Auto-hospede o Vaultwarden em um VPS.
Seu próprio vault compatível com Bitwarden, em 30 minutos.
O Vaultwarden é o servidor de senhas leve, baseado em Rust, compatível com Bitwarden. Cinco comandos Docker, um reverse proxy HTTPS, um cron de backup — e o vault de credenciais de cada conta que você possui fica em hardware que você aluga, não em infraestrutura em que você confia.
- 01
O Vaultwarden é compatível com o Bitwarden no nível de protocolo e vault — cada cliente oficial simplesmente funciona. Roda em 50–100 MB de RAM; qualquer VPS suporta.
- 02
O vault é criptografado no lado do cliente com AES-256. O servidor nunca vê sua senha mestre. Comprometer o VPS produz um blob criptografado, não credenciais.
- 03
A etapa não óbvia é a camada de metadados — pagar pelo provedor com um cartão vinculado a KYC liga sua identidade real ao IP do seu vault. Um provedor sem KYC e pago em cripto remove esse vínculo.
O que o Vaultwarden é, e o que não é.
O Vaultwarden — anteriormente bitwarden_rs — é uma reimplementação independente do lado do servidor da API do Bitwarden em Rust. Fala o mesmo protocolo de comunicação que o servidor oficial do Bitwarden, armazena vaults no mesmo formato criptografado e aceita cada cliente oficial sem alterações. Para uma extensão de navegador ou aplicativo iOS do Bitwarden, um servidor Vaultwarden é indistinguível do bitwarden.com.
As diferenças interessantes são operacionais. O servidor oficial do Bitwarden é um stack .NET de múltiplos containers projetado para implantação empresarial; a imagem self-host publicada espera 2 GB de RAM e uma licença SQL Server para ser confortável. O Vaultwarden é um único binário Rust de 15 MB que usa SQLite por padrão, roda felizmente em 50 MB de RAM e inicia a frio em menos de um segundo. O projeto inteiro cabe em um único container Docker sem dependências.
O que você obtém é toda a superfície de recursos do Bitwarden — vault de senhas, notas seguras, registros de identidade, cartões de pagamento, anexos de arquivos, send (compartilhamentos criptografados de uso único), autenticador TOTP, Organizações com coleções compartilhadas, 2FA por chave de hardware, preenchimento automático no navegador, desbloqueio biométrico móvel — sem nenhum dos portões de tier pago. O equivalente do plano Families e o equivalente do SSO Enterprise são ambos gratuitos em um Vaultwarden auto-hospedado.
O que o Vaultwarden não é: um servidor formalmente auditado. Os primitivos criptográficos são herdados dos clientes Bitwarden (que foram auditados de forma independente), mas o servidor Vaultwarden em si não passou por uma auditoria de segurança de terceiros. Para um vault pessoal ou de equipe pequena é uma troca perfeitamente razoável; para uma empresa regulamentada não é.
Escolhendo o VPS — por que o provedor que você aluga importa mais do que a especificação.
O Vaultwarden roda em essencialmente qualquer VPS Linux — o piso de recursos é tão baixo que a folha de especificações é o eixo errado para otimizar. O eixo certo é o que você tem que entregar para alugar a máquina.
Um cofre de senhas é o alvo de maior valor que uma pessoa privada possui. Comprometerá-lo concede acesso a todas as outras contas do proprietário. A postura criptográfica protege o conteúdo do cofre; ela não protege os metadados ao redor do cofre — quem alugou o IP, de onde, pago com qual cartão, registrado em qual nome.
Quando você aluga um VPS de um provedor convencional com KYC completo, o banco de dados de faturamento vincula seu nome legal ao IPv4 do servidor. Se o provedor for comprometido, intimado ou simplesmente vender dados anonimizados para um parceiro de análise de marketing, o vínculo sobrevive. O vault permanece criptografado, mas a camada de metadados vaza por design.
A NordBastion é o oposto — email e password como único requisito de registo, pagamento em Bitcoin, Monero, Lightning ou outra criptomoeda, quatro regimes constitucionais nórdicos de liberdade de imprensa para o centro de dados. O cofre é seu; o rasto de metadados do cofre até à sua identidade simplesmente não existe. Para um anfitrião Vaultwarden, o <a href="/pt/vps/" class="text-nord-cyan border-b border-nord-cyan/40 hover:border-nord-cyan transition">Ravelin VPS a $5.90/mês</a> do plano de entrada está confortavelmente sobredimensionado — 2 vCPU, 4 GB RAM e 80 GB SSD correrão Vaultwarden, o proxy inverso e mais três aplicações auto-alojadas no mesmo servidor.
A instalação Docker. Cinco comandos, dez minutos.
Inicialize um VPS Debian 12 novo, conecte via SSH como usuário sudo não-root, depois execute estes cinco blocos. Substitua vault.example.com pelo seu próprio subdomínio em todo o lugar — essa será a URL pela qual você acessará o web vault.
1. Instale o Docker. curl -fsSL https://get.docker.com | sh && sudo usermod -aG docker $USER — saia e entre novamente para que a associação ao grupo entre em vigor.
2. Crie o diretório de dados. mkdir -p ~/vw-data — todo o estado do Vaultwarden (o banco de dados SQLite do vault, anexos, o cache de ícones) fica em um único diretório; o backup é simples por causa disso.
3. Gere o token de administrador. docker run --rm vaultwarden/server /vaultwarden hash --preset owasp — cole sua senha de admin escolhida quando solicitado, capture o hash Argon2 resultante. Isso protege o painel /admin.
4. Inicie o container. docker run -d --name vaultwarden --restart unless-stopped -e DOMAIN="https://vault.example.com" -e ADMIN_TOKEN='<paste-hash-from-step-3>' -e SIGNUPS_ALLOWED=false -e WEBSOCKET_ENABLED=true -v ~/vw-data:/data -p 127.0.0.1:8080:80 vaultwarden/server:latest — note que o vínculo -p 127.0.0.1:8080 mantém o Vaultwarden privado para o host; o reverse proxy do capítulo 4 fica na frente.
5. Verifique. curl -s http://127.0.0.1:8080/alive deve retornar um timestamp. Se retornar, o Vaultwarden está ativo. Se não retornar, docker logs vaultwarden mostra o que deu errado — quase sempre um erro de digitação na variável de ambiente ADMIN_TOKEN.
SIGNUPS_ALLOWED=false no passo 4 é a configuração mais esquecida. Deixe-o verdadeiro e seu vault estará aberto para qualquer pessoa que encontrar a URL para se registrar. Mude-o para verdadeiro apenas pelo tempo necessário para criar sua própria conta, depois mude para falso e reinicie.
HTTPS e o painel de administração. Não opcional, mas cinco minutos.
O Vaultwarden recusa-se a servir o web vault via HTTP simples de um endereço não-localhost; cada cliente oficial também recusa-se a comunicar com um servidor não-HTTPS. A etapa de reverse proxy + Let's Encrypt é o portão para o resto da configuração. O Caddy é o caminho mais leve — um binário, ACME automático, sem certbot separado para agendar.
Aponte o registro DNS A para vault.example.com no IP do VPS e aguarde a propagação (cerca de dois minutos para registros novos na maioria dos provedores). sudo apt install -y debian-keyring debian-archive-keyring apt-transport-https && curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable/gpg.key' | sudo gpg --dearmor -o /usr/share/keyrings/caddy-stable-archive-keyring.gpg && echo "deb [signed-by=/usr/share/keyrings/caddy-stable-archive-keyring.gpg] https://dl.cloudsmith.io/public/caddy/stable/deb/debian any-version main" | sudo tee /etc/apt/sources.list.d/caddy-stable.list && sudo apt update && sudo apt install caddy.
Escreva /etc/caddy/Caddyfile: vault.example.com { reverse_proxy 127.0.0.1:8080 header_up X-Real-IP {remote_host} } — essa é a configuração inteira. sudo systemctl reload caddy e em dez segundos o Caddy buscou um certificado Let's Encrypt e o vault está acessível em https://vault.example.com.
O painel /admin. O Vaultwarden expõe uma interface administrativa em /admin, protegida pelo hash Argon2 que você gerou no capítulo 3. A partir daí você pode desativar registros (já feito no passo 4), configurar o servidor SMTP para e-mails de convite e redefinição de senha, configurar Yubikey ou Duo 2FA, definir limites por usuário e inspecionar a lista de usuários. Abra-o uma vez, percorra cada seção, salve as configurações — elas ficam em /vw-data/config.json a partir daí.
Um detalhe menor de hardenização: desconecte o /admin da internet pública por completo. Adicione ao Caddyfile: vault.example.com { @admin path /admin* @admin not remote_ip 10.0.0.0/8 192.168.0.0/16 your.home.ip/32 respond @admin 404 ... } — qualquer pessoa que não esteja no seu IP doméstico recebe um 404 ao sondar /admin; o painel é invisível para a internet aberta.
Backups. O único erro que te destrói.
Um cofre de senhas do qual você não consegue restaurar é um cofre que você já perdeu. A história de backup do Vaultwarden é misericordiosamente simples — tudo que importa vive em um único diretório — mas a disciplina em torno dos testes de restauração é o que separa uma configuração funcional de um incidente futuro.
O que fazer backup. Toda a árvore ~/vw-data/. Dentro dela: db.sqlite3 é o vault criptografado, attachments/ contém os anexos de arquivos, config.json contém as configurações do /admin, sends/ contém os compartilhamentos criptografados temporários, rsa_key.* são as chaves de assinatura JWT usadas pelas sessões.
Como fazer backup. O SQLite lida com backup concorrente via seu comando .backup — agende um cron noturno: 0 4 * * * docker exec vaultwarden sqlite3 /data/db.sqlite3 ".backup /data/db.sqlite3.bak" && tar czf /backups/vw-$(date -I).tgz -C /home/<user>/vw-data . — um vault de 50 contas produz um tarball abaixo de 1 MB.
Para onde enviar os backups. Em qualquer lugar que não seja o mesmo VPS. rclone para um bucket compatível com S3, um segundo VPS, seu NAS doméstico via WireGuard, ou uma chave USB criptografada que você envia para um parente uma vez por trimestre — escolha o que se adequa ao seu modelo de ameaça. A regra fundamental é a separação geográfica e administrativa em relação ao servidor principal.
O exercício de restauração. Inicialize um segundo VPS, copie o backup de ontem para ele, descompacte em ~/vw-data, execute o bloco docker do capítulo 3 apontando para ele, abra o web vault em um subdomínio temporário, faça login com sua senha mestre. Se sua conta abrir e o vault descriptografar, o backup é real. Execute esse exercício agora, antes de colocar suas credenciais reais no vault. Repita a cada seis meses.
Clientes, compartilhamento, móvel. O ecossistema Bitwarden, apontado para o seu servidor.
Instale o cliente oficial do Bitwarden de sua escolha — extensão de navegador, aplicativo de desktop, iOS, Android. Antes de fazer login, toque no ícone de engrenagem no canto superior esquerdo, altere o servidor de bitwarden.com para https://vault.example.com e faça login com a conta criada no capítulo 4. O cliente não percebe a diferença e funciona de forma idêntica a uma assinatura gerenciada do Bitwarden.
Os clientes móveis têm uma etapa extra: o desbloqueio biométrico requer que o dispositivo esteja registrado, o que o primeiro login no iOS / Android trata automaticamente. Preenchimento automático no navegador, preenchimento automático móvel, geração de TOTP, gerador de senhas, consulta ao monitor de violações (HaveIBeenPwned) e o Bitwarden Send funcionam sem configuração adicional.
Compartilhamento familiar. Crie uma Organização no cofre web → Nova Organização → nomeie-a (ex.: “Família”), plano gratuito. Dentro da org, crie uma Coleção (“Contas compartilhadas”, “Serviços de streaming”, “WiFi & roteador”). Convide cada membro da família pelo e-mail local no servidor, aceite o convite quando ele se cadastrar e atribua-o à coleção. A partir desse momento, qualquer item na coleção é criptografado de ponta a ponta para todos os membros — o servidor vê apenas texto cifrado.
O que você não precisa pagar. Todos os recursos pagos do Bitwarden que são política do servidor (Organizações, coleções compartilhadas, equivalente ao plano Families, 2FA por chave de hardware, anexos Send) estão desbloqueados por padrão no Vaultwarden porque o servidor é a barreira. Recursos pagos que são política do cliente (alguns bloqueios premium do Bitwarden móvel) são respeitados pelos clientes a menos que você os modifique — não vale a pena para um usuário honesto.
Perguntas, respondidas.
Oito perguntas que surgem antes e durante o primeiro mês de execução de um Vaultwarden auto-hospedado.
O Vaultwarden é o mesmo que o Bitwarden?
O Vaultwarden é uma reimplementação independente, baseada em Rust, do servidor Bitwarden, totalmente compatível com cada cliente oficial do Bitwarden — extensão de navegador, aplicativo de desktop, iOS, Android, CLI. Não é produzido pela Bitwarden Inc. O protocolo de comunicação e o formato do vault são os mesmos; o binário do servidor tem aproximadamente 1/100 do tamanho e roda confortavelmente em 50–100 MB de RAM.
Por que auto-hospedar o Vaultwarden em vez de pagar pelo Bitwarden hospedado?
Três razões. Uma: ninguém mais detém seu vault criptografado — mesmo que o Bitwarden também não possa lê-lo, remover o terceiro é o modelo de ameaça mais limpo. Duas: custo — um VPS de $5/mês suporta uma família de cinco com espaço para o resto do seu stack auto-hospedado. Três: sem telemetria, sem endpoints de análise, sem e-mail de verificação de conta vinculado a um nome.
Auto-hospedar um cofre de senhas é realmente seguro?
Sim — o Vaultwarden usa a mesma criptografia do lado do cliente que o Bitwarden. O vault é criptografado com AES-256 no cliente antes de ser enviado ao servidor; o servidor nunca vê sua senha mestre ou qualquer texto simples. Um comprometimento do VPS produz um blob criptografado que é tão fraco quanto sua senha mestre. O risco operacional é seu (backups, HTTPS, hardening do servidor), mas o risco criptográfico é idêntico ao Bitwarden gerenciado.
Quanto de VPS preciso?
Muito pouco. O Vaultwarden em si funciona bem em 1 vCPU e 512 MB de RAM. O VPS mínimo da NordBastion (2 vCPU, 4 GB, $5,90/mês) é mais do que suficiente para executar o Vaultwarden, o reverse proxy e três outros serviços auto-hospedados na mesma máquina. O uso de disco é insignificante — um vault de 50 contas com anexos fica abaixo de 200 MB.
Por que um provedor sem KYC e pago em cripto importa para um gerenciador de senhas?
Um cofre de senhas é o alvo de maior valor que uma pessoa privada possui — ele contém as credenciais de todas as outras contas. Alugar o servidor em seu nome legal com um cartão vinculado à sua identidade real significa que uma violação do banco de dados de cobrança do provedor vincula sua identidade ao IP do seu cofre. Um provedor sem KYC e pago em cripto remove esse vínculo por design. O cofre em si permanece criptografado no lado do cliente; a postura sem KYC protege a camada de metadados.
Realmente preciso de HTTPS para o cofre web do Vaultwarden?
Sim, estritamente. O Vaultwarden recusa-se a servir o web vault via HTTP simples de qualquer endereço que não seja localhost, e cada cliente oficial também recusa-se a comunicar com um servidor não-HTTPS. A configuração de reverse proxy + Let's Encrypt neste guia não é opcional. A boa notícia: toda a etapa TLS leva cerca de três minutos depois que seu registro DNS A se propagou.
Qual é o maior erro único que as pessoas cometem ao auto-hospedar o Vaultwarden?
Não testar a restauração do backup. Um tar.gz noturno de /vw-data/ não é um backup enquanto você não o descompactar em um VPS novo e acessar com sucesso o cofre web recuperado. Planeje o caso de falha: o servidor sumiu, o disco foi apagado, o único artefato que você possui é o arquivo de backup de ontem — você consegue voltar para o seu cofre? Execute esse drill pelo menos uma vez antes de colocar credenciais reais no cofre.
Posso compartilhar meu cofre com minha família a partir de um Vaultwarden auto-hospedado?
Sim. O Vaultwarden reimplementa o recurso Organizations do Bitwarden — incluindo coleções compartilhadas, permissões granulares e o equivalente ao plano Bitwarden Families — sem nenhum tier pago. Você cria uma organização no web vault, convida sua família por e-mail (ou compartilhando o link de convite diretamente) e a partir daí a UX de compartilhamento é idêntica ao produto oficial do Bitwarden.
Alugue um VPS sem KYC, pague em cripto, execute o Vaultwarden hoje.
O tier de entrada Ravelin (2 vCPU, 4 GB RAM, 80 GB SSD, $5,90/mês) é confortavelmente superdimensionado para o Vaultwarden e deixa espaço para o resto do seu stack auto-hospedado na mesma máquina.
Última revisão · 2026-05-20 · Fontes · Documentação upstream do Vaultwarden, matriz de compatibilidade de clientes Bitwarden, Let's Encrypt ACME · Cadência · anualmente
Anonymous VPS hosting in 2026 — the cluster.
This guide is one spoke of a larger series. The pillar walks the three privacy layers end to end — the sibling spokes below dive into the specifics.
Three independent layers — signup, payment, network — explained, legal context included, common mistakes flagged.
Files, calendar, contacts, photos — owned, not rented.
Postfix, Dovecot, SPF/DKIM/DMARC — deliverability included.
A meta search engine that does not log you — because you own it.
What “no KYC” actually means — and what it does not.