Vaultwarden selbst hosten — Bitwarden-Server in Eigenregie

PASSWORT-HAMMER für Homelabber! Vaultwarden ist die self-hosted Alternative zu Bitwarden – KOMPLETT kostenlos, komplett unter deiner Kontrolle! Du bekommst ALLE Bitwarden-Features (inklusive Premium), ohne einen Cent zu bezahlen!

Hier der Mega-Einsteiger-Guide – in 10 Minuten läuft dein eigener Passwort-Tresor!

Was Vaultwarden ist — und wie es zu Bitwarden steht

Vaultwarden (früher Bitwarden_RS) ist eine inoffizielle, aber VOLL kompatible Neuimplementierung des Bitwarden-Servers in Rust!

Mega-Vorteile:

• Deutlich RESSOURCENSCHONENDER als der offizielle Bitwarden-Server!
• Läuft auf 256 MB RAM – auch auf dem Raspberry Pi!
• Alle Bitwarden-Clients (Browser-Extension, Desktop, Mobile) funktionieren 1:1!

Was beim Self-Hosten besser ist

• Volle Datenkontrolle – Passwörter verschlüsselt auf DEINEM Server!
• KOSTENLOS – KEINE Premium-Gebühren für TOTP oder Anhänge!
• Ressourcenarm – läuft auf winzigster Hardware!
• Kompatibel – alle Bitwarden-Clients funktionieren nahtlos!
• Ende-zu-Ende-verschlüsselt – nur deine Geräte entschlüsseln!

Schritt 1: Vaultwarden mit Docker installieren

Die einfachste Installation per Docker Compose! Erstelle eine docker-compose.yml:

version: '3'
services:
  vaultwarden:
    image: vaultwarden/server:latest
    container_name: vaultwarden
    restart: always
    ports:
      - 8080:80
    environment:
      DOMAIN: https://vault.deinedomain.de
      SIGNUPS_ALLOWED: "false"
      ADMIN_TOKEN: ein-sehr-sicheres-admin-token-hier
    volumes:
      - ./vw-data:/data

Starten:

docker compose up -d

ZACK, LÄUFT!

Schritt 2: Reverse Proxy mit HTTPS

Vaultwarden funktioniert nur über HTTPS SICHER! Richte einen Reverse Proxy ein – mit Caddy besonders einfach:

vault.deinedomain.de {
    reverse_proxy vaultwarden:80
}

Caddy kümmert sich AUTOMATISCH um das SSL-Zertifikat von Let’s Encrypt!

Schritt 3: Master-Account anlegen

1. Öffne https://vault.deinedomain.de im Browser!
2. Ersten Account erstellen – HAUPT-Passwort GUT MERKEN! Es gibt KEIN „Passwort vergessen“!
3. Danach in docker-compose.yml SIGNUPS_ALLOWED: "false" setzen!
4. Container neu starten: docker compose restart!

Schritt 4: Bitwarden-Clients verbinden

Installiere die Bitwarden Browser-Extension (Chrome, Firefox, Edge) oder Desktop-Client! Beim ersten Start:

1. Einstellungs-Zahnrad neben „Log In“ klicken!
2. „Self-Hosted“ als Server-URL wählen!
3. Deine Vaultwarden-URL eingeben: https://vault.deinedomain.de!
4. Einloggen!

Das funktioniert genauso mit iOS- und Android-Apps!

Die Premium-Features auf dem eigenen Server

TOTP (2FA) für JEDE Website!

Vaultwarden unterstützt TOTP-Codes – du kannst deinen Tresor mit 2FA absichern! Außerdem TOTP für ANDERE Websites direkt im Manager speichern!

Organisationen & Sharing

Passwörter MIT Familie teilen! In Vaultwarden eine Organisation anlegen – jedes Mitglied eigener Account, aber geteilte Einträge!

Anhänge & Notizen

Vaultwarden Premium-Features KOSTENLOS:

• Anhänge (Dokumente, Bilder) zu Einträgen!
• Sichere Notizen für Lizenz-Keys, API-Secrets!
• Identitäten für Kreditkarten, Adressen!

Härtung — so wird das Setup robust

Die 5 goldenen Regeln:

1. STARKES Master-Passwort (mindestens 16 Zeichen, Mix aus allem)!
2. 2FA auf Vaultwarden-Account AKTIVIEREN!
3. Admin-Panel schützen – starker ADMIN_TOKEN, nicht öffentlich erreichbar!
4. Regelmäßige Backups von vw-data/ – 3-2-1-Regel!
5. Fail2Ban konfigurieren – Brute-Force-Angriffe blockieren!

Backup-Strategie für deinen Tresor

Backup deines Vaultwarden-Tresors:

# Stoppe Container
docker compose stop vaultwarden

# Backup der Daten
tar -czf vaultwarden-backup-$(date +%Y%m%d).tar.gz vw-data/

# Container starten
docker compose start vaultwarden

Mindestens wöchentlich automatisch via Cron! Unbedingt offsite sichern!

Bonus: YubiKey als zweiter Faktor

Für maximale Sicherheit: YubiKey als Hardware-Token! Vaultwarden unterstützt FIDO2/WebAuthn – damit bist du selbst bei Diebstahl deines Master-Passworts geschützt!

Fazit — und welche Erweiterungen sich lohnen

Klare Ansage: Vaultwarden ist DAS Tool für Homelabber, die ihre Passwörter NIEMALS aus der Hand geben wollen! Läuft auf winziger Hardware, 100 % Bitwarden-kompatibel, KOMPLETT kostenlos!

Mein Tipp: HEUTE auf dem Pi installieren, morgen alle Passwörter migrieren, übermorgen Familie einladen! In einer Woche hast du zentrale Passwort-Kontrolle für alle!

Auf Lapalutschi.de kommt bald der große Vaultwarden-Härtungs-Guide – mit Authelia, Fail2Ban und YubiKey! Bleib dran!

Verwandte Tutorials auf Lapalutschi.de

Vaultwarden ist oft Self-Host-Projekt Nr. 2 oder 3: Wer noch keinen kompletten Homelab-Plan hat, findet im Homelab-Anfänger-Komplettguide den entspannten Einstieg mit allen Bausteinen.

• Nextcloud selbst hosten — der Cloud-Speicher als Begleiter zum Passwort-Manager.
• Die 3-2-1-Backup-Regel — Backup-Pflicht für deinen Tresor.