NordBastion polar-bear mascot एक Nordic stone vault chamber में cyan N-shield पकड़े हुए, translucent cyan holographic password-vault cards से घिरा हुआ जिनमें padlocks और key icons हैं, दीवारों पर हल्के से glowing runic carvings

How-to · 30 मिनट hands-on·2026 में अपडेट

VPS पर Vaultwarden self-host करें।
आपका अपना Bitwarden-compatible vault, 30 मिनट में।

Vaultwarden lightweight, Rust-based, Bitwarden-compatible password server है। पाँच Docker commands, एक HTTPS reverse proxy, एक backup cron — और आपके हर account का credential vault उस metal पर रहता है जिसे आप किराए पर लेते हैं, उस infrastructure पर नहीं जिस पर आप भरोसा करते हैं।

संक्षेप में

01
Vaultwarden wire और vault level पर Bitwarden-compatible है — हर official client बस काम करता है। 50–100 MB RAM में चलता है; कोई भी VPS इसे handle करता है।
02
Vault client-side AES-256 encrypted है। Server कभी आपका master password नहीं देखता। VPS को compromise करने से credentials नहीं, एक encrypted blob मिलता है।
03
गैर-obvious step metadata layer है — KYC-linked card से host के लिए भुगतान करना आपकी real identity को आपके vault के IP से जोड़ता है। एक no-KYC, crypto-paid host उस link को हटा देता है।

अध्याय 1

Vaultwarden क्या है, और क्या नहीं।

Vaultwarden — पूर्व में bitwarden_rs — Rust में Bitwarden API का एक independent server-side reimplementation है। यह official Bitwarden server जैसा ही wire protocol बोलता है, vaults को उसी encrypted format में store करता है और हर official client को unchanged accept करता है। Bitwarden browser extension या iOS app के लिए, Vaultwarden server bitwarden.com से अप्रभेद्य है।

interesting अंतर operational हैं। official Bitwarden server enterprise deployment के लिए designed एक multi-container .NET stack है; published self-host image comfortable होने के लिए 2 GB RAM और SQL Server licence की उम्मीद करता है। Vaultwarden एक single 15 MB Rust binary है जो default रूप से SQLite उपयोग करती है, 50 MB RAM में खुशी से चलती है और एक second से कम में cold start होती है। पूरा project बिना dependencies के एक single Docker container में fit होता है।

आपको पूरी Bitwarden feature surface मिलती है — password vault, secure notes, identity records, payment cards, file attachments, send (one-time encrypted shares), TOTP authenticator, shared collections के साथ Organizations, hardware key 2FA, browser autofill, mobile biometric unlock — बिना किसी paid tier gates के। Families plan equivalent और Enterprise SSO equivalent दोनों self-hosted Vaultwarden पर free हैं।

Vaultwarden क्या नहीं है: एक formally-audited server। cryptographic primitives Bitwarden clients से inherited हैं (जिनका independently audit किया गया है), लेकिन Vaultwarden server स्वयं third-party security audit से नहीं गुजरा है। personal या small-team vault के लिए यह पूरी तरह उचित trade-off है; एक regulated enterprise के लिए नहीं है।

अध्याय 2

VPS चुनना — क्यों आप जिस host से किराए पर लेते हैं वह spec से अधिक मायने रखता है।

Vaultwarden essentially किसी भी Linux VPS पर चलता है — resource floor इतना कम है कि spec sheet optimize करने का गलत axis है। सही axis वह है जो आपको box किराए पर लेने के लिए देना होगा।

password vault वह एकमात्र highest-value लक्ष्य है जो एक निजी व्यक्ति के पास होता है। इसे compromise करने से मालिक के पास मौजूद हर दूसरे account तक पहुँच मिलती है। cryptographic posture vault की सामग्री की रक्षा करता है; यह vault के आसपास के metadata की रक्षा नहीं करता — IP किसने किराए पर लिया, कहाँ से, किस card से भुगतान किया, किस नाम से registered।

जब आप full KYC के साथ mainstream provider से VPS किराए पर लेते हैं, billing database आपके कानूनी नाम को server के IPv4 से जोड़ता है। यदि host breached है, या subpoenaed है, या simply anonymised data को marketing-analytics partner को बेचता है, तो link बना रहता है। vault encrypted रहता है, लेकिन metadata layer design द्वारा leaky है।

NordBastion इसके विपरीत है — साइनअप के लिए केवल ईमेल और पासवर्ड, Bitcoin, Monero, Lightning या अन्य क्रिप्टो में भुगतान, और डेटा सेंटर के लिए चार नॉर्डिक संवैधानिक प्रेस-स्वतंत्रता व्यवस्थाएँ। वॉल्ट आपका है; वॉल्ट से आपकी पहचान तक का मेटाडेटा निशान पहले से ही मौजूद नहीं है। Vaultwarden होस्ट के लिए, प्रवेश-स्तरीय <a href="/hi/vps/" class="text-nord-cyan border-b border-nord-cyan/40 hover:border-nord-cyan transition">Ravelin VPS $5.90/माह पर</a> आरामदायक रूप से ओवरसाइज़्ड है — 2 vCPU, 4 GB RAM और 80 GB SSD एक ही बॉक्स पर Vaultwarden, रिवर्स प्रॉक्सी और तीन अन्य स्व-होस्टेड ऐप्स चला सकते हैं।

अध्याय 3

Docker install। पाँच commands, दस मिनट।

एक fresh Debian 12 VPS spin up करें, non-root sudo user के रूप में SSH करें, फिर ये पाँच blocks चलाएँ। vault.example.com को अपने subdomain से बदलें — यह वह URL होगा जिससे आप web vault तक पहुँचेंगे।

1. Docker इंस्टॉल करें। curl -fsSL https://get.docker.com | sh && sudo usermod -aG docker $USER — group membership effective होने के लिए log out और वापस in करें।

2. data directory बनाएँ। mkdir -p ~/vw-data — Vaultwarden की पूरी state (SQLite vault DB, attachments, icon cache) एक directory में रहती है; इसी कारण इसका backup लेना सीधा है।

3. admin token generate करें। docker run --rm vaultwarden/server /vaultwarden hash --preset owasp — prompt होने पर अपना chosen admin password paste करें, resulting Argon2 hash capture करें। यह /admin panel की रक्षा करता है।

4. container शुरू करें। docker run -d --name vaultwarden --restart unless-stopped -e DOMAIN="https://vault.example.com" -e ADMIN_TOKEN='<paste-hash-from-step-3>' -e SIGNUPS_ALLOWED=false -e WEBSOCKET_ENABLED=true -v ~/vw-data:/data -p [redacted-ip]:80 vaultwarden/server:latest — ध्यान दें -p [redacted-ip] binding Vaultwarden को host पर private रखती है; chapter 4 का reverse proxy इसे front करता है।

5. सत्यापित करें। curl -s http://127.0.0.1:8080/alive एक टाइमस्टैम्प लौटाना चाहिए। यदि लौटाता है, तो Vaultwarden चालू है। यदि नहीं, तो docker logs vaultwarden दिखाता है कि क्या गलत हुआ — लगभग हमेशा ADMIN_TOKEN पर्यावरण चर में एक टंकण त्रुटि।

Step 4 में SIGNUPS_ALLOWED=false सबसे अधिक भुला दी गई setting है। इसे true छोड़ें और आपका vault किसी भी ऐसे व्यक्ति के लिए खुला है जो URL खोज कर register करे। इसे केवल उतने समय के लिए true करें जितना अपना account बनाने में लगे, फिर false करें और restart करें।

अध्याय 4

HTTPS और admin panel। अनिवार्य, लेकिन पाँच मिनट।

Vaultwarden non-localhost address से plain HTTP पर web vault serve करने से इनकार करता है; हर official client भी non-HTTPS server से बात करने से इनकार करता है। reverse-proxy + Let's Encrypt step बाकी setup का gate है। Caddy सबसे light path है — एक binary, automatic ACME, schedule करने के लिए कोई अलग certbot नहीं।

vault.example.com के लिए अपना DNS A record VPS IP पर point करें और propagation का इंतजार करें (अधिकांश providers पर fresh records के लिए लगभग दो मिनट)। sudo apt install -y debian-keyring debian-archive-keyring apt-transport-https && curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable/gpg.key' | sudo gpg --dearmor -o /usr/share/keyrings/caddy-stable-archive-keyring.gpg && echo "deb [signed-by=/usr/share/keyrings/caddy-stable-archive-keyring.gpg] https://dl.cloudsmith.io/public/caddy/stable/deb/debian any-version main" | sudo tee /etc/apt/sources.list.d/caddy-stable.list && sudo apt update && sudo apt install caddy।

/etc/caddy/Caddyfile लिखें: vault.example.com { reverse_proxy [redacted-ip] header_up X-Real-IP {remote_host} } — यही पूरा config है। sudo systemctl reload caddy और दस seconds के भीतर Caddy ने Let's Encrypt certificate fetch कर ली है और vault https://vault.example.com पर reachable है।

/admin panel। Vaultwarden /admin पर एक administrative UI expose करता है, chapter 3 में generate किए Argon2 hash से protected। वहाँ से आप signups disable कर सकते हैं (step 4 में पहले ही हो गया), invitation और password-reset emails के लिए SMTP server सेट करें, Yubikey या Duo 2FA configure करें, per-user limits सेट करें और user list inspect करें। इसे एक बार खोलें, हर section से गुजरें, settings save करें — वे तब से /vw-data/config.json में रहते हैं।

एक छोटा hardening विवरण: /admin को पूरी तरह public internet से bind off करें। Caddyfile में जोड़ें: vault.example.com { @admin path /admin* @admin not remote_ip [redacted-ip]/8 [redacted-ip]/16 your.home.ip/32 respond @admin 404 ... } — जो आपके home IP पर नहीं है उसे /admin probe करने पर 404 मिलता है, panel खुले internet से अदृश्य है।

अध्याय 5

Backups। वह एक गलती जो आपको बर्बाद कर देती है।

एक password vault जिससे आप restore नहीं कर सकते वह password vault है जो आप पहले ही खो चुके हैं। Vaultwarden की backup कहानी दयालुतापूर्वक सरल है — जो मायने रखता है वह सब एक directory में रहता है — लेकिन restore-testing के आसपास अनुशासन ही एक working सेटअप को एक भविष्य की घटना से अलग करता है।

क्या backup करें। पूरा ~/vw-data/ tree। इसके अंदर: db.sqlite3 encrypted vault है, attachments/ file attachments रखता है, config.json /admin settings रखता है, sends/ temporary encrypted shares रखता है, rsa_key.* sessions द्वारा उपयोग की जाने वाली JWT signing keys हैं।

backup कैसे लें। SQLite अपने .backup command के माध्यम से concurrent backup handle करता है — nightly cron schedule करें: 0 4 * * * docker exec vaultwarden sqlite3 /data/db.sqlite3 ".backup /data/db.sqlite3.bak" && tar czf /backups/vw-$(date -I).tgz -C /home/<user>/vw-data . — एक 50-account vault sub-1 MB tarball produce करता है।

Backups कहाँ भेजें। कहीं भी जो उसी VPS पर न हो। S3-compatible bucket पर rclone, एक second VPS, WireGuard पर आपका home NAS, या एक encrypted USB key जिसे आप तिमाही में एक बार किसी परिवार के सदस्य को mail करते हैं — वह चुनें जो आपके threat model के अनुकूल हो। मौलिक नियम primary से geographical और administrative separation है।

Restore drill। एक second VPS spin up करें, उस पर कल का backup copy करें, ~/vw-data में unpack करें, chapter 3 का docker block उस पर point करके चलाएँ, temp subdomain पर web vault खोलें, अपने master password से login करें। यदि आपका account खुलता है और vault decrypt होता है, तो backup real है। यह drill अभी एक बार चलाएँ, vault में अपने real credentials डालने से पहले। हर छह महीने में फिर से चलाएँ।

अध्याय 6

Clients, sharing, mobile। Bitwarden ecosystem, आपके server पर निर्देशित।

अपनी पसंद का official Bitwarden client इंस्टॉल करें — browser extension, desktop app, iOS, Android। Login करने से पहले, ऊपर बाईं ओर gear icon पर tap करें, server को bitwarden.com से https://vault.example.com पर switch करें, फिर chapter 4 में बनाए account से login करें। client अंतर नहीं बता सकता और managed Bitwarden subscription की तरह ही व्यवहार करता है।

Mobile clients में एक extra step है: biometric unlock के लिए device को enrolled होना चाहिए, जिसे iOS / Android पर पहला login automatically handle करता है। Browser autofill, mobile autofill, TOTP generation, password generator, breach-monitor lookup (HaveIBeenPwned) और Bitwarden Send सभी बिना आगे configuration के काम करते हैं।

Family sharing। Web vault में Organization बनाएँ → New Organization → इसका नाम रखें (जैसे "Family"), free plan। org के अंदर, एक Collection बनाएँ ("Shared bills", "Streaming services", "WiFi & router")। प्रत्येक परिवार के सदस्य को उनके server-local email द्वारा आमंत्रित करें, जब वे sign up करें तो invitation स्वीकार करें, उन्हें collection में assign करें। उस क्षण से collection में कोई भी item collection के हर सदस्य को end-to-end encrypted है — server केवल ciphertext देखता है।

आपको किसके लिए भुगतान नहीं करना है। सभी Bitwarden paid features जो server-policy हैं (Organizations, shared collections, Families plan equivalent, hardware-key 2FA, Send file attachments) Vaultwarden पर default रूप से unlock हैं क्योंकि server ही gate है। Paid features जो client-policy हैं (कुछ Bitwarden mobile premium gates) clients द्वारा honor किए जाते हैं जब तक आप उन्हें patch नहीं करते — एक ईमानदार user के लिए करने लायक नहीं।

अक्सर पूछे जाने वाले प्रश्न · Vaultwarden स्वयं-होस्ट करें

प्रश्न, उत्तरित।

आठ प्रश्न जो self-hosted Vaultwarden चलाने के पहले महीने में और उसके दौरान उठते हैं।

क्या Vaultwarden Bitwarden जैसा ही है?

Vaultwarden Bitwarden server का एक independent, Rust-based reimplementation है, हर official Bitwarden client के साथ पूरी तरह compatible — browser extension, desktop app, iOS, Android, CLI। यह Bitwarden Inc. द्वारा produced नहीं है। wire protocol और vault format समान हैं; server binary लगभग 1/100वें आकार की है और 50–100 MB RAM में आराम से चलती है।

Bitwarden hosted के लिए भुगतान करने के बजाय Vaultwarden self-host क्यों करें?

तीन कारण। एक: कोई और आपका encrypted vault नहीं रखता — भले ही Bitwarden भी इसे पढ़ नहीं सकता, third party को हटाना सबसे clean threat model है। दो: cost — $5/माह का VPS पाँच के परिवार को आपके बाकी self-hosted stack के लिए जगह के साथ handle करता है। तीन: कोई telemetry नहीं, कोई analytics endpoints नहीं, कोई account verification email किसी नाम से नहीं।

क्या password vault को self-host करना वास्तव में safe है?

हाँ — Vaultwarden Bitwarden जैसा ही client-side encryption उपयोग करता है। vault को server पर भेजे जाने से पहले client पर AES-256 से encrypt किया जाता है; server कभी आपका master password या कोई plaintext नहीं देखता। VPS का compromise एक encrypted blob देता है जो केवल उतना ही weak है जितना आपका master password। operational risk आप पर है (backups, HTTPS, server hardening), लेकिन cryptographic risk managed Bitwarden के समान है।

मुझे कितना VPS चाहिए?

बहुत कम। Vaultwarden स्वयं 1 vCPU और 512 MB RAM पर खुश है। minimum NordBastion VPS (2 vCPU, 4 GB, $5.90/माह) उसी box पर Vaultwarden, reverse proxy, और तीन अन्य self-hosted services चलाने के लिए पर्याप्त से अधिक है। Disk usage negligible है — attachments के साथ 50-account vault 200 MB से कम रहता है।

KYC-free, crypto-paid host password manager के लिए क्यों मायने रखता है?

password vault वह highest-value लक्ष्य है जो एक निजी व्यक्ति के पास होता है — इसमें हर दूसरे account का credential होता है। अपने कानूनी नाम के तहत अपनी real identity से linked card के साथ server किराए पर लेने का अर्थ है host के billing database की compromise आपकी identity को आपके vault के IP से जोड़ती है। एक no-KYC, crypto-paid host उस link को design द्वारा हटा देता है। vault स्वयं अभी भी client-side encrypted है; no-KYC posture metadata layer की रक्षा करता है।

क्या मुझे Vaultwarden web vault के लिए सच में HTTPS चाहिए?

हाँ, पूरी तरह। Vaultwarden localhost के अलावा किसी भी address से plain HTTP पर web vault serve करने से इनकार करता है, और हर official client भी non-HTTPS server से बात करने से इनकार करता है। इस guide में reverse proxy + Let's Encrypt setup अनिवार्य है। अच्छी खबर: पूरा TLS step DNS A record के propagate होने के बाद लगभग तीन मिनट लेता है।

Vaultwarden self-hosting करने में लोगों की सबसे बड़ी एकल गलती क्या है?

Backup से restore को test न करना। /vw-data/ का nightly tar.gz backup नहीं है जब तक आपने इसे fresh VPS पर unpack नहीं किया और recovered web vault में successfully login नहीं किया। failure case के लिए plan करें: server चला गया है, disk wipe हो गई है, आपके पास केवल कल का backup file है — क्या आप अपने vault में वापस जा सकते हैं? vault में real credentials डालने से पहले वह drill एक बार चलाएँ।

क्या मैं self-hosted Vaultwarden से अपने परिवार के साथ अपना vault share कर सकता हूँ?

हाँ। Vaultwarden Bitwarden की Organizations feature को re-implement करता है — shared collections, granular permissions और Bitwarden Families plan के equivalent सहित — बिना किसी paid tier के। आप web vault में एक organisation बनाते हैं, अपने परिवार को email द्वारा आमंत्रित करते हैं (या invite link directly share करके), और वहाँ से sharing UX official Bitwarden product के समान है।

metal प्राप्त करें

KYC-free VPS किराए पर लें, crypto में भुगतान करें, आज Vaultwarden चलाएँ।

Ravelin entry tier (2 vCPU, 4 GB RAM, 80 GB SSD, $5.90/माह) Vaultwarden के लिए आराम से oversized है और उसी box पर आपके बाकी self-hosted stack के लिए जगह छोड़ता है।

पढ़ें: पहले घंटे की hardening Monero से भुगतान करें VPS catalogue देखें

अंतिम review · 2026-05-20 · स्रोत · Vaultwarden के अपस्ट्रीम दस्तावेज़, Bitwarden क्लाइंट संगतता मैट्रिक्स, Let's Encrypt ACME · आवृत्ति · वार्षिक

Part of the series

Anonymous VPS hosting in 2026 — the cluster.

This guide is one spoke of a larger series. The pillar walks the three privacy layers end to end — the sibling spokes below dive into the specifics.

Pillar guide

Read the pillar · Anonymous VPS hosting in 2026

Three independent layers — signup, payment, network — explained, legal context included, common mistakes flagged.

Open the pillar

Self-host · productivity

Self-host Nextcloud on a VPS

Files, calendar, contacts, photos — owned, not rented.

Continue →

Self-host · productivity

Self-host a mail server on a VPS

Postfix, Dovecot, SPF/DKIM/DMARC — deliverability included.

Continue →

Self-host · productivity

Self-host SearXNG on a VPS

A meta search engine that does not log you — because you own it.

Continue →

Fundamentals

No-KYC VPS, explained

What “no KYC” actually means — and what it does not.

Continue →

VPS पर Vaultwarden self-host करें।आपका अपना Bitwarden-compatible vault, 30 मिनट में।

प्रश्न, उत्तरित।

KYC-free VPS किराए पर लें, crypto में भुगतान करें, आज Vaultwarden चलाएँ।

VPS पर Vaultwarden self-host करें।
आपका अपना Bitwarden-compatible vault, 30 मिनट में।