Şifreler · KYC yok
Vaultwarden'i Offshore VPS Üzerinde Barındırın
Bitwarden ile uyumlu kendi şifre kasanızı, kontrolünüzdeki donanımda, gizliliğe duyarlı bir yargı bölgesinde çalıştırın; kripto ile ödeyin, kimliğiniz hiçbir şeye bağlanmasın.
Bu nedir
Vaultwarden, Rust ile yazılmış, hafif ve resmi olmayan bir Bitwarden sunucusudur; Bitwarden ile aynı API'yi konuştuğu için tüm resmi Bitwarden istemcileri (tarayıcı eklentileri, masaüstü, iOS/Android, CLI) onunla senkronize olabilir. Şifreler, geçiş anahtarları (passkey), TOTP tohumları, kartlar ve güvenli notlar için şifrelenmiş kasalar saklar; organizasyonlar, ekler ve yönetici kontrolleri sunarken resmi yığının kullandığı RAM'in yalnızca bir kısmını kullanır.
Neden offshore barındırma
Şifre kasanız sahip olduğunuz en hassas varlıktır; bu yüzden sunucuyu kimin elinde tuttuğu ve hangi hukuk düzenine tabi olduğu, kripto para kadar önemlidir. KYC gerektirmeyen, kripto ile ödenen ve gizlilik açısından güçlü bir bölgede (NL/CH/RO/IS) barındırılan bir VPS, şifrelenmiş kasalarınızı saklayan sunucunun yasal kimliğinize bağlı olmadığı, bir ABD/İngiltere celbine tabi olmadığı ve bir ödeme sağlayıcısının sizi devre dışı bırakmasıyla kilitlenemeyeceği anlamına gelir.
Dağıtım
Çalışan bir referans kurulum
Bunu yeni bir ChainVPS örneğine kopyalayın. Yer tutucuları değiştirin, ardından çalıştırın.
# 1) DNS: point vault.example.com -> your ChainVPS IP (A/AAAA record)
# 2) Generate an Argon2 ADMIN_TOKEN (do NOT use a plain string):
# docker run --rm -it vaultwarden/server /vaultwarden hash
# paste the resulting '$argon2id$...' string as ADMIN_TOKEN below (single-quote it in .env)
# 3) Save as docker-compose.yml, create the Caddyfile shown, then: docker compose up -d
services:
vaultwarden:
image: vaultwarden/server:1.32.7
container_name: vaultwarden
restart: unless-stopped
environment:
DOMAIN: "https://vault.example.com" # must match the public URL exactly
SIGNUPS_ALLOWED: "false" # create your account, then keep this false
INVITATIONS_ALLOWED: "true"
ADMIN_TOKEN: "${ADMIN_TOKEN}" # Argon2 hash from step 2, kept in .env
WEBSOCKET_ENABLED: "true" # live sync (served on the main port)
SENDS_ALLOWED: "true"
ROCKET_PORT: "80"
volumes:
- ./vw-data:/data # vaults, attachments, sqlite db, keys
networks: [vw]
# no host port published: only Caddy talks to it over the internal network
caddy:
image: caddy:2
container_name: vaultwarden-caddy
restart: unless-stopped
ports:
- "80:80"
- "443:443"
- "443:443/udp" # HTTP/3
volumes:
- ./Caddyfile:/etc/caddy/Caddyfile:ro
- ./caddy-data:/data
- ./caddy-config:/config
networks: [vw]
depends_on: [vaultwarden]
networks:
vw:
# ---- Caddyfile (same directory) ----
# vault.example.com {
# encode gzip
# reverse_proxy vaultwarden:80
# }
# Caddy fetches and renews a Let's Encrypt cert automatically; HTTPS is mandatory
# because Bitwarden clients use WebCrypto, which only runs on a secure origin.
Güvenlik duvarı
Açılması gereken portlar
| Port | Protokol | Amaç |
|---|---|---|
| 443 | TCP | HTTPS kasa + istemci senkronizasyonu + WebSocket (Caddy üzerinden); herkese açık olması gereken tek port |
| 80 | TCP | HTTP -> HTTPS yönlendirmesi ve ACME/Let's Encrypt sertifika verilmesi |
| 443 | UDP | Daha hızlı istemci senkronizasyonu için isteğe bağlı HTTP/3 (QUIC) |
Doğru boyutlandırma
Hangi plana ihtiyacınız var
VPS Nano/Small (1 vCPU, 1-2 GB RAM)
Vaultwarden, SQLite ile boşta yaklaşık 15-30 MB RAM kullanır; bir Nano plan rahatlıkla yeter. Büyük ekler saklamadığınız sürece depolama alanı ihtiyacı çok küçüktür.
VPS Pro (2 vCPU, 4 GB RAM)
Aynı sunucuda eşzamanlı senkronizasyonlar, ekler ve Caddy ile fail2ban/yedeklemelerin birlikte çalışması için yeterli performans payı sağlar.
VPS Pro (üst seviye) veya giriş seviyesi Dedicated
SQLite'tan Postgres/MySQL'e geçin ve ekleri bir Storage planına ya da daha büyük bir diske taşıyın; özel (dedicated) CPU, yük altında senkronizasyon gecikmesini sabit tutar.
En iyi konumlar: Kasanız için ChainVPS'in gizlilik odaklı bir konumunu seçin: İsviçre (CH) ve İzlanda (IS) güçlü veri koruma ve gizlilik geleneklerine sahiptir, Hollanda (NL) AB gizlilik hukukuyla birlikte mükemmel bağlantı sunar, Romanya (RO) ve Moldova (MD) ise en katı istihbarat paylaşım bloklarının dışında kalır. Gecikmeyi en aza indirmek için siz ve kullanıcılarınızın senkronize olduğu yere coğrafi olarak en yakın konumu seçin; zira kasa her durumda istemci tarafında şifrelenir.
Sıkı güvenlik altına alın
Sıkılaştırma kontrol listesi
- Hesabınızı oluşturduktan sonra SIGNUPS_ALLOWED=false ayarını koruyun ve kullanıcı eklemek için INVITATIONS özelliğini kullanın; herkese açık bir kasada açık bir kayıt uç noktası kötüye kullanım için davetiye çıkarır.
- ADMIN_TOKEN değerini her zaman 'vaultwarden hash' ile üretilmiş bir Argon2 özetine ayarlayın (asla düz metin bir dize kullanmayın) veya yapılandırma tamamlandıktan sonra ADMIN_TOKEN'ı boş bırakarak /admin panelini tamamen devre dışı bırakın. /admin'i yalnızca kendi IP'nize açacak şekilde güvenlik duvarı kuralı düşünün.
- Yalnızca HTTPS'i zorunlu kılın ve Let's Encrypt sertifikalarını Caddy'nin yönetmesine izin verin; Bitwarden istemcileri düz HTTP üzerinden şifreleme çalıştırmayı reddeder ve geçerli bir sertifika senkronizasyon sırasında downgrade/MITM saldırılarını engeller.
- ./vw-data dizinini (özellikle rsa_key.pem, config.json, db.sqlite3 ve ekleri) düzenli olarak bir ChainVPS Storage planı gibi sunucu dışı bir konuma yedekleyin; rsa_key.pem dosyasının kaybedilmesi mevcut tüm oturumları/token'ları geçersiz kılar.
- Kaba kuvvet giriş denemelerini engellemek için fail2ban'ı Vaultwarden'ın günlüğüne (LOG_FILE + LOG_LEVEL) karşı çalıştırın ve her kullanıcının 2FA'yı etkinleştirmesini zorunlu kılın; ufw/nftables üzerinden yalnızca 80/443'ü dışarıya açın ve geri kalan her şeyi engelleyin.
Bunu şurada devreye alın
Doğru ChainVPS ürünü
Sorular
Hosting Vaultwarden — SSS
Vaultwarden, Bitwarden ile aynı şey mi?
Bitwarden API'sinin ayrı, hafif bir sunucu uygulamasıdır. Bitwarden Inc. tarafından yapılmamıştır, ancak resmi Bitwarden uygulamaları ve eklentileri onunla sorunsuz çalışır; kasaları, organizasyonları, ekleri, Send'leri ve geçiş anahtarlarını (passkey) destekler. Resmi sunucu yığınının kaynak yükü olmadan kendi sunucusunda barındırma isteyen bireyler ve küçük ekipler için idealdir.
Sunucu el konulursa ya da barındırma sağlayıcısı ele geçirilirse verilerim güvende mi?
Kasalar, ana şifrenizden türetilen bir anahtarla istemci tarafında şifrelenip çözülür; bu nedenle sunucu her zaman yalnızca şifreli metni (ciphertext) saklar. KYC gerektirmeyen ve gizliliğe duyarlı bir yargı bölgesindeki bir sunucuda barındırma, erişimi kimlerin zorlayabileceğini azaltır; ancak yine de güçlü bir ana şifre kullanmanız, 2FA'yı etkinleştirmeniz ve giriş akışını korumak için DOMAIN'i HTTPS üzerinde tutmanız gerekir.
HTTPS'e ihtiyacım var mı, yoksa düz bir IP kullanabilir miyim?
Geçerli bir sertifika ve bir alan adına sahip HTTPS'e ihtiyacınız vardır. Bitwarden istemcileri, yalnızca güvenli bir kaynak (origin) üzerinde çalışan tarayıcı WebCrypto API'sini kullanır; bu nedenle düz http:// veya çıplak IP kurulumu senkronize olamaz. Dahil edilen Caddy servisi, ücretsiz bir Let's Encrypt sertifikasını otomatik olarak alır ve yeniler.
SQLite mi, MySQL/Postgres mi?
SQLite (varsayılan), kişisel kullanım ve birkaç düzine kullanıcıya kadar küçük ekipler için gayet yeterli ve en hızlı seçenektir. Yalnızca büyük, çoklu organizasyonlu kurulumlarda ya da merkezi veritabanı yedekleme ve replikasyon istediğinizde MySQL veya PostgreSQL'e geçin; buna göre DATABASE_URL'yi ayarlayın.
Herkese açık kayıt olmadan kullanıcıları nasıl eklerim?
SIGNUPS_ALLOWED=false ve INVITATIONS_ALLOWED=true ayarlarını koruyun, ardından kullanıcıları bir Organizasyondan (veya /admin paneli üzerinden) davet edin. Davet edilen kullanıcılar, herkese açık kayıt kapalı olsa bile bir davet alır ve kayıt olabilir; bu da uç noktanın kötüye kullanılmasını önler.
VPS için kimlik vermeden ödeme yapabilir miyim?
Evet. ChainVPS, KYC gerektirmez ve kripto para kabul eder; bu sayede şifrelenmiş kasalarınızı barındıran sunucu, yasal kimliğinize ya da hesabı dondurabilecek bir kart işlemcisine bağlı değildir.
Kendi barındırmak için daha fazlası
Diğer tek tıkla kurulan yazılım yığınları
Hemen kur Vaultwarden
önümüzdeki 60 saniye içinde.
Sınırsız bant genişliği · DDoS dahil · 21 kripto para birimi · KYC yok.