Vaultwarden - Passwort-Manager im Team

≈ 1 min
devopssecurity

Passwörter in einer geteilten Textdatei, per Slack verschickt oder im Browser-Passwortmanager der nicht synchronisiert — das sind die Alternativen die Teams ohne einen richtigen Passwort-Manager nutzen. Alle sind schlechter als Vaultwarden.

Was Vaultwarden ist

Vaultwarden ist eine inoffizielle Bitwarden-Server-Implementierung in Rust. Kompatibel mit allen Bitwarden-Clients (Browser, Desktop, Mobil), deutlich ressourcenschonender als der offizielle Server.

Installation mit Docker

docker run -d \
    --name vaultwarden \
    -e DOMAIN="https://vault.example.com" \
    -e ADMIN_TOKEN="$(openssl rand -base64 32)" \
    -e SIGNUPS_ALLOWED=false \
    -v /data/vaultwarden:/data \
    -p 127.0.0.1:8080:80 \
    --restart unless-stopped \
    vaultwarden/server:latest

server {
    server_name vault.example.com;
    
    location / {
        proxy_pass http://127.0.0.1:8080;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
    }
    
    # Für WebSocket-Support (Benachrichtigungen)
    location /notifications/hub {
        proxy_pass http://127.0.0.1:3012;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
    }
}

Organisationen und Sharing

Bitwarden-Organisationen erlauben geteilte Tresore. Einmal anlegen, Teammitglieder einladen, Einträge mit der Organisation teilen.

Berechtigungen granular steuerbar: nur lesen, bearbeiten, voller Zugriff.

Wichtige Einstellungen

SIGNUPS_ALLOWED=false    # Nur eingeladene Benutzer
INVITATIONS_ALLOWED=true # Admin kann einladen
DISABLE_ADMIN_TOKEN=false

Backup: /data/vaultwarden/db.sqlite3 ist die gesamte Datenbank.

# Tägliches Backup
0 3 * * * cp /data/vaultwarden/db.sqlite3 /backup/vaultwarden_$(date +%Y%m%d).sqlite3

Warum selbst hosten

Cloud-Bitwarden ist auch gut. Selbst hosten gibt vollständige Kontrolle über die Daten und funktioniert ohne externe Abhängigkeit.
Für Teams mit starken Datenschutzanforderungen oder internen Policies ist es die bessere Option.

Der Client läuft auf allen Plattformen, der Browser-Extension autofüllt sauber, und die Import-Funktion unterstützt alle gängigen Formate wenn man von etwas anderem migriert.