Перенёс пароли в self-hosted Vaultwarden и через полгода чуть всё не потерял

[denis9127]

Мораль сразу: делайте бэкапы базы, а не только тома. Поднял Vaultwarden на Raspberry Pi 4, гонял полгода, отлично — 30 мегабайт RAM в простое, докер за 5 минут. Потом сдохла SD-карта и я понял что бэкапил не то.

[ivan1251]

SD-карта на пишущей нагрузке это классика смерти. Vaultwarden же постоянно в sqlite пишет. Надо было выносить на SSD по USB или хотя бы logrotate + бэкап db.sqlite3 по крону на другой диск.

[arseny9906]

Вот теперь так и сделал. Скриптом каждую ночь sqlite3 .backup в отдельную папку + rclone на облако зашифрованным. Но осадочек остался, чуть жену без паролей не оставил, она бы меня съела.

[anton_py83]

А почему не просто KeePassXC + файл в облаке? Без сервера, без обслуживания, kdbx сам зашифрован. Я для семьи так и держу, синк через обычный облачный диск. Конфликтов версий почти не бывает если не редактировать с двух устройств одновременно.

[daemonnode7866]

KeePass хорош для оффлайна, но мне нужен был нормальный браузерный автозаполнятор на всех устройствах и шаринг с женой по коллекциям. На kdbx мультидевайс это боль, особенно на телефонах.

[codelinux601]

Vaultwarden секьюрный но неаудированный, это надо держать в голове. Для дома ок, но я бы не тащил его в контору. И не забудь что админка по дефолту открыта — обязательно ставь ADMIN_TOKEN и прячь за реверс-прокси с basic auth.

[sonya2611]

Да, ADMIN_TOKEN сразу выставил, и наружу вообще не торчит — только через WireGuard в домашнюю сеть. По статистике 30% забрасывают self-host из-за обновлений, я пока держусь, watchtower сам апдейтит контейнер.

[rodion_pixel21]

watchtower на проде это рулетка) однажды он мне молча обновил контейнер на ломаную версию и сервис лёг на сутки. Лучше pin на минор и руками апать когда сам готов разгребать если что.