bitwarden到底自建还是官方-orwtmc

rt，如果要找个稳定的机子的话，一年可能都不止10刀，官方是10刀每年
有人用官方的吗，实在不想折腾
自建维护麻烦，机子还怕死
主要是担心官方会不会有安全性问题

热议
推荐楼 dvbhack 10小时前

我只用自建的。

用 docker 部署在腾讯云（正规云服务商的都一样，但用免费甲骨文，白**azure，欠费aws，oneman vps的就不作为同类型讨论了）

一：主密码

主密码不记录在任何地方，只有自己大脑里记着，主密码18位，大小写数字特殊符号都包括了。

二：vault（密码库）
关了注册，关了admin，账户开启了2FA，一是非信任设备登录必须经过2FA验证，二是非常用地登录会立刻发邮件通知我。

三：服务器
服务器禁用root登录，禁用密码登录，只允许 ed25519 算法的 ssh key 登录，端口非默认， fail2ban 禁止反复尝试。

四：部署

bitwarden 这台机器配置不算高，但上面只部署这个服务，没有其它的东西在上面跑。

五：备份

每隔8小时，数据库和附件会自动打包备份到 COS + OBS（OSS或其它正规存储服务也一样，但免费版、内测版、白**和小服务商的就不作为同类讨论了）。

-----------

担心不安全的，你其实只需要考虑好三个问题：
1. 服务安全，密码服务太重要了，一旦数据丢失，那损失是最大的，所以要依赖可靠的服务商，服务能稳定，万一不能用了，起码能取回数据（多点备份）。
2. 主机安全，会不会很容易被人攻破拿走你的数据库和附件。
3. 主密码安全，会不会被人通过猜测、暴力破解或者社工手段拿到你的主密码。

其中2其实没那么危险，只要确保了3，即使别人攻破你的机器拿到你的数据，也拿不到你的密码。

-------

我为什么不选择官方？

因为它是外国的啊。我不质疑官方的安全性，安全性不会是问题，包括lastpass这些，安全性也不是问题。我只担心它的持续可用性。

不必去争意识形态的东西，也不要去考虑谁对谁错的问题。中美激烈对抗的当下，美国主动制裁禁止中国地区用户使用是一种风险（美国跟中国商家一样，也会为了保命对政府监管做出过度自我审查），中国阻断出境流量不可访问是另一种风险（并不是说不敏感的东西就一定能用，误伤、牵连、全面断网、白名单机制……曾经被牵连导致不可用的正常内容还少吗？）。
这两种风险我觉得比我的数据被人黑了的可能性大多了。

另外，我得反正是自己用，当然是延迟10ms以内的广州云比海外的机器的速度快啊。我在手机 bw 上扫码启用一个 2FA，电脑上几乎是秒同步启用，这不香？

推荐楼 875 18小时前

官方的相比自己安全性上肯定会高，但是目标也大，搞钱的会盯上那种大库，而你自己小鸡搭建的人家都看不上，虽然安全性低了点但是目标小，自己权衡利弊

推荐楼 xinmang 19小时前

有能力推荐自建，用官方的也可，都是成熟的方案了，如果你要质疑一个搞安全的公司不安全，我也没办法

推荐楼 草丛中一杯茶 19小时前

这问题就不要纠结了，都有道理，你只要有钱，想放哪就放哪

推荐楼 ansheng 19小时前

之前自建一年多，后来清理小鸡把服务都搬到云上了，目前用官方一切正常，免费版也可以满足需求了

推荐楼 尼克 19小时前

拿个小本本记 一毛钱不花

推荐楼 KuYeHQ 19小时前

mjj还会缺小鸡？

4楼 Waylon 19小时前

没有绝对安全的系统

5楼 orwtmc 19小时前

KuYeHQ 发表于 2022-6-5 00:45
mjj还会缺小鸡？

要稳的机子，太难找。
放密码这些，肯定是大厂正价，问题是都好贵

6楼 菜单 19小时前

官方肯定比你自己的安全。

7楼 zixi 19小时前

有些人就是单纯自己搭建用而已，拿吃灰的小鸡搞着玩，安全性来说，除非你把钥匙泄露，不然基本不用担心

8楼 gzchenjz 19小时前

目前和AdGuard Home一起放在NAS上

9楼 AaronYYDS 19小时前

目前用的enpass 密码存储在iCloud上 用着还不错

10楼 roxsky 19小时前

我是自建，本来自用的小飞机，搭了个vaultwarden，然后rclone定时备份，稳得很。
本来小飞机就是刚需，等于这个vaultwarden一分钱都没花。

12楼 草丛中一杯茶 19小时前

这问题就不要纠结了，都有道理，你只要有钱，想放哪就放哪

13楼 xinmang 19小时前

有能力推荐自建，用官方的也可，都是成熟的方案了，如果你要质疑一个搞安全的公司不安全，我也没办法

14楼 ugvfpdcuwfnh 18小时前

自建挺简单的，论坛里基本不缺鸡，就是一行命令的事儿。

而且自建可以有官方收费的功能哦，安全性也不用担心，就一个小站，你不透露，没人攻击。

15楼 orwtmc 18小时前

xinmang 发表于 2022-6-5 01:11
有能力推荐自建，用官方的也可，都是成熟的方案了，如果你要质疑一个搞安全的公司不安全，我也没办法 ...

说的好，用官方

16楼 875 18小时前

官方的相比自己安全性上肯定会高，但是目标也大，搞钱的会盯上那种大库，而你自己小鸡搭建的人家都看不上，虽然安全性低了点但是目标小，自己权衡利弊

17楼 zdery 18小时前

官方安全性怎样不清楚，自建安全性也不低。
搭在腾讯的机器上，拿到本机IP，用腾讯防火墙api控制IP白名单。
但是安卓和ios的代码我不会写，电脑端用chrom记住就行了，就搁置了。

18楼 dvbhack 10小时前

我只用自建的。

用 docker 部署在腾讯云（正规云服务商的都一样，但用免费甲骨文，白**azure，欠费aws，oneman vps的就不作为同类型讨论了）

一：主密码

主密码不记录在任何地方，只有自己大脑里记着，主密码18位，大小写数字特殊符号都包括了。

二：vault（密码库）
关了注册，关了admin，账户开启了2FA，一是非信任设备登录必须经过2FA验证，二是非常用地登录会立刻发邮件通知我。

三：服务器
服务器禁用root登录，禁用密码登录，只允许 ed25519 算法的 ssh key 登录，端口非默认， fail2ban 禁止反复尝试。

四：部署

bitwarden 这台机器配置不算高，但上面只部署这个服务，没有其它的东西在上面跑。

五：备份

每隔8小时，数据库和附件会自动打包备份到 COS + OBS（OSS或其它正规存储服务也一样，但免费版、内测版、白**和小服务商的就不作为同类讨论了）。

-----------

担心不安全的，你其实只需要考虑好三个问题：
1. 服务安全，密码服务太重要了，一旦数据丢失，那损失是最大的，所以要依赖可靠的服务商，服务能稳定，万一不能用了，起码能取回数据（多点备份）。
2. 主机安全，会不会很容易被人攻破拿走你的数据库和附件。
3. 主密码安全，会不会被人通过猜测、暴力破解或者社工手段拿到你的主密码。

其中2其实没那么危险，只要确保了3，即使别人攻破你的机器拿到你的数据，也拿不到你的密码。

-------

我为什么不选择官方？

因为它是外国的啊。我不质疑官方的安全性，安全性不会是问题，包括lastpass这些，安全性也不是问题。我只担心它的持续可用性。

不必去争意识形态的东西，也不要去考虑谁对谁错的问题。中美激烈对抗的当下，美国主动制裁禁止中国地区用户使用是一种风险（美国跟中国商家一样，也会为了保命对政府监管做出过度自我审查），中国阻断出境流量不可访问是另一种风险（并不是说不敏感的东西就一定能用，误伤、牵连、全面断网、白名单机制……曾经被牵连导致不可用的正常内容还少吗？）。
这两种风险我觉得比我的数据被人黑了的可能性大多了。

另外，我得反正是自己用，当然是延迟10ms以内的广州云比海外的机器的速度快啊。我在手机 bw 上扫码启用一个 2FA，电脑上几乎是秒同步启用，这不香？

19楼 clcavril 9小时前

rclone啊 强加密备份到gd 再说了 没有主密码拿到你数据库也解不开 主密码我是用的一句话的拼音 又好记还不可能被社工

20楼 本人马保国 9小时前

10年轻量 自建了这个和网盘挂载 很稳定

22楼 mujj 9小时前

甲骨文两个小鸡，一个安装bitwarden。

然后在甲骨文安全组那里设置为只开放一个bitwarden的端口（并且只允许2号小鸡访问），连SSH端口都没开。

2号小鸡就反代bitwarden，只开443端口，并且443设置为只有CF能访问。

23楼 此梦无痕 9小时前

你吃灰的机子不用来干些什么，不浪费吗

24楼 小呐~ 8小时前

主要还是机子太多，6台机子，3台完全吃灰，2台几乎吃灰，不搞点啥亏啊

25楼 huanx 8小时前

直接官方吧

26楼 3gW7d7jizJS 8小时前

我是用官方的bitwarden，安全性和可用性都放心，这玩意又不太可能猜到zz红线，而且就算被屏蔽了伏墙就可以替换成其他家的。
自建成本确实高不少，放bitwarden的服务器就不会放其他项目，蛮浪费的。而且要经常确认备份功能在工作也挺费事的，还是官方的省心。。

27楼 louiejordan 8小时前

你觉得是你买的服务器稳定安全还是官方的服务器稳定安全？

28楼 xayle 8小时前

官方10刀, 已经订阅好些年了.

29楼 lokinT 8小时前

除非你自建的服务器比官方稳，不然没必要

30楼 dvbhack 7小时前

甲骨文两个小鸡，一个安装bitwarden。

然后在甲骨文安全组那里设置为只开放一个bitwarden的端口（并且只允 ...

做好及时备份。

甲骨文玄学封号。

32楼 pwbty 7小时前

enpass或者keepass把数据加密放云盘不好吗。我放在Dropbox

33楼 可怕的mjj 6小时前

个人想不懂为啥要自建，除非免费的不能满足你

34楼 LEB 6小时前

个人想不懂为啥要自建，除非免费的不能满足你

免费的没有TOTP

35楼 LEB 6小时前

我放在scaleway，每天自动备份到onedrive

36楼 Ralph 5小时前

官方

37楼 丶Silently 5小时前

自建、源站ip别泄漏 上密钥登陆改端口 每天间隔4小时自动备份到dropbox

38楼 可怕的mjj 21分钟前

免费的没有TOTP

如果TOTP是必须的那就自建, 话说TOTP是啥意思?

39楼 LEB 4分钟前

如果TOTP是必须的那就自建, 话说TOTP是啥意思?

就是那种几秒钟内就过期的“验证码”，跟时间相关的。“双重认证”、“二步验证”

申明：本文内容由网友收集分享，仅供学习参考使用。如文中内容侵犯到您的利益，请在文章下方留言，本站会第一时间进行处理。