joywaygamess/server-deploy
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

添加 siyuan certd vaultwarden

Browse Source
This commit is contained in:
Joywayer
2026-04-07 16:03:47 +08:00
parent 3b01ca8ed3
commit 41a586b97b
25 changed files with 2894 additions and 27 deletions
Download Patch File Download Diff File Expand all files Collapse all files

44
vaultwarden/.env.example Normal file
View File

@@ -0,0 +1,44 @@
# ===== Vaultwarden 基础配置 =====
# Vaultwarden 访问域名(必须修改)
VAULTWARDEN_DOMAIN=vault.example.com
# Let's Encrypt 邮箱(必须修改)
CERTBOT_EMAIL=admin@example.com
# ===== 安全配置 =====
# 管理员面板令牌(部署脚本自动生成随机字符串)
# 如需更安全的 argon2id 哈希,运行: docker run --rm -it vaultwarden/server /vaultwarden hash
# 将哈希值用单引号包裹填入,如: ADMIN_TOKEN='$argon2id$v=19$m=65540,t=3,p=4$...'
ADMIN_TOKEN=
# 是否允许新用户注册(部署完成注册好账号后建议关闭)
SIGNUPS_ALLOWED=true
# 是否显示密码提示
SHOW_PASSWORD_HINT=false
# 是否允许 Send 功能
SENDS_ALLOWED=true
# ===== 镜像配置 =====
# Vaultwarden 镜像
VAULTWARDEN_IMAGE=vaultwarden/server:latest
# ===== 目录与端口 =====
# 数据目录SQLite 数据库 + 附件 + 密钥)
VAULTWARDEN_DATA_DIR=/var/lib/vaultwarden
# 本地监听端口Nginx 反向代理目标)
VAULTWARDEN_PORT=8080
# 备份目录
BACKUP_DIR=/var/backups/vaultwarden
# ===== 日志 =====
# 日志级别: trace, debug, info, warn, error
LOG_LEVEL=info

328
vaultwarden/README.md Normal file
View File

@@ -0,0 +1,328 @@
# Vaultwarden 部署指南
Bitwarden 兼容的自托管密码管理器,轻量、安全、功能完整。
## 功能特性
- 完全兼容 Bitwarden 官方客户端(浏览器插件、桌面端、移动端)
- 密码、笔记、信用卡、身份信息安全存储
- TOTP 两步验证码生成
- 密码分享Send 功能)
- 组织与多用户协作
- 管理员面板
- 轻量级:使用 SQLite单容器约 50MB 内存
## 技术栈
| 组件 | 版本 | 说明 |
|------|------|------|
| Vaultwarden | latest | Bitwarden 兼容服务端Rust 实现) |
| SQLite | 内置 | 轻量数据库,无需额外部署 |
| Nginx | 系统包 | 反向代理 + HTTPSBitwarden 客户端必须 HTTPS |
| Docker | 最新版 | 容器运行环境 |
## 前置条件
1. 一台 Linux 服务器Ubuntu 22.04/24.04 推荐)
2. 一个已解析到服务器的域名(如 `vault.example.com`
3. 服务器 80/443 端口可从外网访问
4. **必须启用 HTTPS**Bitwarden 客户端强制要求)
## 目录结构
```
vaultwarden/
├── docker-compose.yml # 容器编排
├── .env.example # 配置模板
├── deploy.sh # 一键部署脚本
├── backup.sh # 备份脚本
├── nginx/
│ └── vaultwarden.conf # Nginx 反向代理配置
└── README.md # 本文件
```
服务器上的数据目录:
```
/var/lib/vaultwarden/ # Vaultwarden 数据SQLite + 附件 + RSA 密钥)
/var/backups/vaultwarden/ # 备份文件
```
## 快速部署
### 第一步:上传文件到服务器
```bash
# 在本地执行,上传 base 和 vaultwarden 目录
scp -r base/ vaultwarden/ root@<服务器IP>:/opt/
```
### 第二步:登录服务器执行部署
```bash
ssh root@<服务器IP>
# 如果是全新服务器,先安装基础环境
cd /opt/base
cp .env.example .env
bash setup.sh
# 部署 Vaultwarden
cd /opt/vaultwarden
bash deploy.sh
# 首次运行会生成 .env含自动生成的 ADMIN_TOKEN按提示修改后重新运行
vi .env
bash deploy.sh
```
### 第三步:配置域名解析
在域名服务商添加 A 记录:
| 记录类型 | 主机记录 | 记录值 |
|----------|----------|--------|
| A | vault | `<服务器公网IP>` |
### 第四步:注册账号
1. 浏览器访问 `https://vault.yourdomain.com`
2. 点击「创建账户」注册一个主账号
3. 注册完成后,**强烈建议关闭注册功能**
```bash
cd /opt/vaultwarden
# 编辑 .env将 SIGNUPS_ALLOWED 改为 false
vi .env
docker compose restart
```
### 第五步:安装客户端
1. 下载 Bitwarden 客户端https://bitwarden.com/download/
2. 打开客户端,点击左上角齿轮图标
3. 在「自托管服务器」中填入服务器 URL`https://vault.yourdomain.com`
4. 保存后使用注册的账号登录
## 配置说明
### .env 配置项
| 变量 | 说明 | 默认值 |
|------|------|--------|
| `VAULTWARDEN_DOMAIN` | 访问域名 | 必填 |
| `CERTBOT_EMAIL` | Let's Encrypt 邮箱 | 必填 |
| `ADMIN_TOKEN` | 管理员面板令牌 | 自动生成 |
| `SIGNUPS_ALLOWED` | 允许新用户注册 | `true` |
| `SHOW_PASSWORD_HINT` | 显示密码提示 | `false` |
| `SENDS_ALLOWED` | 允许 Send 功能 | `true` |
| `VAULTWARDEN_IMAGE` | Docker 镜像 | `vaultwarden/server:latest` |
| `VAULTWARDEN_DATA_DIR` | 数据目录 | `/var/lib/vaultwarden` |
| `VAULTWARDEN_PORT` | 本地监听端口 | `8080` |
| `BACKUP_DIR` | 备份目录 | `/var/backups/vaultwarden` |
| `LOG_LEVEL` | 日志级别 | `info` |
### 管理员面板
访问 `https://vault.yourdomain.com/admin`,输入 `ADMIN_TOKEN` 中的明文令牌即可登录。
管理员面板可以:
- 查看所有用户
- 邀请新用户(关闭注册后)
- 删除用户
- 查看系统诊断信息
- 调整运行时配置
> **安全提醒**:可在 Nginx 配置中限制 `/admin` 路径仅允许特定 IP 访问。
### 使用 argon2id 加强 ADMIN_TOKEN 安全性
部署脚本默认生成随机字符串作为 ADMIN_TOKEN。如需使用更安全的 argon2id 哈希:
```bash
# 生成 argon2id 哈希(使用 Bitwarden 默认参数: m=64MiB, t=3, p=4
docker run --rm -it vaultwarden/server /vaultwarden hash
# 或使用 OWASP 推荐参数m=19MiB, t=2, p=1更节省内存
docker run --rm -it vaultwarden/server /vaultwarden hash --preset owasp
```
将生成的哈希值填入 `.env` 时,**必须用单引号包裹**(因为 argon2id 字符串包含 `$` 符号):
```bash
# .env 中的写法(注意单引号)
ADMIN_TOKEN='$argon2id$v=19$m=65540,t=3,p=4$MmeK......'
```
> **注意**:登录管理面板时输入的是你生成哈希时使用的**原始明文密码**,不是哈希值本身。
## 日常运维
### 查看日志
```bash
cd /opt/vaultwarden
docker compose logs -f
docker compose logs --tail 100
```
### 备份
```bash
cd /opt/vaultwarden
bash backup.sh
```
备份内容包括:
- SQLite 数据库(支持在线安全备份)
- 附件和 RSA 密钥
- 部署配置
也可使用 Vaultwarden v1.32.1+ 内置备份命令:
```bash
docker exec -it vaultwarden /vaultwarden backup
```
备份文件保存在 `/var/backups/vaultwarden/`,自动清理 30 天前的旧备份。
**建议配置定时备份:**
```bash
# 每天凌晨 2 点自动备份
crontab -e
# 添加:
0 2 * * * cd /opt/vaultwarden && bash backup.sh >> /var/log/vaultwarden-backup.log 2>&1
```
### 恢复备份
```bash
cd /opt/vaultwarden
docker compose down
# 查看可用备份
ls /var/backups/vaultwarden/
# ⚠ 重要:先删除现有 WAL 文件,避免与恢复的数据库不匹配导致损坏
rm -f /var/lib/vaultwarden/db.sqlite3-wal /var/lib/vaultwarden/db.sqlite3-shm
# 恢复数据库
cp /var/backups/vaultwarden/<日期>/db.sqlite3 /var/lib/vaultwarden/
# 恢复附件
tar xzf /var/backups/vaultwarden/<日期>/vaultwarden-data.tar.gz -C /var/lib/
# 重启
docker compose up -d
```
> **警告**:恢复通过 `.backup` 方式创建的备份时,**必须先删除**现有的 `db.sqlite3-wal` 文件,否则 SQLite 会尝试用旧的 WAL 文件恢复数据库,可能导致数据损坏。
### 升级
```bash
cd /opt/vaultwarden
# 1. 备份数据
bash backup.sh
# 2. 拉取新镜像
docker compose pull
# 3. 重启
docker compose up -d
# 4. 检查运行状态
docker compose ps
docker compose logs --tail 20
```
### 停止 / 启动
```bash
cd /opt/vaultwarden
docker compose down # 停止
docker compose up -d # 启动
docker compose restart # 重启
```
## 安全加固建议
### 1. 关闭注册
注册好所有需要的账号后:
```bash
# .env 中设置
SIGNUPS_ALLOWED=false
```
### 2. 限制管理面板访问
`nginx/vaultwarden.conf` 中取消注释 `/admin` 的 IP 限制部分,仅允许你的 IP 访问。
### 3. 启用两步验证
登录 Vaultwarden Web 界面 → 设置 → 两步登录 → 启用 TOTP 或其他验证方式。
### 4. 定期备份
配置定时任务,每天自动备份,并将备份文件同步到异地存储。
## 故障排查
### 客户端无法连接
```bash
# 检查 HTTPS 是否正常
curl -I https://vault.yourdomain.com
# 检查容器是否运行
docker compose ps
# 检查端口
curl http://127.0.0.1:8080/alive
```
### 502 Bad Gateway
```bash
# 容器未运行
docker compose up -d
# 检查端口是否匹配
grep VAULTWARDEN_PORT .env
grep proxy_pass /etc/nginx/sites-available/vaultwarden
```
### 管理面板无法登录
```bash
# 确认 ADMIN_TOKEN 已设置
grep ADMIN_TOKEN .env
# 如果使用 argon2id 哈希,登录时输入的是原始明文密码
# 检查容器日志中的错误
docker compose logs --tail 20
```
### SSL 证书问题
```bash
# 检查证书状态
certbot certificates
# 手动续期
certbot renew --dry-run
# 检查域名解析
dig vault.yourdomain.com
```
## 端口说明
| 端口 | 协议 | 说明 |
|------|------|------|
| 80 | TCP | HTTP → HTTPS 重定向 |
| 443 | TCP | HTTPSNginx 反向代理) |
| 8080 | TCP | Vaultwarden HTTP仅监听 127.0.0.1 |

92
vaultwarden/backup.sh Normal file
View File

@@ -0,0 +1,92 @@
#!/usr/bin/env bash
set -euo pipefail
# ============================================
# Vaultwarden 备份脚本
# 备份 SQLite 数据库 + 附件 + 配置
# ============================================
SCRIPT_DIR="$(cd "$(dirname "${BASH_SOURCE[0]}")" && pwd)"
cd "$SCRIPT_DIR"
# 加载配置
if [ -f .env ]; then
set -a; source .env; set +a
else
echo "[ERROR] .env 文件不存在,请先运行 deploy.sh" >&2
exit 1
fi
# ===== 配置 =====
DATA_DIR="${VAULTWARDEN_DATA_DIR:-/var/lib/vaultwarden}"
BACKUP_BASE="${BACKUP_DIR:-/var/backups/vaultwarden}"
TIMESTAMP=$(date +%Y%m%d_%H%M%S)
BACKUP_DIR_FULL="${BACKUP_BASE}/${TIMESTAMP}"
RETENTION_DAYS=30
echo "========== Vaultwarden 备份 =========="
echo "时间: $(date '+%Y-%m-%d %H:%M:%S')"
echo "数据目录: $DATA_DIR"
echo "备份目录: $BACKUP_DIR_FULL"
echo ""
mkdir -p "$BACKUP_DIR_FULL"
# ===== 备份 SQLite 数据库 =====
echo "[1/4] 备份 SQLite 数据库..."
DB_FILE="$DATA_DIR/db.sqlite3"
if [ -f "$DB_FILE" ]; then
# 使用 sqlite3 .backup 命令进行在线安全备份
if command -v sqlite3 &> /dev/null; then
sqlite3 "$DB_FILE" ".backup '$BACKUP_DIR_FULL/db.sqlite3'"
echo " ✓ 数据库已安全备份 (sqlite3 .backup)"
else
# 降级:直接复制(建议先停止容器)
cp "$DB_FILE" "$BACKUP_DIR_FULL/db.sqlite3"
cp "${DB_FILE}-wal" "$BACKUP_DIR_FULL/db.sqlite3-wal" 2>/dev/null || true
cp "${DB_FILE}-shm" "$BACKUP_DIR_FULL/db.sqlite3-shm" 2>/dev/null || true
echo " ✓ 数据库已备份 (文件复制,建议安装 sqlite3 以支持在线备份)"
fi
else
echo " ⚠ 数据库文件不存在: $DB_FILE"
fi
# ===== 备份附件和密钥 =====
echo "[2/4] 备份附件和密钥..."
if [ -d "$DATA_DIR" ]; then
tar czf "$BACKUP_DIR_FULL/vaultwarden-data.tar.gz" \
-C "$(dirname "$DATA_DIR")" "$(basename "$DATA_DIR")" \
--exclude="db.sqlite3" --exclude="db.sqlite3-wal" --exclude="db.sqlite3-shm"
echo " ✓ 附件和密钥已备份"
else
echo " ⚠ 数据目录不存在: $DATA_DIR"
fi
# ===== 备份部署配置 =====
echo "[3/4] 备份部署配置..."
tar czf "$BACKUP_DIR_FULL/vaultwarden-config.tar.gz" \
-C "$SCRIPT_DIR" \
docker-compose.yml .env nginx/ 2>/dev/null || true
echo " ✓ 配置已备份"
# ===== 清理旧备份 =====
echo "[4/4] 清理 ${RETENTION_DAYS} 天前的旧备份..."
find "$BACKUP_BASE" -maxdepth 1 -type d -mtime +${RETENTION_DAYS} -exec rm -rf {} \; 2>/dev/null || true
echo " ✓ 旧备份已清理"
# ===== 汇总 =====
echo ""
echo "========== 备份完成 =========="
TOTAL_SIZE=$(du -sh "$BACKUP_DIR_FULL" | cut -f1)
echo "备份位置: $BACKUP_DIR_FULL"
echo "备份大小: $TOTAL_SIZE"
echo ""
echo "备份内容:"
ls -lh "$BACKUP_DIR_FULL/"
echo ""
echo "恢复方法:"
echo " 1. 停止服务: cd $SCRIPT_DIR && docker compose down"
echo " 2. 删除 WAL: rm -f $DATA_DIR/db.sqlite3-wal $DATA_DIR/db.sqlite3-shm"
echo " 3. 恢复数据库: cp $BACKUP_DIR_FULL/db.sqlite3 $DATA_DIR/"
echo " 4. 恢复附件: tar xzf $BACKUP_DIR_FULL/vaultwarden-data.tar.gz -C $(dirname "$DATA_DIR")"
echo " 5. 启动服务: cd $SCRIPT_DIR && docker compose up -d"

210
vaultwarden/deploy.sh Normal file
View File

@@ -0,0 +1,210 @@
#!/usr/bin/env bash
set -euo pipefail
# ============================================
# Vaultwarden 一键部署脚本
# 自动安装 Docker + Nginx + SSL + Vaultwarden
# ============================================
SCRIPT_DIR="$(cd "$(dirname "${BASH_SOURCE[0]}")" && pwd)"
cd "$SCRIPT_DIR"
# ===== 加载公共基础函数 =====
BASE_DIR="$(cd "$SCRIPT_DIR/../base" 2>/dev/null && pwd)" || true
if [ -z "$BASE_DIR" ] || [ ! -f "$BASE_DIR/setup.sh" ]; then
echo "[ERROR] base/setup.sh 未找到" >&2
echo "请确保目录结构如下:" >&2
echo " /opt/base/setup.sh" >&2
echo " /opt/vaultwarden/deploy.sh (当前脚本)" >&2
exit 1
fi
source "$BASE_DIR/setup.sh"
# =============================================================
# Vaultwarden 专用函数
# =============================================================
# 生成随机密码
generate_password() {
openssl rand -base64 32 | tr -d '/+=' | head -c 32
}
init_env() {
step "初始化 Vaultwarden 配置"
if [ ! -f .env ]; then
if [ ! -f .env.example ]; then
error "缺少 .env.example 模板文件"
exit 1
fi
cp .env.example .env
# 自动生成 ADMIN_TOKEN
local admin_token
admin_token=$(generate_password)
sed -i "s/^ADMIN_TOKEN=$/ADMIN_TOKEN=${admin_token}/" .env
log "已自动生成 ADMIN_TOKEN"
log "已生成 .env 文件"
echo ""
warn "┌──────────────────────────────────────────────────────┐"
warn "│ 请编辑 .env 文件,至少修改以下配置: │"
warn "│ │"
warn "│ VAULTWARDEN_DOMAIN=vault.yourdomain.com │"
warn "│ CERTBOT_EMAIL=you@yourdomain.com │"
warn "│ │"
warn "│ ADMIN_TOKEN 已自动生成,请妥善保存 │"
warn "│ │"
warn "│ 编辑命令: vi $SCRIPT_DIR/.env │"
warn "│ 编辑完成后重新运行: bash deploy.sh │"
warn "└──────────────────────────────────────────────────────┘"
exit 0
fi
set -a; source .env; set +a
local has_error=0
if [[ -z "${VAULTWARDEN_DOMAIN:-}" ]] || [[ "${VAULTWARDEN_DOMAIN}" == "vault.example.com" ]]; then
error "请在 .env 中将 VAULTWARDEN_DOMAIN 修改为你的实际域名"
has_error=1
fi
if [[ -z "${CERTBOT_EMAIL:-}" ]] || [[ "${CERTBOT_EMAIL}" == "admin@example.com" ]]; then
error "请在 .env 中将 CERTBOT_EMAIL 修改为你的实际邮箱"
has_error=1
fi
if [[ -z "${ADMIN_TOKEN:-}" ]]; then
error "ADMIN_TOKEN 未设置"
has_error=1
fi
[ "$has_error" -eq 1 ] && { error "请修改 .env 后重新运行"; exit 1; }
log "配置检查通过"
log " 域名: ${VAULTWARDEN_DOMAIN}"
log " 邮箱: ${CERTBOT_EMAIL}"
log " 注册: ${SIGNUPS_ALLOWED:-true}"
}
create_dirs() {
step "创建数据目录"
local data_dir="${VAULTWARDEN_DATA_DIR:-/var/lib/vaultwarden}"
local backup_dir="${BACKUP_DIR:-/var/backups/vaultwarden}"
mkdir -p "$data_dir" "$backup_dir"
log "数据目录: $data_dir"
log "备份目录: $backup_dir"
}
start_services() {
step "启动 Vaultwarden 服务"
log "正在拉取镜像..."
docker compose pull
log "正在启动容器..."
docker compose up -d
local port="${VAULTWARDEN_PORT:-8080}"
log "等待 Vaultwarden 就绪..."
local max_wait=30
for i in $(seq 1 "$max_wait"); do
if curl -sf "http://127.0.0.1:${port}/alive" &> /dev/null; then
log "Vaultwarden 启动成功!"
return
fi
sleep 2
done
warn "Vaultwarden 可能仍在启动中,请稍后检查: docker compose logs -f"
}
show_info() {
set -a; source .env; set +a
echo ""
echo -e "${GREEN}╔══════════════════════════════════════════════════════════╗${NC}"
echo -e "${GREEN}║ Vaultwarden 部署完成! ║${NC}"
echo -e "${GREEN}╠══════════════════════════════════════════════════════════╣${NC}"
echo -e "${GREEN}${NC}"
echo -e "${GREEN}${NC} Web 访问: ${CYAN}https://${VAULTWARDEN_DOMAIN}${NC}"
echo -e "${GREEN}${NC} 管理后台: ${CYAN}https://${VAULTWARDEN_DOMAIN}/admin${NC}"
echo -e "${GREEN}${NC}"
echo -e "${GREEN}${NC} 数据目录: ${VAULTWARDEN_DATA_DIR:-/var/lib/vaultwarden}"
echo -e "${GREEN}${NC} 备份目录: ${BACKUP_DIR:-/var/backups/vaultwarden}"
echo -e "${GREEN}${NC}"
echo -e "${GREEN}${NC} ${YELLOW}管理员令牌保存在 .env 文件的 ADMIN_TOKEN 中${NC}"
echo -e "${GREEN}${NC}"
echo -e "${GREEN}${NC} 客户端下载:"
echo -e "${GREEN}${NC} 浏览器插件: ${CYAN}https://bitwarden.com/download/${NC}"
echo -e "${GREEN}${NC} 桌面客户端: ${CYAN}https://bitwarden.com/download/${NC}"
echo -e "${GREEN}${NC} 移动端: ${CYAN}https://bitwarden.com/download/${NC}"
echo -e "${GREEN}${NC}"
echo -e "${GREEN}${NC} ${RED}⚠ 客户端连接时,服务器 URL 填写:${NC}"
echo -e "${GREEN}${NC} ${CYAN} https://${VAULTWARDEN_DOMAIN}${NC}"
echo -e "${GREEN}${NC}"
if [[ "${SIGNUPS_ALLOWED:-true}" == "true" ]]; then
echo -e "${GREEN}${NC} ${YELLOW}⚠ 注册功能已开启,注册完账号后建议关闭:${NC}"
echo -e "${GREEN}${NC} ${YELLOW} 修改 .env 中 SIGNUPS_ALLOWED=false${NC}"
echo -e "${GREEN}${NC} ${YELLOW} 然后 docker compose restart${NC}"
fi
echo -e "${GREEN}${NC}"
echo -e "${GREEN}╚══════════════════════════════════════════════════════════╝${NC}"
echo ""
echo "常用命令:"
echo " 查看日志: cd $SCRIPT_DIR && docker compose logs -f"
echo " 重启服务: cd $SCRIPT_DIR && docker compose restart"
echo " 停止服务: cd $SCRIPT_DIR && docker compose down"
echo " 备份数据: cd $SCRIPT_DIR && bash backup.sh"
echo ""
}
# =============================================================
# 主流程
# =============================================================
main() {
echo -e "${CYAN}"
echo " __ __ _ _"
echo " \\ \\ / /_ _ _ _| | |___ ____ _ _ __ ____| | ___ _ __"
echo " \\ \\ / / _\` | | | | | __\\ \\ /\\ / / _\` | '__/ _ | |/ _ \\ '_ \\"
echo " \\ V / (_| | |_| | | |_ \\ V V / (_| | | | (_| | __/ | | |"
echo " \\_/ \\__,_|\\__,_|_|\\__| \\_/\\_/ \\__,_|_| \\__,_|\\___|_| |_|"
echo -e "${NC}"
echo ""
check_root
load_base_env "$BASE_DIR"
# Step 1: 系统初始化
init_system
# Step 2: 安装 Docker
install_docker
# Step 3: 安装 Nginx
install_nginx
# Step 4: 初始化配置
init_env
# Step 5: 配置 Docker 镜像加速
configure_docker_mirrors
# Step 6: 创建数据目录
create_dirs
# Step 7: 配置防火墙
setup_firewall_base
# Step 8: 配置 SSL 证书
setup_ssl_cert "${VAULTWARDEN_DOMAIN}" "${CERTBOT_EMAIL}" "vaultwarden"
# Step 9: 部署 Nginx 反向代理
deploy_nginx_conf "$SCRIPT_DIR/nginx/vaultwarden.conf" "${VAULTWARDEN_DOMAIN}" "vaultwarden"
# Step 10: 启动服务
start_services
# 显示部署信息
show_info
log "===== Vaultwarden 部署完成 ====="
}
main "$@"

29
vaultwarden/docker-compose.yml Normal file
View File

@@ -0,0 +1,29 @@
services:
vaultwarden:
image: ${VAULTWARDEN_IMAGE:-vaultwarden/server:latest}
container_name: vaultwarden
restart: unless-stopped
environment:
- DOMAIN=https://${VAULTWARDEN_DOMAIN}
- SIGNUPS_ALLOWED=${SIGNUPS_ALLOWED:-true}
- ADMIN_TOKEN=${ADMIN_TOKEN}
- LOG_LEVEL=${LOG_LEVEL:-info}
- TZ=Asia/Shanghai
- SHOW_PASSWORD_HINT=${SHOW_PASSWORD_HINT:-false}
- SENDS_ALLOWED=${SENDS_ALLOWED:-true}
volumes:
- ${VAULTWARDEN_DATA_DIR:-/var/lib/vaultwarden}:/data
- /etc/localtime:/etc/localtime:ro
ports:
- "127.0.0.1:${VAULTWARDEN_PORT:-8080}:80"
healthcheck:
test: ["CMD", "curl", "-f", "http://127.0.0.1:80/alive"]
interval: 30s
timeout: 5s
retries: 3
start_period: 10s
logging:
driver: json-file
options:
max-size: "10m"
max-file: "3"

78
vaultwarden/nginx/vaultwarden.conf Normal file
View File

@@ -0,0 +1,78 @@
# WebSocket 连接升级映射
# 有 Upgrade 头时发送 "upgrade",否则发送空字符串(保持 keepalive
# 参考: https://github.com/dani-garcia/vaultwarden/wiki/Proxy-examples
map $http_upgrade $connection_upgrade {
default upgrade;
'' "";
}
server {
listen 80;
listen [::]:80;
server_name __DOMAIN__;
location /.well-known/acme-challenge/ {
root /var/www/certbot;
}
location / {
return 301 https://$host$request_uri;
}
}
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name __DOMAIN__;
# SSL 证书
ssl_certificate /etc/letsencrypt/live/__DOMAIN__/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/__DOMAIN__/privkey.pem;
# SSL 参数
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
# 安全头
add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-Content-Type-Options "nosniff" always;
add_header X-XSS-Protection "1; mode=block" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
add_header Referrer-Policy "same-origin" always;
# 上传大小限制(附件上传)
client_max_body_size 525M;
# 反向代理到 Vaultwarden
location / {
proxy_pass http://127.0.0.1:8080;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
# WebSocket 支持Vaultwarden 1.29+ 在同一端口)
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection $connection_upgrade;
# 超时设置
proxy_connect_timeout 60s;
proxy_send_timeout 60s;
proxy_read_timeout 60s;
}
# 管理员面板(可选:限制访问 IP
# location /admin {
# allow 你的IP;
# deny all;
# proxy_pass http://127.0.0.1:8080;
# proxy_set_header Host $host;
# proxy_set_header X-Real-IP $remote_addr;
# proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
# proxy_set_header X-Forwarded-Proto $scheme;
# }
}