So hostest Du Vaultwarden selbst

Passwortmanager sind ein wichtiger Teil des modernen digitalen Lebens, aber die meisten Leute verlassen sich auf Dienste, die sie nicht kontrollieren. Für Nutzer, die Wert auf Datenschutz legen, sowie Systemadministratoren und kleine Teams kann das ein Problem sein. Die Übergabe der sensibelsten Anmeldedaten an Dritte wirft Fragen hinsichtlich Vertrauen, Verfügbarkeit und langfristigem Zugriff auf, die oft übersehen werden. Wenn Du Dich bei einem Passwort-Manager über das Internet anmeldest, wer garantiert Dir, dass es diese Firma nächstes Jahr noch gibt?

Selfhosting bietet eine Möglichkeit, die Kontrolle zurückzugewinnen, wirft aber auch praktische Fragen hinsichtlich Einrichtung, Wartung und Sicherheitsverantwortung auf. Dieser Artikel beschreibt, wie man Vaultwarden auf sichere, zuverlässige und praxisnahe Weise selbst hostet.

Vaultwarden verstehen und warum es für Selfhosting verwendet wird

Vaultwarden ist eine Open-Source-Implementierung der Bitwarden-Server-API, mit der Du Dein eigenes Passwort-Manager-Backend betreiben kannst. Es fungiert als Serverkomponente, die verschlüsselte Tresordaten speichert, die Authentifizierung übernimmt und Anmeldedaten über Geräte hinweg synchronisiert, die die offiziellen Bitwarden-Apps und Browser-Erweiterungen nutzen.

Im Gegensatz zum offiziellen Bitwarden-Server, der für größere Umgebungen ausgelegt ist und mehr Systemressourcen benötigt, ist Vaultwarden auf Effizienz ausgelegt. Es ist in Rust geschrieben und so optimiert, dass es zuverlässig auf bescheidener Hardware wie kleinen VPS-Instanzen, Heimservern und Cloud-Umgebungen läuft. Das macht es praktisch für Einzelpersonen und kleine Teams, die eine selbst gehostete Lösung wollen, ohne eine komplexe Infrastruktur verwalten zu müssen.

Es gilt als inoffiziell, weil es nicht von Bitwarden, Inc. entwickelt oder gepflegt wird. Es bleibt aber mit Bitwarden-Clients kompatibel, indem es dieselbe API implementiert, sodass Nutzer ohne Änderungen über vertraute Anwendungen auf ihre Tresore zugreifen können. Wenn Du Vaultwarden selbst hostest, bist Du für Updates, Backups und die Pflege der Sicherheit verantwortlich. Dies ist ein wichtiger Kompromiss, der in späteren Abschnitten dieses Leitfadens eine wichtige Rolle spielt.

Diese Kombination aus Client-Kompatibilität, einfacher Bedienung und vollständiger Kontrolle über die Serverumgebung ist der Grund, warum es häufig für die selbst gehostete Passwortverwaltung gewählt wird. Und es ist kostenlos!

Voraussetzungen für das Selfhosting von Vaultwarden

Bevor Du mit der Installation beginnst, stelle sicher, dass die folgenden Voraussetzungen erfüllt sind:

• Ein Linux-basierter Server oder VPS mit mindestens 1 GB RAM
• Ein Domainname oder Subdomain, der auf die IP-Adresse Deines Servers verweist
• Docker und Docker Compose auf dem Server installiert
• Grundlegende Kenntnisse der Befehlszeile und des SSH-Zugriffs
• Firewall-Zugriff, um HTTP- und HTTPS-Datenverkehr zuzulassen

Einrichten von Vaultwarden mit Docker

Schritt 1: Zugriff auf den Server

1. Remote-Server: Verbinde Dich über SSH von Deinem Computer aus über ein Terminal:

ssh username@your-server-ip

2. Lokaler Server: Wenn Du einen Monitor und eine Tastatur angeschlossen hast, logge Dich einfach in Dein Linux-Konto ein.

Schritt 2: Vorbereiten der Serverumgebung

1. Erstelle ein dediziertes Verzeichnis für Vaultwarden-Daten und -Konfiguration:

mkdir -p ~/vaultwarden/data

2. Lege die richtigen Eigentumsrechte und Berechtigungen fest, damit Docker Dateien lesen/schreiben kann:

chown -R $USER:$USER ~/vaultwarden

chmod -R 700 ~/vaultwarden

3. Überprüfe, ob Docker und Docker Compose installiert sind und funktionieren:

docker --version

docker-compose --version

Schritt 3: Erstelle die Docker Compose-Konfiguration

1. Erstelle in Deinem Vaultwarden-Verzeichnis eine Datei namens docker-compose.yml:

cd ~/vaultwarden

nano docker-compose.yml

1. Beispiel für eine minimale Konfiguration:

version: ‚3‘

services:

vaultwarden:

image: vaultwarden/server:latest

container_name: vaultwarden

restart: unless-stopped

volumes:

- ./data:/data

environment:

ADMIN_TOKEN: „your_admin_token_here“

SIGNUPS_ALLOWED: „false“

WEBSOCKET_ENABLED: ‚true‘

ports:

- „80:80“

- „443:443“

Schritt 4: Konfigurieren der Umgebungsvariablen

• ADMIN_TOKEN: Wird für den sicheren Zugriff auf das Admin-Panel benötigt.
• SIGNUPS_ALLOWED: Deaktiviert die öffentliche Registrierung, sofern nicht beabsichtigt.
• WEBSOCKET_ENABLED: Optional, wird aber für die Echtzeit-Client-Synchronisierung empfohlen.

Je nach Deinen Sicherheits- und Bereitstellungsanforderungen kannst Du bei Bedarf weitere Umgebungsvariablen hinzufügen. Diese Variablen steuern das Verhalten des Vaultwarden-Servers und sorgen dafür, dass Deine selbst gehostete Instanz standardmäßig sicher ist.

Schritt 5: Bereitstellen des Vaultwarden-Containers

1. Starte Vaultwarden mit Docker Compose:

docker-compose up -d

2. Überprüfe, ob der Container läuft:

docker ps

docker logs vaultwarden

Schritt 6: Zugriff auf die Vaultwarden-Weboberfläche

1. Öffne einen Browser und navigiere zu Deiner Domain oder Server-IP:

http://your-domain-or-ip

2. Überprüfe, ob die Anmeldeseite geladen wird. Wenn Du noch kein SSL eingerichtet hast, ist HTTP möglicherweise vorübergehend zugänglich.

Konfigurieren von Vaultwarden für sicheren Zugriff

Sobald Vaultwarden läuft, hat die Sicherung des Zugriffs höchste Priorität. Eine selbst gehostete Instanz eines sicheren Passwort-Managers muss immer HTTPS verwenden, um die Anmeldedaten während der Übertragung zu schützen.

Vaultwarden wird normalerweise hinter einem Reverse-Proxy wie Nginx, Traefik oder Caddy bereitgestellt. Der Reverse-Proxy übernimmt die SSL-Terminierung, das Domain-Routing und die Umleitung von HTTP zu HTTPS. Diese Konfiguration ermöglicht es, isoliert zu bleiben und dennoch sicher über das Internet zugänglich zu sein.

Eine ordnungsgemäße SSL-Konfiguration von Vaultwarden gewährleistet die Kompatibilität mit Bitwarden-Clients, die HTTPS benötigen, um ordnungsgemäß zu funktionieren. Zertifikate von vertrauenswürdigen Anbietern wie Let’s Encrypt werden in der Regel verwendet, um eine starke Verschlüsselung ohne zusätzliche Kosten zu ermöglichen.

Verwalten von Benutzern, Admin-Einstellungen und Vaultwarden-Funktionen

Nach der Sicherung des Zugriffs sollte Vaultwarden für eine kontrollierte Nutzung konfiguriert werden. Dazu gehören das Erstellen von Benutzerkonten, die Verwaltung von Organisationen und die Begrenzung der administrativen Zugriffsmöglichkeiten.

Die öffentliche Benutzerregistrierung sollte deaktiviert werden, sofern sie nicht ausdrücklich erforderlich ist. Der Administratorzugriff sollte durch ein starkes Admin-Token geschützt und niemals öffentlich zugänglich sein. Diese Maßnahmen reduzieren die Angriffsfläche und stellen sicher, dass nur autorisierte Benutzer mit sensiblen Einstellungen interagieren können.

Vaultwarden unterstützt viele in Bitwarden verfügbare Funktionen, darunter die Freigabe von Tresoren, die Verwaltung von Organisationen und die Synchronisierung mehrerer Geräte. Durch die ordnungsgemäße Verwaltung dieser Funktionen kann das Selfhosting ohne Beeinträchtigung der Sicherheit von der persönlichen Nutzung auf kleine Teams ausgeweitet werden.

Laufende Wartung und bewährte Sicherheitsverfahren

Das Selfhosting von Vaultwarden ist keine einmalige Aufgabe. Eine laufende Wartung ist unerlässlich, um die Sicherheit und Zuverlässigkeit des Vaultwarden-Servers zu gewährleisten.

Regelmäßige Updates sollten durch Abrufen des neuesten Vaultwarden-Docker-Images und Neustarten des Containers durchgeführt werden. Backups des Datenverzeichnisses sollten regelmäßig durchgeführt und sicher außerhalb des Servers gespeichert werden. Die Überwachung von Protokollen und der Serverressourcennutzung hilft, Probleme zu erkennen, bevor sie sich auf die Verfügbarkeit auswirken.

Grundlegende Server-Hardening-Maßnahmen, darunter Firewall-Regeln, SSH-Sicherheit und Betriebssystem-Updates, stärken die gesamte Umgebung zusätzlich. Diese Vorgehensweisen sorgen dafür, dass Dein selbst gehosteter Passwort-Manager langfristig zuverlässig bleibt.

Häufige Fehler, die beim Selfhosting von Vaultwarden zu vermeiden sind

• Die Admin-Oberfläche ohne Schutz öffentlich zugänglich machen.
• Die SSL/TLS-Konfiguration überspringen und den Datenverkehr unverschlüsselt lassen.
• Das Vaultwarden-Datenverzeichnis nicht sichern.
• Ein schwaches oder standardmäßiges Admin-Token verwenden.
• Die öffentliche Benutzerregistrierung zulassen.
• Die Serversicherheit vernachlässigen, einschließlich SSH, Firewall und Betriebssystem-Updates.
• Updates für Docker-Images oder Vaultwarden selbst ignorieren.

Fazit

Durch das Selfhosting von Vaultwarden hast Du die volle Kontrolle über Deinen gehosteten Passwort-Manager. Wenn Du diesen strukturierten Installationsprozess befolgst, der die richtige Serverkonfiguration, Docker-Konfiguration, sicheren Zugriff und laufende Wartung umfasst, kannst Du einen zuverlässigen und sicheren Vaultwarden-Server betreiben.

Bei korrekter Konfiguration unterstützt Vaultwarden die Nutzung durch Einzelpersonen und kleine Teams, gewährleistet die Verschlüsselung von Daten während der Übertragung und macht Dich unabhängig von externen Anbietern. Regelmäßige Updates, Backups und Sicherheitsmaßnahmen sorgen für langfristige Stabilität und schützen Deine sensibelsten Anmeldedaten.

Artikel von

Frederick Schiwek

Hallo! Ich bin Freddy, Autor und Mitglied des Teams von hosting.de. Mit über 20 Jahren Erfahrung im Hosting-Business schreibe ich über Technologie, das Internet und die Zukunft der digitalen Infrastruktur. Ob Domains, Hosting oder Cloud-Dienste – ich bin hier, um Einblicke und Ideen zu teilen!