Desktop，进入设置 → 资源。将 RAM 分配设置为至少 4GB。这样可以让 Docker 从 Windows 获得 RAM。

步骤 3：创建 Bitwarden 用户和目录

以管理员身份打开 PowerShell，然后创建 Bitwarden 用户：

$Password = Read-Host -AsSecureString

出现提示时输入安全密码，然后创建用户账户：

New-LocalUser "Bitwarden" -Password $Password -Description "Bitwarden Local Admin"

将 Bitwarden 用户添加到 docker-users 组：

Add-LocalGroupMember -Group "docker-users" -Member "Bitwarden"

创建 Bitwarden 安装目录：

mkdir C:\Bitwarden

在 Docker Desktop 中，依次进入设置 → 资源 → 文件共享。添加 C:\Bitwarden 到资源列表。点击应用并重启。

第 4 步：下载 Bitwarden 安装脚本

进入 Bitwarden 目录:

cd C:\Bitwarden

下载安装脚本：

Invoke-RestMethod -OutFile bitwarden.ps1 -Uri "https://func.bitwarden.com/api/dl/?app=self-host&platform=windows"

运行安装程序：

.\bitwarden.ps1 -install

第 5 步：配置安装提示

安装程序的提示与 Linux 安装相同：

域名： 输入您的 DNS 配置域名

SSL证书: Enter Y 用于 Let's Encrypt 证书或 N 如果你自己提供

安装 ID: 来自 https://bitwarden.com/host/

安装密钥： 来自 https://bitwarden.com/host/

根据你选择的 SSL 配置完成剩余的设置。

步骤 6：配置邮件并开始

编辑 C:\Bitwarden\bwdata\env\global.override.env 使用你的 SMTP 设置，然后重启 Bitwarden：

.\bitwarden.ps1 -restart

访问您配置的域名，进入 Bitwarden 保险库来创建主账户。

最快的验证和加固方式是什么？

自托管 Bitwarden 密码管理器后，在添加用户或导入密码之前，先验证你的实例是否正常运行。

验证步骤

SSL 证书检查： 在网络浏览器中打开你的 Bitwarden 域名 (https://vault.yourdomain.com)。你应该看到 Bitwarden 网络保险库登录界面、地址栏中的挂锁图标，以及没有"不安全"警告。

如果您看到证书警告,请查看 SSL 设置部分。

管理员账户创建： 在登录界面点击"创建账户"。设置一个强主密码，至少12个字符，包含大小写字母、数字和符号。请将此密码记录下来，并妥善保存在离线的安全位置。

Bitwarden 无法恢复丢失的主密码。

客户端应用测试： 安装 Bitwarden 浏览器扩展或移动应用。登录前，点击设置/齿轮图标，将"服务器 URL"更改为您自托管的域，保存，然后返回登录屏幕。

输入你的凭证，验证你可以添加新的密码条目，在网页保险库中查看同步效果，以及从浏览器扩展中检索该密码。

Docker 容器运行状况: 验证所有容器都在运行中。

Linux：

cd /opt/bitwarden

docker ps

Windows：

cd C:\Bitwarden

docker ps

预期输出：列出5至7个容器，STATUS列均显示"Up"。容器名称包括：bitwarden-web、bitwarden-api、bitwarden-identity、bitwarden-attachments、bitwarden-icons、bitwarden-mssql、bitwarden-nginx。

如果任何容器显示「Exited」或缺失，请检查日志： docker compose logs [容器名称]

安全加固清单

启用双因素认证： 立即为管理员账户配置 2FA。Bitwarden 支持身份验证器应用、邮箱和硬件密钥进行二次验证。

配置防火墙规则： 限制 SSH（Linux 上的端口 22）或 RDP（Windows 上的端口 3389）只允许特定 IP 地址访问。考虑在 Linux 上使用 fail2ban 来阻止暴力破解尝试。

设置定期备份： 备份 /opt/bitwarden/bwdata (Linux) 或 C:\Bitwarden\bwdata (Windows) 按计划执行。此目录包含你的数据库和设置。将备份存储在服务器外以实现真正的灾难恢复。

更新证书续期： 如果使用 Let's Encrypt，请确保已配置自动续期。用以下命令测试续期： ./bitwarden.sh renewcert 在 Linux 上。

禁用用户注册： 创建所需账户后，禁用新用户注册功能以防止未授权的注册。编辑 global.override.env 并添加 globalSettings__disableUserRegistration=true 然后重启 Bitwarden。

配置管理员门户访问权限： 授权特定电子邮件地址访问系统管理员门户。添加 [email protected] 到您的设置文件。

查看访问日志： 显示器 /opt/bitwarden/bwdata/logs (Linux) 或 C:\Bitwarden\bwdata\logs (Windows) 每周检查可疑活动模式。

如何安全地维护和升级 Bitwarden？

定期维护确保你的实例安全高效运行。遵循最佳实践，你可以放心地自托管 Bitwarden 密码管理器，用上多年而无后顾之忧。

更新步骤

Bitwarden 定期发布包含安全补丁和新功能的更新。请在每月更新一次，或在官方渠道宣布安全更新时立即更新实例。

Linux 更新流程：

cd /opt/bitwarden

./bitwarden.sh updateself

./bitwarden.sh update

./bitwarden.sh start

这 updateself 命令会更新安装脚本本身，而 更新 拉取新的 Docker 镜像。

Windows 更新流程：

cd C:\Bitwarden

.\bitwarden.ps1 -updateself

.\bitwarden.ps1 -update

.\bitwarden.ps1 -start

备份策略

你的 bwdata 目录包含了所有内容：数据库、配置文件、SSL 证书和日志。自建 Bitwarden 密码管理器时，自动备份是必要的安全措施。

备份内容：

数据库: Linux 使用 bwdata/mssql/data (SQL Server)，Windows 使用 bwdata/mssql/data.

配置： 这 bwdata/env 目录包含环境变量、SMTP 设置和域配置详情。

SSL 证书： 位于 bwdata/ssl 如果使用自定义证书而不是 Let's Encrypt。

自动备份脚本 (Linux)：

#!/bin/bash

# Save as /home/bitwarden/backup-bitwarden.sh

BACKUP_DIR="/home/bitwarden/backups"

DATE=$(date +%Y%m%d-%H%M%S)

# Create backup directory if it doesn't exist

mkdir -p $BACKUP_DIR

# Create compressed backup

cd /opt/bitwarden

tar -czf $BACKUP_DIR/bitwarden-backup-$DATE.tar.gz bwdata/

# Keep only last 30 days of backups

find $BACKUP_DIR -name "bitwarden-backup-*.tar.gz" -mtime +30 -delete

# Optional: Copy to remote storage

# rsync -az $BACKUP_DIR/ user@remoteserver:/backups/bitwarden/

使脚本可执行并添加到 crontab：

chmod +x /home/bitwarden/backup-bitwarden.sh

# Run daily at 2 AM

crontab -e

# Add this line:

0 2 * * * /home/bitwarden/backup-bitwarden.sh

Windows 备份 (PowerShell)：

# Run as scheduled task

$Date = Get-Date -Format "yyyyMMdd-HHmmss"

$BackupPath = "C:\Backups\Bitwarden"

New-Item -ItemType Directory -Force -Path $BackupPath

Compress-Archive -Path "C:\Bitwarden\bwdata" -DestinationPath "$BackupPath\bitwarden-backup-$Date.zip"

# Clean old backups (older than 30 days)

Get-ChildItem -Path $BackupPath -Filter "*.zip" | 

  Where-Object {$_.LastWriteTime -lt (Get-Date).AddDays(-30)} | 

  Remove-Item

使用 rsync、加密云存储或独立备份 VPS 将备份存储在服务器外。服务器本地备份无法防护硬件故障。为了 安全文件传输 备份到远程位置，考虑使用 SFTP 或 FTPS 等加密协议。

监控

设置基本监控，在问题影响用户前及时发现：

容器状态: 确保所有 Docker 容器全天保持运行。

磁盘空间： 监控 bwdata 目录的可用存储空间，防止磁盘满导致的数据库损坏。

SSL 证书过期： 验证证书按时续期且未出现意外过期。

日志查看 每周检查错误日志，查找异常活动或身份验证失败。

恢复测试

每季度测试一次备份恢复流程，确保能从数据丢失中恢复：

1. 停止 Bitwarden
2. 重命名当前 bwdata 目录
3. 从备份恢复
4. 启动 Bitwarden 并验证功能
5. 如果成功，删除旧目录

Linux 对比 Windows：应该选择哪个？

两个平台都能成功自建 Bitwarden 密码管理器。各有各的优势和权衡，值得深入考虑。

Linux优势

资源效率 Linux 最低需要约 2GB RAM，而 Windows 最低需要 4GB。这意味着每月托管成本更低。

运维成本更低： Linux 将更多资源分配给 Bitwarden，而不是操作系统本身。

更简单的更新 软件包管理器让系统更新更加流畅。Docker 集成原生支持,无需额外配置。

社区支持 自托管社区主要使用 Linux。你可以在网上找到更多社区指南和故障排除资源。

成本： 大多数 Linux 发行版都是免费的，无需支付操作系统许可费用。

Windows 服务器优势

熟悉度: 熟悉 Windows Server 的系统管理员可以立即应用现有知识。

整合: 与现有 Windows 基础设施和 Active Directory 环境的集成更加顺畅。

管理工具: 在大量使用 Windows 的组织环境中，Windows 服务器管理工具可能是首选。

支持: Microsoft 提供的商业支持选项，用于故障排除和技术协助。

性能对比

公制	Linux (Ubuntu 24.04)	Windows Server 2025
最低内存	2GB	6GB
最小存储空间	12GB	76GB
Docker 开销	较低	更高(Hyper-V)
更新复杂性	简单	温和
社区资源	广泛	温和
初始设置时间	15-30 分钟	30-60分钟

推荐

除非你有特定的 Windows 服务器需求，否则选择 Linux。Ubuntu 24.04 LTS 在稳定性、资源效率和社区支持之间提供了最好的平衡。五年的支持期与典型的 VPS 部署生命周期相符。

故障排查（快速解答）

Bitwarden 无法启动： 如果容器失败或保管库无法访问，请先检查 Docker 服务状态。在 Linux 上运行 sudo systemctl status docker。在 Windows 上，验证 Docker Desktop 处于活跃状态。使用以下命令检查错误日志 docker compose logs 发现端口冲突或文件权限问题导致启动失败。

域名无法访问: 如果看到连接超时错误，请验证 DNS A 记录指向 VPS IP。确保防火墙允许端口 80 和 443。运行 docker ps 确认所有容器状态显示为"Up"。如果某个容器显示"Exited"，请检查该容器的日志。

邮件发送失败： 如果用户没有收到邀请，请检查 SMTP 设置 bwdata/env/global.override.env。大多数服务商需要使用端口 587 和 StartTLS。独立测试 SMTP 以排除凭证问题，或检查 identity.txt 服务器端拒绝错误的日志。

SSL 证书错误： 浏览器警告通常表示 Let's Encrypt 验证失败。请确认端口 80 对公网开放。要修复过期的证书，使用以下命令强制更新 ./bitwarden.sh renewcert (Linux) 或 .\bitwarden.ps1 -renewcert (Windows).

内存占用过高： 如果 VPS 变慢，请使用 docker 统计 来识别资源占用高的容器。重启 Bitwarden 可以暂时清除内存泄漏。但持续出现的问题通常需要升级到 4GB+ RAM 的计划。

更新导致安装失败: 更新前始终备份你的 bwdata 目录。如果更新失败，恢复该目录并回退到之前的版本。更新前检查官方发布说明，了解是否有破坏性变更。

在以下地址查看发布说明 https://github.com/bitwarden/server/releases 了解更新前的破坏性变更。

替代方案: Vaultwarden 用于轻量级部署

如果你需要更节省资源的方案，Vaultwarden 是个不错的选择。Vaultwarden 是一个非官方的 Bitwarden 兼容服务器，用 Rust 编写，资源占用更少。

Vaultwarden 优势

最低资源要求: Vaultwarden 在仅 512MB RAM 的配置下也能流畅运行。这使它适合 Raspberry Pi 等低功耗设备。

兼容 Bitwarden 客户端: 你可以使用相同的官方 Bitwarden 应用、浏览器扩展和移动客户端。只需将它们指向你的 Vaultwarden 服务器 URL 即可。

包含高级功能: Vaultwarden 提供 TOTP 生成和文件附件等高级功能，无需购买 Bitwarden 付费许可证。

更快的部署: 在 Linux 系统上通常 10 分钟内完成安装，无需复杂的设置步骤。

何时选择 Vaultwarden

Vaultwarden 最适合:

• 个人使用或小型团队（少于 10 个用户）
• 资源有限的 VPS 计划，RAM 受限
• 用户习惯使用社区支持的软件
• 优先考虑资源效率而非商业支持的环境

何时选择官方 Bitwarden

以下情况下坚持使用官方 Bitwarden:

• 需要商业支持合同的企业级部署
• 需要官方安全审计和认证的组织
• 超过50个用户且并发使用量大的部署
• 需要第三方集成支持保障的环境

两种方案都提供可靠的密码管理。选择取决于你的具体资源限制、支持需求和规模。

结论

自建Bitwarden在一小时内交付企业级安全和数据主权。根据2025年数据泄露 成本平均高达444万美元，自行管理凭证可以降低风险，同时保留现代密码管理器的便利性。

要保护你的实例，立即启用双因素认证并配置自动离线备份。记住你的主密码按设计是不可恢复的，所以要将它存储在物理离线位置，而不是数字设备上。

最后，通过 订阅安全更新 并每季度测试备份恢复来确保长期稳定性。这些简单的维护习惯能让你的保险库保持可访问状态并防止数据丢失。

常见问题

我可以在macOS上自建Bitwarden吗？

可以，但需要一台专用Mac设备，效率不如Linux或Windows。你需要Apple Remote Access或RDP功能。macOS自建不推荐用于生产环境，因为社区支持有限且配置复杂。

Bitwarden是免费的吗?

可以。核心功能免费，你可以自建Bitwarden密码管理器并享受无限存储和设备同步。个人高级计划每年19.80美元可享受高级2FA功能。家庭计划每年47.88美元，团队需要企业许可证。

Bitwarden有哪些替代品？

替代品包括Vaultwarden（轻量级）、1Password（云端体验）、KeePassXC（离线）和Passbolt（团队协作）。如果自建太复杂，官方Bitwarden Cloud提供相同的安全性而无需维护。

Bitwarden有多安全？

设置正确时非常安全。Bitwarden采用AES-CBC 256位加密。支持PBKDF2 SHA-256和Argon2id进行密钥派生。你的主密码始终以加密形式保存在本地。自建还能通过排除第三方云服务商来增强安全性。

我可以从Bitwarden云迁移吗？

可以。从Bitwarden云导出保险库（设置 → 导出保险库），然后导入到自建实例（设置 → 导入数据）。整个过程只需几分钟，所有密码、备注和组织结构都会保留。

我如何添加用户？

在网页保险库中进入设置 → 组织 → 新建组织。创建组织后，通过电子邮件邀请用户。用户会收到邀请邮件（需要SMTP设置）并可在接受后加入你的实例。

如果我忘记主密码怎么办？

Bitwarden无法恢复你的主密码。这是出于安全目的的设计。没有主密码，你的保险库将永久加密且无法访问。请记下主密码并将其安全存储在物理位置的离线地方。

我应该为 Bitwarden 选择 Docker 还是 Kubernetes？

在大多数部署场景中，Docker 足以满足需求，且更容易管理。Kubernetes 仅适合需要高可用性、负载均衡和跨多个节点自动故障转移的大规模企业部署。