vellis/wiki
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
bda02d587f9bf05f2e0b9b9a2d9c627157326057
wiki/Catalogue-Self-Hosted/apps/app-vaultwarden.md
T
vellis bda02d587f Initial vault setup
2026-06-09 18:40:21 +02:00

162 lines
4.8 KiB
Markdown
Raw Blame History

---
title: Vaultwarden
created: 2026-06-06
updated: 2026-06-06
type: app
tags: [catalogue, 2FA, password-manager, security, rust]
confidence: high
contested: false
sources: [https://selfh.st/apps/?tag=2FA, https://github.com/dani-garcia/vaultwarden]
---
# 🔐 Vaultwarden
> **Serveur Bitwarden-compatible**, écrit en Rust. Le standard de facto pour auto-héberger son gestionnaire de mots de passe.
## 📋 Informations Générales
| Champ | Valeur |
| :--- | :--- |
| **Site web** | [github.com/dani-garcia/vaultwarden](https://github.com/dani-garcia/vaultwarden) |
| **GitHub** | [dani-garcia/vaultwarden](https://github.com/dani-garcia/vaultwarden) |
| **License** | AGPL-3.0 |
| **Langage** | Rust |
| **Étoiles GitHub** | 62k ⭐ |
| **Dernière MAJ** | 2026-06-05 |
| **Catégorie** | [[cat-2fa|2FA]], [[cat-password-manager|Password Manager]] |
| **Mainteneur** | dani-garcia + communauté |
## 📝 Description
**Vaultwarden** est une réécriture non-officielle du serveur Bitwarden en Rust, beaucoup plus légère que l'original. Elle supporte **tous les clients Bitwarden** (browser, mobile, desktop) et inclut :
- Stockage chiffré de mots de passe
- Authentification 2FA (TOTP, WebAuthn, YubiKey, Duo, Email)
- Partage sécurisé entre utilisateurs
- Génération de mots de passe
- Audit des mots de passe compromis (HaveIBeenPwned)
- Support de fichiers joints chiffrés
- API compatible avec tous les clients Bitwarden officiels
**Avantage clé** : consomme ~100 Mo de RAM (vs 1+ Go pour le serveur officiel Bitwarden en C#/.NET).
## 🚀 Installation
### Option 1 : Docker Compose (recommandé)
```yaml
# docker-compose.yml
version: '3.8'
services:
vaultwarden:
image: vaultwarden/server:latest
container_name: vaultwarden
restart: unless-stopped
environment:
- DOMAIN=https://vault.example.com
- SIGNUPS_ALLOWED=true
- INVITATIONS_ALLOWED=true
- SHOW_PASSWORD_HINT=false
- LOG_LEVEL=info
- ROCKET_PORT=80
volumes:
- ./data:/data
ports:
- "8080:80"
# Optionnel : désactiver les nouvelles inscriptions après setup
# - SIGNUPS_ALLOWED=false
```
Avec **[[traefik]]** (reverse proxy), voici un exemple plus complet :
```yaml
version: '3.8'
services:
vaultwarden:
image: vaultwarden/server:latest
container_name: vaultwarden
restart: unless-stopped
environment:
- DOMAIN=https://vault.example.com
- SIGNUPS_ALLOWED=true
- LOG_LEVEL=info
volumes:
- vw-data:/data
labels:
- "traefik.enable=true"
- "traefik.http.routers.vaultwarden.rule=Host(`vault.example.com`)"
- "traefik.http.routers.vaultwarden.entrypoints=websecure"
- "traefik.http.routers.vaultwarden.tls.certresolver=letsencrypt"
- "traefik.http.services.vaultwarden.loadbalancer.server.port=80"
networks:
- proxy
traefik:
# ... votre config Traefik existante
volumes:
vw-data:
networks:
proxy:
external: true
```
### Option 2 : Docker run
```bash
docker run -d \
--name vaultwarden \
--restart unless-stopped \
-e DOMAIN=https://vault.example.com \
-v /path/to/data:/data \
-p 8080:80 \
vaultwarden/server:latest
```
## ⚙️ Configuration Initiale
1. **Démarrer le conteneur** (Docker Compose ci-dessus)
2. **Créer un compte** sur `https://vault.example.com`
3. **Désactiver les inscriptions** après votre premier compte :
```yaml
- SIGNUPS_ALLOWED=false
```
4. **Activer le 2FA** dans les paramètres de votre compte
5. **Installer les clients** :
- Browser : extension Bitwarden
- Mobile : app Bitwarden (iOS/Android)
- Desktop : app Bitwarden
## 🔄 Alternatives
### Open Source
- [[app-bitwarden]] — Serveur officiel (plus lourd, C#/.NET)
- [[app-passbolt]] — Orienté équipes, PHP
- **KeePassXC** — Local only (pas de sync cloud)
### Propriétaires (ce que Vaultwarden remplace)
- **1Password** — Propriétaire, ~60$/an
- **LastPass** — Piraté en 2022, déconseillé
- **Dashlane** — Propriétaire
- **Keeper** — Propriétaire
## 🔐 Sécurité
- **Chiffrement** : AES-256 côté serveur, zéro-knowledge (Bitwarden ne peut pas lire vos mots de passe)
- **2FA** : Supporte TOTP, WebAuthn/FIDO2, YubiKey, Duo, Email
- **Backups** : `./data` contient la base SQLite — sauvegarder régulièrement !
- **HTTPS obligatoire** : Ne JAMAIS exposer en HTTP
## 📚 Ressources
- [Documentation officielle](https://github.com/dani-garcia/vaultwarden/wiki)
- [Wiki — Reverse proxy config](https://github.com/dani-garcia/vaultwarden/wiki/Proxy-examples)
- [Reddit r/Vaultwarden](https://www.reddit.com/r/Vaultwarden/)
- [Discord Vaultwarden](https://discord.gg/vaultwarden)
## Pages Liées
- [[cat-2fa]] — Catégorie 2FA
- [[cat-password-manager]] — Catégorie Password Manager
- [[traefik]] — Reverse proxy
- [[securisation-home-lab]] — Sécurité du serveur
- [[recettes-docker-compose]] — Templates Docker
Reference in New Issue View Git Blame Copy Permalink