在 Ubuntu 22.04 上使用 Docker 安装部署 Vaultwarden 是一个很不错的想法它能让你拥有一个完全属于自己的、轻量级的密码管理器。整个过程可以分为几个清晰的步骤安装Docker环境、配置并启动Vaultwarden以及设置安全访问HTTPS。这里为你梳理了一份完整的操作指南。 操作步骤概览步骤核心内容关键指令/动作1. 安装Docker安装Docker引擎和Compose插件sudo apt updatesudo apt install docker.io docker-compose-v22. 准备目录为Vaultwarden的数据和配置创建文件夹mkdir -p ~/vaultwarden cd ~/vaultwarden3. 编写配置文件创建docker-compose.yml来定义服务使用nano docker-compose.yml创建文件并粘贴配置内容4. 启动服务拉取镜像并在后台启动容器docker compose up -d5. 设置HTTPS重要配置反向代理以启用SSL加密使用Nginx/Caddy等工具进行配置或参考Cloudflare Tunnel方案6. 创建账户通过浏览器访问你的域名完成账户注册访问https://你的域名按页面提示创建账户 详细操作指南第1步安装 Docker 环境首先更新你的软件包列表并安装docker.io和docker-compose-v2插件。sudoaptupdatesudoaptinstalldocker.io docker-compose-v2-y安装完成后启动并设置Docker服务开机自启sudosystemctl startdockersudosystemctlenabledocker第2步创建项目目录为Vaultwarden创建一个专用的文件夹后续所有数据都会保存在这里。mkdir-p~/vaultwardencd~/vaultwarden第3步编写 docker-compose.yml 文件这是一个关键步骤。在~/vaultwarden目录下创建一个名为docker-compose.yml的文件。nanodocker-compose.yml将以下内容粘贴进去。这个配置开启了对WebSocket的支持这对于移动端App和浏览器插件的实时同步非常重要。version:3services:vaultwarden:image:vaultwarden/server:latestcontainer_name:vaultwardenrestart:unless-stoppedenvironment:WEBSOCKET_ENABLED:true# 启用WebSocket支持volumes:-./vw-data:/data# 将数据持久化到当前目录下的vw-data文件夹ports:-127.0.0.1:8080:80# 仅监听本机8080端口不直接暴露给外网配置说明restart: unless-stopped保证容器意外停止后能自动重启。volumes将容器内的/data目录映射到宿主机的./vw-data这是你的密码库数据存储位置务必注意备份。ports将容器内的80端口映射到宿主机的127.0.0.1:8080。绑定到127.0.0.1是一个关键的安全实践这意味着Vaultwarden只能通过本机访问外部网络无法直接连接必须通过后续的反向代理才能访问。保存并退出文件按CtrlX然后按Y最后按Enter。第4步启动 Vaultwarden 服务在~/vaultwarden目录下运行以下命令启动服务dockercompose up-d-d参数表示让容器在后台运行。你可以使用docker ps命令来查看容器是否正常运行状态应为Up。第5步配置 HTTPS 反向代理关键安全步骤密码管理器绝对不能在未加密的HTTP协议下使用。你需要通过一个反向代理服务器为你的Vaultwarden加上SSL证书从而通过HTTPS访问。这里有几种常见的方案供你选择方案一使用Nginx或Caddy手动配置最通用这是最经典的方式。你需要在一台服务器上安装Nginx或Caddy并配置它们将来自https://你的域名的请求转发到本地的http://127.0.0.1:8080。如果你用Caddy它会自动申请和续期SSL证书配置相对简单。你只需要在Caddyfile中添加几行配置。如果你用Nginx你需要自己处理SSL证书可以用Let’s Encrypt的Certbot工具自动获取并配置反向代理规则。特别要注意的是为了WebSocket正常工作你需要在Nginx配置中添加对/notifications/hub路径的特殊处理。方案二使用 Cloudflare Tunnel无需公网IP如果你的服务器没有公网IP或者不想在防火墙上开放端口这是一个绝佳的选择。你可以通过Cloudflare Zero Trust面板创建一个Tunnel并将其指向本地的http://localhost:8080。这种方式不仅能自动处理HTTPS还能隐藏你的源站IP安全性很高。第6步创建你的主账户当你配置好域名和HTTPS后就可以在浏览器中访问你的域名例如https://vault.yourdomain.com。如果是第一次访问页面会提示你“创建一个账户”。请务必牢记你填写的电子邮箱和主密码这是你访问所有密码的唯一凭证。第7步连接客户端Vaultwarden完全兼容Bitwarden的官方客户端。在手机App或浏览器插件中登录时记得点击右上角的“设置”图标将“服务器URL”改为你自己部署的域名地址例如https://vault.yourdomain.com然后再用你在第6步创建的账户登录。 一些安全建议创建账户后立即关闭注册功能在你的账户创建成功后为了安全应该禁止其他人再注册。你可以修改docker-compose.yml文件在environment部分添加- SIGNUPS_ALLOWEDfalse然后运行docker compose down和docker compose up -d重启服务。定期备份数据vw-data文件夹包含了你的所有密码数据。请定期备份这个文件夹并将其存储到安全的地方。启用两步验证登录Vaultwarden的Web管理界面后强烈建议在“设置”中开启“两步登录”为你的主账户再添加一层保护。