5分钟搭建私有密码管理器:Vaultwarden 完全指南

前言:密码管理的风险

  • 常见不良习惯:密码太多就用同一个简单密码、把密码记在备忘录或便签里。
  • 这些做法风险极高,一旦设备丢失或被入侵,所有账号直接“裸奔”。
  • 第三方云端密码工具虽然方便,但数据存储在厂商服务器上,存在被调取、合规上传、平台被攻击后泄露等风险。
  • 真正安全的做法是把密码库部署在自己可控的设备上。

img

1 Vaultwarden 简介与核心优势

Vaultwarden 是一款开源的密码管理解决方案,用于安全存储和管理密码等敏感数据。

  • 完全私有:数据全部存放在自己的设备(如 NAS)中,不上传任何第三方云端。

  • 端到端加密:只有你自己能解密,真正做到隐私自由。

  • 安全防护

    • 支持个人 API 密钥,强化数据访问安全。
    • 支持全方位多因素认证(MFA),包括验证器 App、邮箱、FIDO2、YubiKey 等。
    • 提供紧急访问功能,可设置可信联系人,特殊情况下也能调取保险库数据。

    img

  • 客户端兼容:完美适配 Bitwarden 官方的手机 App、电脑客户端和浏览器插件,无需换软件即可无缝切换。

  • 密码生成器:一键生成包含大小写字母、数字、符号的超长复杂密码。

  • 附件存储:可加密保存证书扫描件、软件许可证、照片等文件。

  • 自动图标:保存网站账号后自动获取并显示对应网站图标,方便识别。

  • 管理后台与 Web 客户端:自带优化版 Web 界面,无需复杂配置即可使用,适合个人或小团队。

img

2 部署环境说明

  • 本教程以 群晖 Synology NAS + Docker 为例演示部署。

  • 将密码库部署在 NAS 上可实现 24 小时挂机、超低功耗、数据本地存储并自动备份。

  • 其他小主机或 Linux 服务器操作步骤大同小异。

    img

3 使用 Docker 在群晖 NAS 上部署 Vaultwarden

部署步骤

  • 通过 SSH 终端登录群晖 NAS。

img

  • 执行 sudo -i 进入管理员模式。
  • 粘贴并执行一键部署命令:
mkdir -p /volume1/Vaultwarden/data && \
docker pull vaultwarden/server:latest && \
docker run --detach \
  --name vaultwarden \
  --env DOMAIN="https://vw.domain.tld" \
  --volume /volume1/Vaultwarden/data:/data \
  --restart unless-stopped \
  --publish 8088:80 \
  vaultwarden/server:latest

img

  • 该命令会自动创建数据目录、拉取镜像并启动容器。
  • 端口映射为 8088:80,避开群晖默认 80 端口占用问题。
  • DOMAIN 建议填写你最终要使用的 HTTPS 域名(例如 cpolar 生成的域名)。

img

4 首次访问与 HTTPS 警告

  • 安装完成后,在浏览器访问 http://<NAS_IP>:8088
  • 页面会弹出提示:Vaultwarden 的加密 API(Subtle Crypto API)需要在 HTTPS 安全上下文中运行,当前 HTTP 明文访问不符合要求。
  • 这个警告说明必须通过 HTTPS 访问,下一步使用 cpolar 即可解决。

5 通过 cpolar 实现 HTTPS 与外网访问

下面是安装cpolar步骤:

Cpolar官网地址: https://www.cpolar.com

cpolar 提供了群晖安装的套件,点击下面Cpolar群晖套件下载地址,下载相应版本的群晖Cpolar套件,如果找不到对应的型号,可以选择相近版本型号套件。

b452aa0efea56e270b27615bc92e2740

打开群晖套件中心,点击右上角的手动安装按钮。

52eda654b5a431148e683a16e3120019

选择我们本地下载好的cpolar套件安装包,然后点击下一步

58ce50b7bbfeea20a330caf344e4cbce

点击同意按钮,然后点击下一步

4868a398119c58a0e30a420c22caf0e9

最后点击完成即可。

bcd66ffe9d043cf50325f51d4f1b8c4d

安装完成后,在外部浏览器,我们通过群晖的局域网ip地址9200端口访问Cpolar的Web管理界面,然后输入Cpolar邮箱账号与密码进行登录,登录后,一切的操作在管理界面完成.

53bcc1064c12038093eeeba0fa035f2e

6 登录并创建隧道

  • 安装完成后,访问 http://<NAS_IP>:9200 登录 cpolar Web 管理界面。

img

  • 点击 创建隧道
    • 隧道名称:自定义。
    • 本地地址:8088
    • 域名类型:选择 二级子域名(需要固定公网地址)。

    img

7 保留二级子域名

  • 登录 cpolar 官网,进入 预留 > 保留二级子域名
  • 地区选择 China Top,后缀为 .top,名称自定义后点击 保留

img

  • 复制保留好的子域名,回到群晖 cpolar 配置界面的域名框中粘贴,然后点击 创建

img

8 获取公网地址并访问

  • 创建成功后,打开左侧 在线隧道列表,可以看到生成了 HTTP 和 HTTPS 两条二级子域名地址。

img

  • 使用其中的 HTTPS 地址访问 Vaultwarden,HTTPS 警告会直接消失。
  • 此时无论在公司还是出差,都能通过该地址安全访问家里的密码库。

img

9 Vaultwarden 基础使用

创建账户

  • 首次打开 Vaultwarden Web 端,点击 创建账户
  • 填写电子邮箱地址和名称。
  • 设置主密码:必须至少 12 个字符,并填写密码提示。
  • 完成注册后进入密码库主页。

img

左侧导航功能

  • 密码库:新建条目保存 B 站、博客、游戏、工作后台等账号;系统会自动抓取网站图标。

img

  • Send:加密发送文本或文件,可与他人安全共享。

img

  • 工具 > 生成器:一键生成复杂密码,注册新账号时可直接使用并自动保存。

img

  • 导入:一次性导入已备份好的密码文件。

img

  • 导出:将当前密码库导出备份。
  • 报告:识别密码库中的安全漏洞,如弱密码、重复密码、泄露密码、未启用两步登录等。

img

  • 设置:开启两步登录(MFA)、查看登录设备、修改主题和语言等。

img

浏览器扩展配置与自动填充

安装与配置

  • 在 Vaultwarden 密码库页面点击 安装浏览器扩展,跳转到浏览器扩展商店安装 Bitwarden Password Manager

img

  • 安装完成后点击扩展图标,下滑找到 自托管环境 选项。

img

  • 在服务器 URL 处填写 cpolar 生成的 HTTPS 地址
  • 使用在 Vaultwarden 注册的邮箱和主密码登录,扩展即与密码库同步。

img

自动填充设置

  • 点击扩展中的 设置 > 自动填充
    • 勾选 将 Bitwarden 设置为默认密码管理器(避免与浏览器内置密码管理器冲突)。
    • 勾选 页面加载时自动填充,打开登录页即可自动填充账号密码。

    img

使用演示

  • 访问 B 站等登录页面时,点击浏览器右上角 Bitwarden 扩展图标,即可自动识别并填充账号密码。

img

  • 首次在飞牛 NS 等页面登录成功后,扩展会提示保存该账号,选择保存即可同步到 Vaultwarden 服务器。

img

全平台密码迁移与同步

  • 打开浏览器设置中的 密码 选项,导出已保存的所有密码,格式选择 CSV

img

  • 回到 Vaultwarden Web 端,使用 导入 功能上传该 CSV 文件。
  • 导入完成后,所有密码即可在 Vaultwarden 各端同步使用。

总结

本教程介绍了如何通过 Vaultwarden + cpolar 在群晖 NAS 上搭建一个完全私有、免费、安全的密码管理器。核心流程包括:使用 Docker 一键部署 Vaultwarden,利用 cpolar 内网穿透解决 HTTPS 安全访问和远程访问问题,完成账户创建、浏览器扩展配置、自动填充以及历史密码 CSV 导入。相比依赖第三方云端服务,该方案将密码数据完全掌握在自己手中,配合 MFA、密码生成器、安全报告等功能,能够显著提升个人和小团队的数字资产安全性。

Share:

发表回复

目录

On Key

推荐文章