Vaultwarden mit Docker Compose einrichten

TL;DR — Kurzzusammenfassung

Vollständige Anleitung zum sicheren Selbst-Hosten Ihres eigenen Bitwarden Password-Managers.

Vaultwarden selbst in Docker zu betreiben ist ein Meisterstück in der Home-Server Welt. Es handelt sich hierbei um die performanteste Bitwarden Server-Entsprechung.

Folgen Sie dieser simplen Schritt-für-Schritt Strategie, um das Fundament bereitzustellen.

Schritt 1: Dateipflege am Host

Ihre Passwörter müssen irgendwo sicher physisch lagern.

mkdir -p /opt/vaultwarden
cd /opt/vaultwarden

Schritt 2: Das Docker-Inventar-File

Wir schreiben nun ein klassisches Konfigurationsdokument namens docker-compose.yml:

version: '3'
services:
  vaultwarden:
    image: vaultwarden/server:latest
    container_name: vaultwarden
    restart: always
    environment:
      - WEBSOCKET_ENABLED=true
      - SIGNUPS_ALLOWED=true
    volumes:
      - ./vw-data:/data
    ports:
      - 8080:80

Hinweis: Durch SIGNUPS_ALLOWED=true können Sie und Fremde anfangs eigene Konten registrieren. Keine Angst, wir werden diesen Vorgang am Schluss hart blockieren!

Schritt 3: Den Container auffahren

Starten Sie Vaultwarden stumm im Hintergrund.

docker-compose up -d

Schritt 4: Die SSL-Mauer ziehen (Wicthig!)

Nutzen Sie den bekannten Nginx Proxy Manager (NPM). Registrieren Sie einen neuen Web-Proxy Host, weisen Sie Ihre Domain (passwort.haus.com) zu und verlinken die interne Linux-IP Ihres Docker Hosts mit dem Port 8080. Ohne die grüne HTTPS Funktion aus Schritt vier reagiert die Verschlüsselungssystematik der Applikation im Webbrowser nicht!

Schritt 5: Registrierungen für immer unterbinden

Besuchen Sie nun die HTTPS-Seite und loggen Sie sich initial ein (Account anlegen!). Sofort verriegeln wir den Zugang nun weltweit durch Anpassung des Compose Textes:

    environment:
      - WEBSOCKET_ENABLED=true
      - SIGNUPS_ALLOWED=false # ABSOLUTER REGISTRIER-STOPP

Wir validieren die absolute Kontrolle erneut:

docker-compose down && docker-compose up -d

Perfekt, niemand anderes kommt nun mehr auf den Vault!

Guide & Instructions

Estimated Time: 15m

Tools Needed:

Docker Engine
Docker Compose
Nginx Proxy Manager

Ordnerstruktur schaffen

Bauen Sie ein starkes Verzeichnis (z. B. `mkdir -p /opt/vaultwarden`), von dem niemals eine Datei gelöscht wird.

Docker Compose vorbereiten

Kreieren Sie die Datei `docker-compose.yml`, setzen sie `image: vaultwarden/server:latest` fest und weisen ein lokales Volumen via `./vw-data:/data` zu.

Registrierung kurzzeitig offenhalten

Definieren Sie in den Umgebungsvariablen `SIGNUPS_ALLOWED=true`. Das ist entscheidend, um den Server zum Erstzugang nicht zu blockieren.

Inbetriebnahme

Befehlen Sie ein Deployment via `docker-compose up -d`. Checken Sie Serverprotokolle über `docker-compose logs f`.

SSL Zertifikat durch Nginx erzwingen

Leiten Sie Port 8080 über Ihren Nginx Reverse Proxy an Ihre externe Wunschdomain und generieren Sie automatisiert Let's Encrypt Zertifikate, da die Applikation sonst abbricht.

Frequently Asked Questions

Warum lieber Vaultwarden statt Bitwarden nutzen?

Bitwardens offizieller Server konsumiert unverhältnismäßig große Mengen Arbeitsspeicher per MSSQL. Vaultwarden, geschrieben in Rust, läuft auf 50MB RAM geschmeidig und bietet kostenlose Premiumfeatures.

Kann ich die echten Bitwarden-Plugins am Browser nutzen?

Ja. Die API von Vaultwarden ist absolut deckungsgleich. In der Bitwarden App klicken Sie einfach auf 'Benutzerdefinierte Umgebung' und tragen ihre eigene private Server-URL ein.

Funktioniert es ohne Reverse Proxy und SSL?

Nein, absolut nicht. Die essenzielle Web Crypto API zum Ver- und Entschlüsseln greift aus Sicherheitsgründen nie ohne sicheres SSL (HTTPS). Sie erhalten einen unendlichen Ladebalken.

Wie sichere und backupe ich meine Passwörter?

Der in Docker gelinkte Ordner `vw-data` muss kopiert werden. Darin liegt die unersetzliche SQLite Datenbank und Ihre individuellen generierten RSA Krypto-Key-Dateien.