Vaultwarden: Passwort-Manager auf eigener Infrastruktur

sgit.space
2 min read
Vaultwarden: Passwort-Manager auf eigener Infrastruktur

Warum ein selbst gehosteter Passwort-Manager

Passwoerter in der Cloud eines Drittanbieters zu speichern, bedeutet Vertrauen ohne Kontrolle. Wer seine Infrastruktur selbst betreibt, will auch bei Credentials keine Abhaengigkeit von externen Diensten. Vaultwarden ist eine leichtgewichtige, kompatible Implementierung der Bitwarden-Server-API — ideal fuer Self-Hosted-Umgebungen mit begrenzten Ressourcen.

Was Vaultwarden kann

Vaultwarden unterstuetzt nahezu alle Features des offiziellen Bitwarden-Servers: Vault-Verwaltung, Organisationen, Ordner, Anhaenge, TOTP-Generierung und Send. Der entscheidende Vorteil: Der gesamte Server laeuft als einzelner Container mit einer SQLite-Datenbank. Kein MSSQL, kein komplexes Multi-Container-Setup. Der RAM-Verbrauch liegt im Normalbetrieb unter 50 MB.

Deployment per Docker

Wir betreiben Vaultwarden als Docker-Container auf unserer Self-Hosted Plattform. Das Setup ist minimal:

Image: vaultwarden/server:latest
Datenbank: SQLite (persistent gemountet)
Port: Nur auf localhost oder LAN-IP gebunden, nie direkt ins Internet
Reverse Proxy: HTTPS-Terminierung mit gueltigen Zertifikaten ueber den vorgeschalteten Proxy

Die Konfiguration erfolgt vollstaendig ueber Umgebungsvariablen. Registrierung laesst sich per SIGNUPS_ALLOWED=false deaktivieren, sobald alle Nutzer angelegt sind.

Haertung und Sicherheit

Ein Passwort-Manager ist ein hochkritischer Service. Wir setzen folgende Massnahmen ein:

Container-Haertung: no-new-privileges, Memory-Limits, PID-Limits und Log-Rotation. Netzwerk: Kein direkter Port nach aussen — ausschliesslich Zugriff ueber Reverse Proxy mit TLS. Admin-Panel: Per ADMIN_TOKEN geschuetzt oder komplett deaktiviert. Backups: Regelmaessige Sicherung des Data-Verzeichnisses inklusive SQLite-Datenbank und Anhaenge.

Client-Anbindung

Da Vaultwarden die Bitwarden-API implementiert, funktionieren alle offiziellen Bitwarden-Clients: Browser-Extensions fuer Firefox und Chromium, Desktop-Apps fuer Linux, macOS und Windows sowie mobile Apps. In den Client-Einstellungen wird die eigene Server-URL hinterlegt — fertig. Kein Fork, kein Sonder-Client.

Monitoring und Wartung

Vaultwarden bietet einen Health-Endpoint, den wir in unser bestehendes Monitoring einbinden. Updates erfolgen durch Pull des aktuellen Images und Neustart des Containers. Die SQLite-Datenbank ist unkompliziert zu sichern — ein einfacher Dateikopie-Job reicht. Wir empfehlen, vor jedem Update ein Backup zu erstellen und die Release Notes zu pruefen.

Fazit

Vaultwarden ist einer der dankbarsten Self-Hosted-Services: Geringer Ressourcenverbrauch, einfaches Deployment, volle Kompatibilitaet mit dem Bitwarden-Oekosystem. Wer bereits eine Container-Infrastruktur betreibt, hat den Passwort-Manager in unter 30 Minuten produktiv. Credentials gehoeren auf eigene Infrastruktur — Vaultwarden macht genau das moeglich, ohne Kompromisse bei der Nutzbarkeit.