استضف Vaultwarden ذاتياً على VPS.
خزينتك المتوافقة مع Bitwarden، في 30 دقيقة.
Vaultwarden هو خادم كلمات المرور الخفيف، المكتوب بـ Rust، والمتوافق مع Bitwarden. خمسة أوامر Docker، وكيل عكسي HTTPS واحد، ومهمّة cron نسخ احتياطي واحدة — وخزينة بيانات الاعتماد لكل حساب تملكه تعيش على عتاد تستأجره، لا على بنية تحتية تثق بها.
- 01
Vaultwarden متوافق مع Bitwarden على مستوى البروتوكول والخزينة — كل عميل رسمي يعمل دون إعداد إضافي. يعمل في حدود 50–100 ميغابايت من RAM؛ يستوعبه أي VPS.
- 02
الخزينة مشفّرة من جهة العميل بخوارزمية AES-256. لا يرى الخادم أبداً كلمة المرور الرئيسية الخاصة بك. اختراق الـ VPS يكشف كتلة بيانات مشفّرة فقط، لا بيانات اعتماد.
- 03
الخطوة غير الواضحة هي طبقة البيانات الوصفية — الدفع لمزود الاستضافة ببطاقة مرتبطة بالـ KYC يربط هويتك الحقيقية بعنوان IP خزينتك. مزود استضافة بدون KYC ومدفوع بالعملات المشفرة يزيل هذا الرابط.
ما هو Vaultwarden، وما ليس هو.
Vaultwarden — المعروف سابقاً باسم bitwarden_rs — هو إعادة تنفيذ مستقلة من جانب الخادم لواجهة Bitwarden API بلغة Rust. يتكلم نفس البروتوكول الذي يتحدث به خادم Bitwarden الرسمي، ويخزّن الخزائن بنفس الصيغة المشفّرة، ويقبل كل عميل رسمي دون تعديل. بالنسبة لإضافة متصفح Bitwarden أو تطبيق iOS، لا يمكن التمييز بين خادم Vaultwarden وbitwarden.com.
الاختلافات المثيرة للاهتمام تشغيلية. خادم Bitwarden الرسمي منظومة .NET متعددة الحاويات مصممة للنشر المؤسسي؛ صورة الاستضافة الذاتية المنشورة تتوقع 2 GB من RAM ورخصة SQL Server للعمل بيسر. Vaultwarden ملف ثنائي Rust واحد بحجم 15 MB يستخدم SQLite افتراضياً، يعمل بسعادة في 50 MB من RAM ويبدأ بارداً في أقل من ثانية. المشروع بأكمله يتناسب في حاوية Docker واحدة بلا تبعيات.
ما تحصل عليه هو كامل سطح ميزات Bitwarden — خزينة كلمات مرور، وملاحظات آمنة، وسجلات هوية، وبطاقات دفع، ومرفقات ملفات، وSend (مشاركات مشفّرة لمرة واحدة)، ومُولِّد TOTP، وMonganizations مع مجموعات مشتركة، والمصادقة الثنائية بمفتاح عتاد، والملء التلقائي في المتصفح، وفتح القفل بالقياسات الحيوية على الموبايل — دون أي بوابات للمستويات المدفوعة. مكافئ خطة Families ومكافئ Enterprise SSO كلاهما مجاني على Vaultwarden مستضاف ذاتياً.
ما ليس عليه Vaultwarden: خادم خضع لتدقيق رسمي. الأوّليات التشفيرية موروثة من عملاء Bitwarden (الذين خضعوا لتدقيق مستقل)، لكن خادم Vaultwarden ذاته لم يمرّ بتدقيق أمني من طرف ثالث. لخزينة شخصية أو لفريق صغير، هذه مقايضة معقولة تماماً؛ أما لمؤسسة منظَّمة، فلا.
اختيار VPS — لماذا المضيف الذي تستأجر منه أهم من المواصفات.
Vaultwarden يعمل عملياً على أي VPS بـ Linux — الحد الأدنى من الموارد منخفض جداً بحيث إن ورقة المواصفات هي المحور الخاطئ للتحسين عليه. المحور الصحيح هو ما يجب عليك تسليمه لاستئجار الجهاز.
خزنة كلمات المرور هي الهدف الأعلى قيمة الوحيد الذي يمتلكه الشخص الخاص. اختراقها يمنح الوصول إلى كل حساب آخر يمتلكه صاحبها. الوضعية التشفيرية تحمي محتويات الخزنة؛ لكنها لا تحمي البيانات الوصفية المحيطة بها — من استأجر عنوان IP، ومن أين، ودُفع بأي بطاقة، وسُجّل باسم من.
عندما تستأجر VPS من مزود رئيسي يطبّق KYC الكامل، تربط قاعدة بيانات الفوترة اسمك القانوني بعنوان IPv4 للخادم. إن اختُرِق المزوّد، أو وُجِّه إليه استدعاء قضائي، أو ببساطة باع بيانات مجهّلة لشريك تحليلات تسويقية، يبقى الرابط قائماً. تبقى الخزينة مشفّرة، لكن طبقة البيانات الوصفية مسرَّبة بحكم التصميم.
NordBastion هي النقيض — البريد الإلكتروني وكلمة المرور كحد أدنى للتسجيل، والدفع عبر Bitcoin أو Monero أو Lightning أو غيرها من العملات المشفّرة، مع أربعة أنظمة دستورية شمالية تكفل حرية الصحافة لمركز البيانات. الخزنة ملكك؛ وأثر البيانات الوصفية التي تربطها بهويتك غير موجود أصلًا. بالنسبة لمستضيف Vaultwarden، تُعدّ <a href="/ar/vps/" class="text-nord-cyan border-b border-nord-cyan/40 hover:border-nord-cyan transition">Ravelin VPS بسعر 5.90$/شهريًا</a> من الفئة الأساسية أكبر من الحاجة بمريحة — إذ تكفي 2 vCPU و4 GB RAM و80 GB SSD لتشغيل Vaultwarden والبروكسي العكسي وثلاثة تطبيقات أخرى مستضافة ذاتيًا على الجهاز نفسه.
تثبيت Docker. خمسة أوامر، عشر دقائق.
شغّل VPS جديد من Debian 12، سجّل الدخول عبر SSH كمستخدم sudo غير جذر، ثم شغّل هذه الكتل الخمس. استبدل vault.example.com بنطاقك الفرعي الخاص في كل مكان — سيكون URL الذي تصل عبره إلى خزنة الويب.
1. ثبّت Docker. curl -fsSL https://get.docker.com | sh && sudo usermod -aG docker $USER — سجّل الخروج ثم عُد لتسجيل الدخول حتى تأخذ عضوية المجموعة مفعولها.
2. أنشئ دليل البيانات. mkdir -p ~/vw-data — حالة Vaultwarden بأكملها (قاعدة بيانات الخزينة SQLite، والمرفقات، والذاكرة المؤقتة للأيقونات) تعيش في دليل واحد؛ والنسخ الاحتياطي بسيط بفضل ذلك.
3. أنشئ رمز المدير. docker run --rm vaultwarden/server /vaultwarden hash --preset owasp — ألصق كلمة مرور المسؤول التي اخترتها عند الطلب، والتقط تجزئة Argon2 الناتجة. هذا يحمي لوحة /admin.
4. شغّل الحاوية. docker run -d --name vaultwarden --restart unless-stopped -e DOMAIN="https://vault.example.com" -e ADMIN_TOKEN='<paste-hash-from-step-3>' -e SIGNUPS_ALLOWED=false -e WEBSOCKET_ENABLED=true -v ~/vw-data:/data -p 127.0.0.1:8080:80 vaultwarden/server:latest — لاحظ أن الربط -p 127.0.0.1:8080 يُبقي Vaultwarden خاصاً بالمضيف؛ والوكيل العكسي في الفصل 4 يقف أمامه.
5. تحقق. ينبغي أن يُعيد curl -s http://127.0.0.1:8080/alive ختماً زمنياً. إن فعل، فإن Vaultwarden يعمل. إن لم يفعل، يكشف docker logs vaultwarden عمّا أخفق — وغالباً ما يكون خطأً مطبعياً في متغيّر البيئة ADMIN_TOKEN.
SIGNUPS_ALLOWED=false في الخطوة الرابعة هو الإعداد الأكثر نسياناً. اتركه true وسيكون خزنتك مفتوحة لأي شخص يجد URL للتسجيل. اجعله true فقط بالوقت الكافي لإنشاء حسابك، ثم اقلبه false وأعد التشغيل.
HTTPS ولوحة الإدارة. غير اختيارية، لكن خمس دقائق.
يرفض Vaultwarden تقديم الخزينة عبر الويب على HTTP العادي من عنوان غير localhost؛ وكل عميل رسمي يرفض كذلك التحدث إلى خادم بدون HTTPS. خطوة الوكيل العكسي + Let's Encrypt هي البوابة لباقي الإعداد. Caddy هو المسار الأخف — ملف تنفيذي واحد، وACME تلقائي، ولا certbot منفصل لجدولته.
أشر سجل DNS A الخاص بـvault.example.com إلى IP الـVPS وانتظر الانتشار (نحو دقيقتين للسجلات الجديدة لدى معظم المزوّدين). sudo apt install -y debian-keyring debian-archive-keyring apt-transport-https && curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable/gpg.key' | sudo gpg --dearmor -o /usr/share/keyrings/caddy-stable-archive-keyring.gpg && echo "deb [signed-by=/usr/share/keyrings/caddy-stable-archive-keyring.gpg] https://dl.cloudsmith.io/public/caddy/stable/deb/debian any-version main" | sudo tee /etc/apt/sources.list.d/caddy-stable.list && sudo apt update && sudo apt install caddy.
اكتب /etc/caddy/Caddyfile: vault.example.com { reverse_proxy 127.0.0.1:8080 header_up X-Real-IP {remote_host} } — هذا هو الإعداد الكامل. sudo systemctl reload caddy وفي غضون عشر ثوانٍ يكون Caddy قد جلب شهادة Let's Encrypt، وتصبح الخزينة قابلة للوصول على https://vault.example.com.
لوحة /admin. يكشف Vaultwarden واجهة إدارة على /admin، محميّة بتجزئة Argon2 التي ولّدتها في الفصل الثالث. من هناك يمكنك تعطيل التسجيلات (أُنجِز ذلك في الخطوة 4)، وضبط خادم SMTP لبريد الدعوات وإعادة تعيين كلمة المرور، وإعداد المصادقة الثنائية بـ Yubikey أو Duo، وتحديد حدود لكل مستخدم وفحص قائمة المستخدمين. افتحها مرّة واحدة، استعرض كل قسم، احفظ الإعدادات — تستقر بعد ذلك في /vw-data/config.json.
تفصيل تصليب صغير: قيّد /admin بعيداً عن الإنترنت العام كلياً. أضف إلى Caddyfile: vault.example.com { @admin path /admin* @admin not remote_ip 10.0.0.0/8 192.168.0.0/16 your.home.ip/32 respond @admin 404 ... } — أي شخص ليس على IP منزلك يحصل على 404 عند فحص /admin، اللوحة غير مرئية من الإنترنت المفتوح.
النسخ الاحتياطية. الخطأ الواحد الذي يُهلكك.
خزنة كلمات مرور لا تستطيع الاسترداد منها هي خزنة خسرتها بالفعل. قصة النسخ الاحتياطي في Vaultwarden بسيطة رحمةً — كل ما يهم يعيش في دليل واحد — لكن الانضباط حول اختبار الاسترداد هو ما يُميّز الإعداد العامل عن حادثة مستقبلية.
ما الذي ينبغي نسخه احتياطياً. شجرة ~/vw-data/ بأكملها. بداخلها: db.sqlite3 هي الخزينة المشفّرة، وattachments/ تحوي مرفقات الملفات، وconfig.json يحوي إعدادات /admin، وsends/ تحوي المشاركات المؤقتة المشفّرة، وrsa_key.* هي مفاتيح توقيع JWT المستخدمة للجلسات.
كيفية النسخ الاحتياطي. يتعامل SQLite مع النسخ الاحتياطي المتزامن عبر أمر .backup — جدوِل مهمة cron ليلية: 0 4 * * * docker exec vaultwarden sqlite3 /data/db.sqlite3 ".backup /data/db.sqlite3.bak" && tar czf /backups/vw-$(date -I).tgz -C /home/<user>/vw-data . — خزنة 50 حساباً تُنتج حزمة tarball أقل من 1 MB.
أين تُرسَل النسخ الاحتياطية. في أي مكان لا يكون نفس VPS. rclone إلى حاوية متوافقة مع S3، أو VPS ثانٍ، أو NAS منزلي عبر WireGuard، أو مفتاح USB مشفر ترسله إلى قريب مرة كل ربع سنة — اختر ما يناسب نموذج التهديد لديك. القاعدة الأساسية هي الفصل الجغرافي والإداري عن المصدر الأساسي.
تدريب الاستعادة. شغّل VPS ثانياً، انسخ نسخة الأمس الاحتياطية إليه، أفرغها في ~/vw-data، شغّل كتلة docker من الفصل الثالث موجّهةً إليه، افتح خزنة الويب على نطاق فرعي مؤقت، سجّل الدخول بكلمة مرورك الرئيسية. إن فتح حسابك وفُكّ تشفير الخزنة، فالنسخة الاحتياطية حقيقية. نفّذ هذا التمرين مرةً الآن، قبل أن تضع بيانات اعتمادك الحقيقية في الخزنة. أعد تنفيذه كل ستة أشهر.
العملاء، والمشاركة، والجوال. نظام Bitwarden البيئي، مُوجَّه نحو خادمك.
ثبّت عميل Bitwarden الرسمي الذي تختاره — إضافة متصفح أو تطبيق سطح مكتب أو iOS أو Android. قبل تسجيل الدخول اضغط على أيقونة الترس في أعلى اليسار وحوّل الخادم من bitwarden.com إلى https://vault.example.com، ثم سجّل الدخول بالحساب الذي أنشأته في الفصل الرابع. العميل لا يستطيع التمييز ويتصرف بشكل متطابق لاشتراك Bitwarden مُدار.
تحمل عملاء الهاتف المحمول خطوة إضافية واحدة: إلغاء القفل بالمقاييس الحيوية يتطلب تسجيل الجهاز، وهو ما يتعامل معه تسجيل الدخول الأول على iOS / Android تلقائياً. الملء التلقائي للمتصفح والملء التلقائي للهاتف وتوليد TOTP ومولّد كلمات المرور والبحث في مراقب الاختراقات (HaveIBeenPwned) وBitwarden Send كلها تعمل دون إعداد إضافي.
المشاركة العائلية. أنشئ منظمة في خزنة الويب ← New Organization ← سمّها (مثل «العائلة»)، الخطة المجانية. داخل المنظمة أنشئ مجموعة («فواتير مشتركة» أو «خدمات بث» أو «WiFi والموجّه»). ادعُ كل فرد من العائلة ببريده الإلكتروني المحلي على الخادم، اقبل الدعوة حين يسجلون، خصّصهم للمجموعة. من تلك اللحظة أي عنصر في المجموعة مشفر من طرف إلى طرف لكل عضو في المجموعة — الخادم يرى نصاً مشفراً فقط.
ما لا يلزمك الدفع مقابله. جميع الميزات المدفوعة في Bitwarden التي هي سياسة خادم (Organizations والمجموعات المشتركة ومكافئ خطة Families و2FA بمفتاح أجهزة ومرفقات ملفات Send) مفتوحة افتراضياً على Vaultwarden لأن الخادم هو البوابة. الميزات المدفوعة التي هي سياسة عميل (بعض بوابات Bitwarden للجوال المتميزة) يحترمها العملاء ما لم تُصحّحهم — لا يستحق ذلك لمستخدم أمين.
أسئلة، أجوبة.
ثماني أسئلة تطرح نفسها قبل الشهر الأول من تشغيل Vaultwarden المستضاف ذاتياً وأثناءه.
هل Vaultwarden هو نفسه Bitwarden؟
Vaultwarden هو إعادة تنفيذ مستقلة بلغة Rust لخادم Bitwarden، متوافق بالكامل مع كل عميل Bitwarden رسمي — إضافة المتصفح، تطبيق سطح المكتب، iOS، Android، CLI. ليس من إنتاج Bitwarden Inc. البروتوكول وصيغة الخزينة متطابقان؛ ملف الخادم التنفيذي بحجم حوالي 1/100 من حجم الأصل ويعمل براحة في 50–100 ميغابايت من RAM.
لماذا أستضيف Vaultwarden ذاتياً بدلاً من الدفع مقابل Bitwarden المستضاف؟
ثلاثة أسباب. أولاً: لا أحد آخر يحتفظ بخزينتك المشفّرة — حتى وإن كان Bitwarden لا يستطيع قراءتها هو الآخر، فإن إزالة الطرف الثالث هي نموذج التهديد الأنظف. ثانياً: التكلفة — VPS بـ 5 دولارات شهرياً يخدم عائلة من خمسة أفراد مع متّسع لباقي حزمتك المستضافة ذاتياً. ثالثاً: لا تتبّع، ولا نقاط تحليلات، ولا بريد تحقق من الحساب مرتبط باسم.
هل استضافة خزنة كلمات مرور ذاتياً آمنة فعلاً؟
نعم — يستخدم Vaultwarden نفس التشفير من جانب العميل الذي يستخدمه Bitwarden. تُشفَّر الخزينة بـ AES-256 على العميل قبل إرسالها إلى الخادم؛ لا يرى الخادم أبداً كلمة مرورك الرئيسية أو أي نص واضح. اختراق الـ VPS يكشف كتلة بيانات مشفّرة قوّتها بقدر قوة كلمة مرورك الرئيسية فقط. المخاطر التشغيلية تقع عليك (النسخ الاحتياطية، HTTPS، تحصين الخادم)، لكن المخاطر التشفيرية مطابقة لـ Bitwarden المُدار.
ما حجم VPS الذي أحتاجه؟
قليل جداً. Vaultwarden ذاته يكتفي بـ 1 vCPU و512 ميغابايت من RAM. الحد الأدنى من VPS NordBastion (2 vCPU، 4 GB، 5.90 دولار/شهرياً) أكثر من كافٍ لتشغيل Vaultwarden، والوكيل العكسي، وثلاث خدمات أخرى مستضافة ذاتياً على نفس الجهاز. استخدام القرص ضئيل — خزينة بـ 50 حساباً مع المرفقات تبقى تحت 200 ميغابايت.
لماذا يهمّ مدير كلمات المرور أن يكون المزوّد بدون KYC ومدفوعاً بالعملات المشفرة؟
خزنة كلمات المرور هي الهدف الأعلى قيمة الذي يمتلكه الشخص الخاص — تحتوي على بيانات اعتماد كل حساب آخر. استئجار الخادم باسمك القانوني ببطاقة مرتبطة بهويتك الحقيقية يعني أن اختراق قاعدة بيانات الفوترة للمضيف يربط هويتك بعنوان IP الخزنة. يُزيل المضيف الذي لا يشترط KYC والمدفوع بعملة مشفرة هذا الرابط بتصميم. الخزنة نفسها لا تزال مشفرة من جانب العميل؛ وضعية no-KYC تحمي طبقة البيانات الوصفية.
هل أحتاج فعلاً إلى HTTPS للخزنة الإلكترونية على Vaultwarden؟
نعم، بصرامة. يرفض Vaultwarden تقديم الخزينة عبر الويب على HTTP العادي من أي عنوان غير localhost، وكل عميل رسمي يرفض كذلك التحدث إلى خادم بدون HTTPS. إعداد الوكيل العكسي + Let's Encrypt في هذا الدليل ليس خيارياً. الخبر الجيد: خطوة TLS بأكملها تستغرق نحو ثلاث دقائق بمجرّد انتشار سجل DNS A الخاص بك.
ما هو الخطأ الأكبر الذي يقع فيه الناس عند استضافة Vaultwarden ذاتياً؟
عدم اختبار الاسترداد من النسخة الاحتياطية. ملف tar.gz ليلي لـ/vw-data/ ليس نسخة احتياطية حتى تفكّه على VPS جديد وتسجّل الدخول بنجاح إلى الخزنة الإلكترونية المسترعدة. خطّط لحالة الفشل: الخادم ذهب والقرص مُمسح والأثر الوحيد الذي تملكه هو ملف النسخة الاحتياطية من أمس — هل تستطيع الدخول مرة أخرى إلى خزنتك؟ أجرِ ذلك التدريب مرة واحدة قبل وضع بيانات اعتماد حقيقية في الخزنة.
هل يمكنني مشاركة خزنتي مع عائلتي من Vaultwarden المستضاف ذاتياً؟
نعم. يعيد Vaultwarden تنفيذ ميزة Organizations الخاصة بـ Bitwarden — بما فيها المجموعات المشتركة، والصلاحيات الدقيقة، ومكافئ خطة Bitwarden Families — دون أي مستوى مدفوع. تنشئ منظمة في خزينة الويب، تدعو عائلتك بالبريد (أو بمشاركة رابط الدعوة مباشرة)، ومن هناك تجربة المشاركة مطابقة تماماً لمنتج Bitwarden الرسمي.
استأجر VPS خالياً من KYC، ادفع بالعملة المشفرة، وشغّل Vaultwarden اليوم.
فئة Ravelin للدخول (2 vCPU، 4 GB RAM، 80 GB SSD، 5.90 دولار/شهر) مُبالغ في حجمها بشكل مريح لـVaultwarden وتترك مساحة لبقية منظومتك المستضافة ذاتياً على نفس الجهاز.
آخر مراجعة · 2026-05-20 · المصادر · وثائق Vaultwarden الأصلية، ومصفوفة توافق عملاء Bitwarden، وLet's Encrypt ACME · الدورية · سنوياً
Anonymous VPS hosting in 2026 — the cluster.
This guide is one spoke of a larger series. The pillar walks the three privacy layers end to end — the sibling spokes below dive into the specifics.
Three independent layers — signup, payment, network — explained, legal context included, common mistakes flagged.
Files, calendar, contacts, photos — owned, not rented.
Postfix, Dovecot, SPF/DKIM/DMARC — deliverability included.
A meta search engine that does not log you — because you own it.
What “no KYC” actually means — and what it does not.