自建Vaultwarden密码管理是好,但是一定套一层保险套,抵御脱裤子撞裤子公鸡。

哈利路亚 2026-07-05 12:46 1

自建Vaultwarden密码管理可以把所有的东西都掌握在自己手里,确实感觉很爽很省钱。

但是如果日常安全维护不做好,或者没相关防范意识,很容易被扫到然后开始想办法脱你裤子。

不少人是直接把登录验证界面暴露在外网的。大门常打开。

所以前面一定要带一层WAF保险套。不管是SafeLine雷池还是BunkerWeb,有一层这样的东西,你的子子孙孙密码都能更安全。

最新回复 (18)
  • 挺身而出 07-05 12:47
    1

    我是直接内网访问,不允许公网

  • kki 07-05 12:48
    2

    直接把web访问关了怎么说

  • 3az7qmfd 07-05 12:50
    3

    https://vaultwar.de/ 求搞

  • 蛇皮 07-05 12:50
    4

    直接家里云。

  • paranoid945 07-05 12:51
    5

    就算放到公网他怎么被脱?不暴漏在外网你出门在外怎么用?别把人家专门搞安全的想简单了

  • 龙笑天 07-05 13:01
    6

    @3az7qmfd #3 Sorry, you have been blocked

  • iorz 07-05 13:06
    7

    ^-^ 怎么搞法开了2FA ^-^

  • xiaowork 07-05 13:06
    8

    还是用官方的吧,感觉自己出问题的概率比官方大

  • lehuoyisheng 07-05 13:11
    9

    纯内网跑

  • 黑白-a 07-05 13:15
    10

    公网放 Vaultwarden 不是完全不行,但建议至少做几层:



    1. 后台注册关掉:SIGNUPS_ALLOWED=false,别让别人随便注册。

    2. 管理页单独保护:ADMIN_TOKEN 要长随机,/admin 最好别直接公网裸露。

    3. 账户必须开 2FA,最好 WebAuthn/安全密钥,TOTP 次之。

    4. 反代前面加访问限制:Cloudflare Access、Tailscale、ZeroTier、WireGuard、或者只放内网。

    5. fail2ban / WAF / 限速至少上一种,防撞库和爆破。

    6. 定期备份 db.sqlite3 和 attachments,备份也要加密。


    我个人觉得最稳是“公网域名 + CF Access/Tailscale 二选一 + Vaultwarden 自身 2FA”,这样出门能用,也不会完全裸奔。

  • Arnhem 07-05 14:01
    11

    @黑白-a #10


    CF Access 虽好,但是使用 手机app 该怎么办?

  • huangqc 07-05 14:44
    12

    好的,为vaultwarden开了 fail2ban

  • fook 07-05 15:17
    13

    内网 加cf tunnel

  • kk2 07-05 15:23
    14

    最简单就是加tailscale组局域网

  • rar 07-05 18:03
    15

    @黑白-a #10


    谢谢gpt

  • 很大忍一下 07-05 18:16
    16

    VPS仅允许白名单/CF入站,CF添加白名单IP仅允许白名单打开网页端,网页端加任何后缀都拦截,加上登录需要2FA,还能进来的话账号/银行卡就送给大哥了

  • mexun 07-05 18:20
    17

    把admin-token 删掉就没办法访问 admin页面了,登录页面加上Cloudflare的质询,waf对其他Cloudflare的API接口做白名单策略。

    caddy 编译一个速度限制的插件,或者Nginx直接用,再防一下爆破就差不多了。

  • Google 07-05 18:27
    18

    HTTPS + sub-path 就很稳了。

* 帖子来源NodeSeek
返回