Self-host Vaultwarden di VPS.
Vault Bitwarden-kompatibel milik Anda sendiri, dalam 30 menit.
Vaultwarden adalah server kata sandi yang ringan berbasis Rust dan kompatibel Bitwarden. Lima perintah Docker, satu reverse proxy HTTPS, satu cron backup — dan vault kredensial setiap akun yang Anda miliki berada di metal yang Anda sewa, bukan infrastruktur yang Anda percaya.
- 01
Vaultwarden kompatibel dengan Bitwarden di tingkat wire dan vault — setiap klien resmi langsung berfungsi. Berjalan dalam 50–100 MB RAM; VPS mana pun dapat menanganinya.
- 02
Vault dienkripsi AES-256 di sisi klien. Server tidak pernah melihat kata sandi master Anda. Mengompromikan VPS menghasilkan blob terenkripsi, bukan kredensial.
- 03
Langkah yang tidak jelas adalah lapisan metadata — membayar host dengan kartu berkaitan KYC mengikat identitas nyata Anda ke IP vault Anda. Host tanpa KYC berbayar kripto menghapus tautan itu.
Apa yang dimaksud Vaultwarden, dan apa yang bukan.
Vaultwarden — dulunya bitwarden_rs — adalah reimplementasi sisi server independen dari Bitwarden API dalam Rust. Berbicara protokol wire yang sama dengan server Bitwarden resmi, menyimpan vault dalam format terenkripsi yang sama, dan menerima setiap klien resmi tanpa perubahan. Bagi ekstensi browser atau aplikasi iOS Bitwarden, server Vaultwarden tidak dapat dibedakan dari bitwarden.com.
Perbedaan yang menarik adalah operasional. Server Bitwarden resmi adalah tumpukan .NET multi-container yang dirancang untuk deployment enterprise; image self-host yang dipublikasikan mengharapkan 2 GB RAM dan lisensi SQL Server untuk nyaman. Vaultwarden adalah satu binary Rust 15 MB yang menggunakan SQLite secara default, berjalan dengan senang di 50 MB RAM, dan dingin dalam waktu kurang dari satu detik. Seluruh proyek muat dalam satu container Docker tanpa dependensi.
Yang Anda dapatkan adalah seluruh permukaan fitur Bitwarden — vault kata sandi, catatan aman, rekaman identitas, kartu pembayaran, lampiran file, send (berbagi terenkripsi sekali pakai), autentikator TOTP, Organisations dengan koleksi bersama, 2FA kunci hardware, isi otomatis browser, kunci biometrik seluler — tanpa gerbang tier berbayar apa pun. Setara paket Families dan setara Enterprise SSO keduanya gratis di Vaultwarden yang dihosting sendiri.
Apa yang bukan Vaultwarden: server yang secara formal diaudit. Primitif kriptografis diwarisi dari klien Bitwarden (yang telah diaudit secara independen), tetapi server Vaultwarden sendiri belum melalui audit keamanan pihak ketiga. Untuk vault pribadi atau tim kecil itu adalah pertukaran yang sangat wajar; untuk enterprise yang diatur, tidak.
Memilih VPS — mengapa host yang Anda sewa lebih penting dari spesifikasi.
Vaultwarden berjalan pada hampir semua VPS Linux — lantai sumber daya sangat rendah sehingga lembar spesifikasi adalah sumbu yang salah untuk dioptimalkan. Sumbu yang tepat adalah apa yang harus Anda serahkan untuk menyewa kotak tersebut.
Vault kata sandi adalah target dengan nilai tunggal tertinggi yang dimiliki seseorang. Mengompromikannya memberikan akses ke setiap akun lain yang dimiliki pemilik. Postur kriptografis melindungi isi vault; tidak melindungi metadata di sekitar vault — siapa yang menyewa IP, dari mana, dibayar dengan kartu apa, didaftarkan dengan nama siapa.
Ketika Anda menyewa VPS dari penyedia mainstream dengan KYC penuh, database penagihan menghubungkan nama hukum Anda ke IPv4 server. Jika host dilanggar, atau mendapat surat perintah, atau hanya menjual data yang dianonimkan ke mitra analitik-pemasaran, tautan tersebut bertahan. Vault tetap terenkripsi, tetapi lapisan metadata bocor secara desain.
NordBastion adalah kebalikannya — email ditambah kata sandi sebagai satu-satunya syarat pendaftaran, pembayaran dalam Bitcoin, Monero, Lightning, atau kripto lainnya, empat rezim kebebasan pers konstitusional Nordik untuk pusat data. Brankas adalah milik Anda; jejak metadata yang menghubungkan brankas ke identitas Anda memang tidak ada sejak awal. Untuk host Vaultwarden, <a href="/id/vps/" class="text-nord-cyan border-b border-nord-cyan/40 hover:border-nord-cyan transition">Ravelin VPS seharga $5,90/bulan</a> di tingkat pemula sudah lebih dari cukup — 2 vCPU, 4 GB RAM, dan 80 GB SSD dapat menjalankan Vaultwarden, reverse proxy, dan tiga aplikasi self-hosted lainnya di server yang sama.
Instalasi Docker. Lima perintah, sepuluh menit.
Jalankan VPS Debian 12 baru, SSH masuk sebagai pengguna sudo non-root, lalu jalankan lima blok ini. Ganti vault.example.com dengan subdomain Anda sendiri di seluruh — itulah URL yang akan Anda gunakan untuk mencapai vault web.
1. Instal Docker. curl -fsSL https://get.docker.com | sh && sudo usermod -aG docker $USER — keluar dan masuk kembali agar keanggotaan grup berlaku.
2. Buat direktori data. mkdir -p ~/vw-data — seluruh status Vaultwarden (DB vault SQLite, lampiran, cache ikon) berada dalam satu direktori; mencadangkannya mudah karena ini.
3. Hasilkan token admin. docker run --rm vaultwarden/server /vaultwarden hash --preset owasp — tempelkan kata sandi admin pilihan Anda saat diminta, tangkap hash Argon2 yang dihasilkan. Ini melindungi panel /admin.
4. Jalankan container. docker run -d --name vaultwarden --restart unless-stopped -e DOMAIN="https://vault.example.com" -e ADMIN_TOKEN='<paste-hash-from-step-3>' -e SIGNUPS_ALLOWED=false -e WEBSOCKET_ENABLED=true -v ~/vw-data:/data -p [redacted-ip]:80 vaultwarden/server:latest — perhatikan binding -p [redacted-ip] menjaga Vaultwarden privat ke host; reverse proxy di bab 4 memfrontingnya.
5. Verifikasi. curl -s http://[redacted-ip]/alive harus mengembalikan timestamp. Jika ya, Vaultwarden aktif. Jika tidak, docker logs vaultwarden menunjukkan apa yang salah — hampir selalu kesalahan ketik dalam variabel lingkungan ADMIN_TOKEN.
SIGNUPS_ALLOWED=false di langkah 4 adalah pengaturan yang paling sering terlupakan. Biarkan true dan vault Anda terbuka bagi siapa pun yang menemukan URL untuk mendaftar. Aktifkan true hanya cukup lama untuk membuat akun Anda sendiri, lalu nonaktifkan dan restart.
HTTPS dan panel admin. Tidak opsional, tetapi lima menit.
Vaultwarden menolak melayani vault web melalui HTTP biasa dari alamat non-localhost; setiap klien resmi juga menolak berbicara ke server non-HTTPS. Langkah reverse-proxy + Let's Encrypt adalah gerbang ke sisa pengaturan. Caddy adalah jalur paling ringan — satu binary, ACME otomatis, tanpa certbot terpisah untuk dijadwalkan.
Arahkan rekaman DNS A untuk vault.example.com ke IP VPS dan tunggu propagasi (sekitar dua menit untuk rekaman baru pada kebanyakan penyedia). sudo apt install -y debian-keyring debian-archive-keyring apt-transport-https && curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable/gpg.key' | sudo gpg --dearmor -o /usr/share/keyrings/caddy-stable-archive-keyring.gpg && echo "deb [signed-by=/usr/share/keyrings/caddy-stable-archive-keyring.gpg] https://dl.cloudsmith.io/public/caddy/stable/deb/debian any-version main" | sudo tee /etc/apt/sources.list.d/caddy-stable.list && sudo apt update && sudo apt install caddy.
Tulis /etc/caddy/Caddyfile: vault.example.com { reverse_proxy [redacted-ip] header_up X-Real-IP {remote_host} } — itulah seluruh konfigurasinya. sudo systemctl reload caddy dan dalam sepuluh detik Caddy telah mengambil sertifikat Let's Encrypt dan vault dapat dijangkau di https://vault.example.com.
Panel /admin. Vaultwarden mengekspos UI administratif di /admin, dilindungi oleh hash Argon2 yang Anda buat di bab 3. Dari sana Anda dapat menonaktifkan pendaftaran (sudah dilakukan di langkah 4), mengatur server SMTP untuk email undangan dan reset kata sandi, mengonfigurasi Yubikey atau Duo 2FA, menetapkan batas per-pengguna, dan memeriksa daftar pengguna. Buka sekali, telusuri setiap bagian, simpan pengaturan — mereka berada di /vw-data/config.json sejak saat itu.
Detail pengerasan kecil: ikat /admin sepenuhnya dari internet publik. Tambahkan ke Caddyfile: vault.example.com { @admin path /admin* @admin not remote_ip [redacted-ip]/8 [redacted-ip]/16 your.home.ip/32 respond @admin 404 ... } — siapa pun yang bukan dari IP rumah Anda mendapatkan 404 saat mereka menyelidik /admin, panel tidak terlihat dari internet terbuka.
Backup. Satu kesalahan yang mematikan Anda.
Vault kata sandi yang tidak bisa Anda pulihkan adalah vault kata sandi yang sudah Anda kehilangan. Cerita backup untuk Vaultwarden sangat sederhana — semua yang penting berada dalam satu direktori — tetapi disiplin seputar pengujian pemulihan adalah yang memisahkan pengaturan yang berfungsi dari insiden di masa depan.
Yang harus dicadangkan. Seluruh tree ~/vw-data/. Di dalamnya: db.sqlite3 adalah vault terenkripsi, attachments/ menyimpan lampiran file, config.json menyimpan pengaturan /admin, sends/ menyimpan berbagi terenkripsi sementara, rsa_key.* adalah kunci penandatanganan JWT yang digunakan oleh sesi.
Cara melakukan backup. SQLite menangani backup bersamaan melalui perintah .backup-nya — jadwalkan cron malam: 0 4 * * * docker exec vaultwarden sqlite3 /data/db.sqlite3 ".backup /data/db.sqlite3.bak" && tar czf /backups/vw-$(date -I).tgz -C /home/<user>/vw-data . — vault 50 akun menghasilkan tarball di bawah 1 MB.
Ke mana mengirim backup. Di mana pun yang bukan VPS yang sama. rclone ke bucket yang kompatibel S3, VPS kedua, NAS rumah Anda melalui WireGuard, atau kunci USB terenkripsi yang Anda kirimkan ke saudara sekali per kuartal — pilih yang sesuai dengan model ancaman Anda. Aturan fundamentalnya adalah pemisahan geografis dan administratif dari yang utama.
Latihan pemulihan. Jalankan VPS kedua, salin backup kemarin ke sana, unpack ke ~/vw-data, jalankan blok docker dari bab 3 yang mengarah ke sana, buka vault web di subdomain temp, login dengan kata sandi master Anda. Jika akun Anda terbuka dan vault terdekripsi, backup itu nyata. Jalankan latihan ini sekali sekarang, sebelum Anda menaruh kredensial nyata ke dalam vault. Ulangi setiap enam bulan.
Klien, berbagi, seluler. Ekosistem Bitwarden, diarahkan ke server Anda.
Instal klien Bitwarden resmi pilihan Anda — ekstensi browser, aplikasi desktop, iOS, Android. Sebelum login, ketuk ikon roda gigi di kiri atas, alihkan server dari bitwarden.com ke https://vault.example.com, lalu login dengan akun yang Anda buat di bab 4. Klien tidak dapat membedakan dan berperilaku identik dengan langganan Bitwarden yang dikelola.
Klien seluler membawa satu langkah ekstra: kunci biometrik memerlukan perangkat untuk terdaftar, yang ditangani secara otomatis oleh login pertama di iOS / Android. Isi otomatis browser, isi otomatis seluler, pembuatan TOTP, generator kata sandi, pencarian pelanggaran (HaveIBeenPwned), dan Bitwarden Send semuanya berfungsi tanpa konfigurasi lebih lanjut.
Berbagi keluarga. Buat sebuah Organisation di vault web → New Organization → beri nama (mis. "Family"), paket gratis. Di dalam org, buat Collection ("Tagihan bersama", "Layanan streaming", "WiFi & router"). Undang setiap anggota keluarga melalui email lokal server mereka, terima undangan saat mereka mendaftar, tetapkan mereka ke koleksi. Sejak saat itu setiap item dalam koleksi dienkripsi end-to-end ke setiap anggota koleksi — server hanya melihat ciphertext.
Yang tidak perlu Anda bayar. Semua fitur berbayar Bitwarden yang merupakan kebijakan server (Organisations, koleksi bersama, setara paket Families, 2FA kunci hardware, lampiran file Send) sudah dibuka kunci secara default di Vaultwarden karena server adalah pintu gerbangnya. Fitur berbayar yang merupakan kebijakan klien (beberapa gerbang premium seluler Bitwarden) dihormati oleh klien kecuali Anda menambalnya — tidak sepadan untuk pengguna yang jujur.
Pertanyaan, dijawab.
Delapan pertanyaan yang muncul sebelum dan selama bulan pertama menjalankan Vaultwarden yang dihosting sendiri.
Apakah Vaultwarden sama dengan Bitwarden?
Vaultwarden adalah reimplementasi server Bitwarden yang independen berbasis Rust, sepenuhnya kompatibel dengan setiap klien Bitwarden resmi — ekstensi browser, aplikasi desktop, iOS, Android, CLI. Tidak diproduksi oleh Bitwarden Inc. Protokol wire dan format vault sama; binary server kira-kira 1/100 ukurannya dan berjalan dengan nyaman dalam 50–100 MB RAM.
Mengapa self-host Vaultwarden alih-alih membayar Bitwarden yang dihosting?
Tiga alasan. Pertama: tidak ada yang memegang vault terenkripsi Anda — meskipun Bitwarden juga tidak bisa membacanya, menghapus pihak ketiga adalah model ancaman yang paling bersih. Kedua: biaya — VPS $5/bulan menangani keluarga lima orang dengan ruang untuk sisa tumpukan yang dihosting sendiri. Ketiga: tanpa telemetri, tanpa endpoint analitik, tanpa email verifikasi akun yang terikat ke nama.
Apakah self-hosting vault kata sandi benar-benar aman?
Ya — Vaultwarden menggunakan enkripsi sisi klien yang sama dengan Bitwarden. Vault dienkripsi dengan AES-256 pada klien sebelum dikirim ke server; server tidak pernah melihat kata sandi master Anda atau teks biasa apa pun. Kompromi pada VPS menghasilkan blob terenkripsi yang hanya selemah kata sandi master Anda. Risiko operasional ada pada Anda (backup, HTTPS, pengerasan server), tetapi risiko kriptografis identik dengan Bitwarden yang dikelola.
Berapa banyak VPS yang saya butuhkan?
Sangat sedikit. Vaultwarden sendiri nyaman dengan 1 vCPU dan 512 MB RAM. VPS NordBastion minimum (2 vCPU, 4 GB, $5,90/bulan) lebih dari cukup untuk menjalankan Vaultwarden, reverse proxy, dan tiga layanan yang dihosting sendiri lainnya di kotak yang sama. Penggunaan disk dapat diabaikan — vault 50 akun dengan lampiran tetap di bawah 200 MB.
Mengapa host bebas KYC berbayar kripto penting untuk pengelola kata sandi?
Vault kata sandi adalah target dengan nilai tertinggi yang dimiliki seseorang — ini berisi kredensial ke setiap akun lain. Menyewa server atas nama hukum Anda dengan kartu yang terhubung ke identitas nyata berarti kompromi pada database penagihan host menghubungkan identitas Anda ke IP vault Anda. Host tanpa KYC berbayar kripto menghapus tautan itu secara desain. Vault itu sendiri masih dienkripsi di sisi klien; postur no-KYC melindungi lapisan metadata.
Apakah saya benar-benar perlu HTTPS untuk vault web Vaultwarden?
Ya, secara ketat. Vaultwarden menolak melayani vault web melalui HTTP biasa dari alamat apa pun selain localhost, dan setiap klien resmi juga menolak berbicara ke server non-HTTPS. Pengaturan reverse proxy + Let's Encrypt dalam panduan ini tidak opsional. Kabar baiknya: seluruh langkah TLS memakan waktu sekitar tiga menit setelah rekaman DNS A Anda terpropagansi.
Apa kesalahan terbesar yang dilakukan orang saat self-hosting Vaultwarden?
Tidak menguji pemulihan dari backup. tar.gz malam dari /vw-data/ bukan backup sampai Anda telah unpack ke VPS baru dan berhasil login ke vault web yang dipulihkan. Rencanakan untuk kasus kegagalan: server hilang, disk terhapus, satu-satunya artefak yang Anda miliki adalah file backup kemarin — bisakah Anda masuk kembali ke vault? Jalankan latihan itu sekali sebelum Anda menaruh kredensial nyata di vault.
Bisakah saya berbagi vault dengan keluarga dari Vaultwarden yang dihosting sendiri?
Ya. Vaultwarden mengimplementasikan ulang fitur Organisations Bitwarden — termasuk koleksi bersama, izin terperinci, dan setara paket Bitwarden Families — tanpa tier berbayar apa pun. Anda membuat organisasi di vault web, mengundang keluarga Anda melalui email (atau dengan berbagi tautan undangan langsung), dan dari sana UX berbagi identik dengan produk Bitwarden resmi.
Sewa VPS bebas KYC, bayar dengan kripto, jalankan Vaultwarden hari ini.
Tier masuk Ravelin (2 vCPU, 4 GB RAM, 80 GB SSD, $5,90/bulan) memiliki ukuran yang nyaman untuk Vaultwarden dan menyisakan ruang untuk sisa tumpukan yang dihosting sendiri di kotak yang sama.
Terakhir ditinjau · 2026-05-20 · Sumber · Vaultwarden upstream docs, matriks kompatibilitas klien Bitwarden, Let's Encrypt ACME · Kadence · tahunan
Anonymous VPS hosting in 2026 — the cluster.
This guide is one spoke of a larger series. The pillar walks the three privacy layers end to end — the sibling spokes below dive into the specifics.
Three independent layers — signup, payment, network — explained, legal context included, common mistakes flagged.
Files, calendar, contacts, photos — owned, not rented.
Postfix, Dovecot, SPF/DKIM/DMARC — deliverability included.
A meta search engine that does not log you — because you own it.
What “no KYC” actually means — and what it does not.