bitwarden到底自建还是官方

orwtmc

rt，如果要找个稳定的机子的话，一年可能都不止10刀，官方是10刀每年
有人用官方的吗，实在不想折腾
自建维护麻烦，机子还怕死
主要是担心官方会不会有安全性问题

dvbhack

我只用自建的。

用 docker 部署在腾讯云（正规云服务商的都一样，但用免费甲骨文，白**azure，欠费aws，oneman vps的就不作为同类型讨论了）

一：主密码

主密码不记录在任何地方，只有自己大脑里记着，主密码18位，大小写数字特殊符号都包括了。

二：vault（密码库）
关了注册，关了admin，账户开启了2FA，一是非信任设备登录必须经过2FA验证，二是非常用地登录会立刻发邮件通知我。

三：服务器
服务器禁用root登录，禁用密码登录，只允许 ed25519 算法的 ssh key 登录，端口非默认， fail2ban 禁止反复尝试。

四：部署

bitwarden 这台机器配置不算高，但上面只部署这个服务，没有其它的东西在上面跑。

五：备份

每隔8小时，数据库和附件会自动打包备份到 COS + OBS（OSS或其它正规存储服务也一样，但免费版、内测版、白**和小服务商的就不作为同类讨论了）。

-----------

担心不安全的，你其实只需要考虑好三个问题：
1. 服务安全，密码服务太重要了，一旦数据丢失，那损失是最大的，所以要依赖可靠的服务商，服务能稳定，万一不能用了，起码能取回数据（多点备份）。
2. 主机安全，会不会很容易被人攻破拿走你的数据库和附件。
3. 主密码安全，会不会被人通过猜测、暴力破解或者社工手段拿到你的主密码。

其中2其实没那么危险，只要确保了3，即使别人攻破你的机器拿到你的数据，也拿不到你的密码。

-------

我为什么不选择官方？

因为它是外国的啊。我不质疑官方的安全性，安全性不会是问题，包括lastpass这些，安全性也不是问题。我只担心它的持续可用性。

不必去争意识形态的东西，也不要去考虑谁对谁错的问题。中美激烈对抗的当下，美国主动制裁禁止中国地区用户使用是一种风险（美国跟中国商家一样，也会为了保命对政府监管做出过度自我审查），中国阻断出境流量不可访问是另一种风险（并不是说不敏感的东西就一定能用，误伤、牵连、全面断网、白名单机制……曾经被牵连导致不可用的正常内容还少吗？）。
这两种风险我觉得比我的数据被人黑了的可能性大多了。

另外，我得反正是自己用，当然是延迟10ms以内的广州云比海外的机器的速度快啊。我在手机 bw 上扫码启用一个 2FA，电脑上几乎是秒同步启用，这不香？

875

官方的相比自己安全性上肯定会高，但是目标也大，搞钱的会盯上那种大库，而你自己小鸡搭建的人家都看不上，虽然安全性低了点但是目标小，自己权衡利弊

xinmang

有能力推荐自建，用官方的也可，都是成熟的方案了，如果你要质疑一个搞安全的公司不安全，我也没办法

草丛中一杯茶

这问题就不要纠结了，都有道理，你只要有钱，想放哪就放哪

ansheng

之前自建一年多，后来清理小鸡把服务都搬到云上了，目前用官方一切正常，免费版也可以满足需求了

尼克

拿个小本本记 一毛钱不花

KuYeHQ

mjj还会缺小鸡？

Waylon

没有绝对安全的系统

orwtmc

KuYeHQ 发表于 2022-6-5 00:45
mjj还会缺小鸡？

要稳的机子，太难找。
放密码这些，肯定是大厂正价，问题是都好贵

菜单

官方肯定比你自己的安全。

zixi

有些人就是单纯自己搭建用而已，拿吃灰的小鸡搞着玩，安全性来说，除非你把钥匙泄露，不然基本不用担心

gzchenjz

目前和AdGuard Home一起放在NAS上

AaronYYDS

目前用的enpass 密码存储在iCloud上 用着还不错

roxsky

我是自建，本来自用的小飞机，搭了个vaultwarden，然后rclone定时备份，稳得很。
本来小飞机就是刚需，等于这个vaultwarden一分钱都没花。