使用非 Docker 方案在腾讯云轻量应用服务器上搭建密码管理软件 Vaultwarden (Bitwarden_rs)

前言

Bitwarden 是一款自由且开源的密码管理服务，用户可在加密的保管库中存储敏感信息（例如网站登录凭据）。Bitwarden 平台提供有多种客户端应用程序，包括网页用户界面、桌面应用，浏览器扩展、移动应用以及命令行界面。Bitwarden 作为一款商业自由软件，其开发公司提供云端托管服务 (bitwarden.com)，同时为广大开源社区提供自行部署的解决方案。

Vaultwarden 原名 Bitwarden_rs，自 v2.21.0 开始更名为 Vaultwarden。Bitwarden 原始服务端使用 C# 编写，部署困难，且要求 MSSQL 等商业软件，运行需要 2GB 以上的内存；而 Vaultwarden 是一个使用 Rust 编写的非官方 Bitwarden 服务器实现，它与官方 Bitwarden 客户端兼容，运行 Vaultwarden 时只需要 10M 内存，可以说对硬件基本没有要求，对于不希望使用官方的占用大量资源的自托管部署而言，它是理想的选择。

Vaultwarden 除不支持官方企业版的部分功能（如事件日志、目录同步以及 SSO 登录）外，其他大部分功能均免费支持。并跟随官方版本保持及时更新。

Vaultwarden 实现了 Bitwarden API 所需的大部分功能，因此桌面端、移动端、浏览器扩展等客户端均可直接使用 Bitwarden 官方的客户端应用程序。

Vaultwarden 仓库推荐的安装方式均为直接使用 Docker 部署，本文将介绍一种使用非 Docker 方式、直接在系统上部署 Vaultwarden 的方法。16MB 左右的内存占用，再配合 MySQL 替代默认的 SQLite 作为数据存储形式可以将其“功耗”降到最低。

一、准备工作

1.1 服务器和系统选用

由于 Vaultwarden 运行时几乎不消耗系统资源，因此可以选用任意型号的轻量应用服务器；服务器系统建议选择 Ubuntu 18.04 或更新版本以及 Debian 10 或更新版本的 Linux 发行版，使用 CentOS 似乎会因依赖软件包版本问题而出现未知的错误。

此外，由于部署 Vaultwarden 不会对现有系统环境造成破坏性影响，在已经有网站业务的服务器上部署 Vaultwarden 也是一个不错的选择。

1.2 环境配置

1.2.1 软件包及依赖配置

依次执行以下命令以更新软件包信息、安装必要的软件包及开发工具包：

apt update -y
apt install git nano curl wget htop pkg-config openssl libssl1.1 libssl-dev -y
apt install build-essential -y

be-install

1.2.2 Rust 环境配置

执行 curl https://sh.rustup.rs -sSf | sh 以配置 Rust 环境。（国内可能较慢）

rust-install

出现 Rust is installed now. Great! 即代表安装完成。

依次执行以下命令以配置 cargo 命令的环境变量：

echo 'export PATH=~/.cargo/bin:$PATH' >> ~/.bashrc
export PATH=~/.cargo/bin:$PATH 
which rustc

rustc-install

若返回 /root/.cargo/bin/rustc 则代表完成 Rust 环境的配置。

二、编译 Vaultwarden

执行 git clone https://github.com/dani-garcia/vaultwarden && cd vaultwarden 以拉取 Vaultwarden 储存库（国内可能较慢）：

vw-pull

执行 cargo clean && cargo build --features mysql --release 以启动 Vaultwarden 的编译。

其中，mysql 可以为与 sqlite 和 postgresql 三者的任意组合，选择编译 mysql 或 postgresql 时，系统必须安装了 MySQL 或 PostgreSQL，否则将提示：

linking with `cc` failed: exit status: 1
...
= note: /usr/bin/ld: cannot find -lmysqlclient
          collect2: error: ld returned 1 exit status

编译需要 3GB 左右的内存，内存不足的可以调整虚拟内存，虚拟内存建议空闲 2GB 左右；编译耗时较久，LemonBench 跑分在 800 左右的单核服务器编译耗时 28 分 54 秒。

cpmdone

三、安装 Vaultwarden

3.1 移动 Vaultwarden 二进制文件

依次执行以下命令：

cp target/release/vaultwarden /usr/bin/vaultwarden
chmod +x /usr/bin/vaultwarden

以将 Vaultwarden 二进制文件置入系统可执行目录并赋予执行权限。

3.2 配置 Vaultwarden 专用用户

依次执行以下命令：

useradd -s /sbin/nologin -M vaultwarden
mkdir -p /var/lib/vaultwarden/data
chown -R vaultwarden:vaultwarden /var/lib/vaultwarden/

3.3 部署 Vaultwarden Web UI

依次执行以下命令：

wget https://github.com/dani-garcia/bw_web_builds/releases/download/v2.28.0/bw_web_v2.28.0.tar.gz
tar -xf bw_web_v2.28.0.tar.gz -C /var/lib/vaultwarden/

其中 v2.28.0 为写作时的版本号，获取地址为 https://github.com/dani-garcia/bw_web_builds/releases/latest ，请保持最新。

3.4 编写 Vaultwarden 配置文件

执行 touch /etc/vaultwarden.env 并写入以下内容：

DATA_FOLDER=/var/lib/vaultwarden/data/
DATABASE_URL=mysql://[数据库用户名]:[数据库密码]@127.0.0.1:3306/[数据库名]
IP_HEADER=X-Real-IP
WEB_VAULT_FOLDER=/var/lib/vaultwarden/web-vault/
WEB_VAULT_ENABLED=true
ADMIN_TOKEN=[base64码]
DOMAIN=https://vaultwarden.iks.moe

其中，[数据库密码] 为 MySQL 数据库用户名，[数据库密码] 为 MySQL 数据库用户的密码，[数据库名] 为 MySQL 数据名，此三者均须提前创建；127.0.0.1 不得填写为 localhost，[base64码] 执行 openssl rand -base64 48 以得到，https://vaultwarden.iks.moe 为你的域名，协议头必须为 https://。

b64

simple-env

3.5 编写 Vaultwarden SystemD 文件

执行 touch /etc/systemd/system/vaultwarden.service 并写入以下内容：

[Unit]
Description=Vaultwarden Server
Documentation=https://github.com/dani-garcia/vaultwarden

# 当你使用 SQLite 时，请取消下一行的注释
# After=network.target

# 当你使用 MariaDB 时，请取消下两行的注释
# After=network.target mariadb.service
# Requires=mariadb.service

# 当你使用 MySQL 时，请取消下两行的注释
# After=network.target mysqld.service
# Requires=mysqld.service

# 当你使用 PostgreSQL 时，请取消下两行的注释
# After=network.target postgresql.service
# Requires=postgresql.service

[Service]
User=vaultwarden
Group=vaultwarden
EnvironmentFile=/etc/vaultwarden.env
ExecStart=/usr/bin/vaultwarden
LimitNOFILE=1048576
LimitNPROC=64
PrivateTmp=true
PrivateDevices=true
ProtectHome=true
ProtectSystem=strict
WorkingDirectory=/var/lib/vaultwarden
ReadWriteDirectories=/var/lib/vaultwarden
AmbientCapabilities=CAP_NET_BIND_SERVICE

[Install]
WantedBy=multi-user.target

删去被注释的行，最终配置如图：

sdc

3.6 启动 Vaultwarden

依次执行以下命令：

systemctl enable --now vaultwarden.service
systemctl start vaultwarden.service
systemctl status vaultwarden.service

若正常启动，则如下图提示：

st-img

四、使用 Nginx 反向代理 Vaultwarden

本文以宝塔面板为例，其他环境与此操作相同。

4.1 新建站点

新建一个站点，域名填写步骤 3.4 中的域名，配置好 SSL 证书。

bt-newsite

4.2 配置反向代理

名称随意，目标 URL 为 http://127.0.0.1:8000，其他默认。

image-20220503012246612

供非宝塔用户的 nginx 反向代理配置：

location /
{
    proxy_pass http://127.0.0.1:8000;
    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header REMOTE-HOST $remote_addr;
    add_header Cache-Control no-cache;
}

五、使用

访问域名，单击 Create Account 开始密码管理的第一步。

mainpage

六、Vaultwarden 后续更新

重做步骤二、步骤 3.1, 3.3 并执行 systemctl restart vaultwarden.service 即可。