Bitwarden self-hosted: il tuo gestore password in casa

Pubblicato il 11/05/2026 Sicurezza

Bitwarden è uno dei migliori gestori password open source. La versione cloud è ottima ma se vuoi tenere il vault sotto controllo totale puoi self-hostare Vaultwarden, un'implementazione rust 100% compatibile con i client Bitwarden, leggera (~150 MB di RAM) e perfetta per Raspberry Pi.

1. Prerequisiti

  • Docker e Docker Compose installati
  • Un nome DNS (o IP statico LAN) puntato al server
  • Reverse proxy con HTTPS (Caddy/Nginx/Traefik) — obbligatorio: i client si rifiutano di parlare in plain HTTP

2. docker-compose.yml

version: "3.8"
services:
  vaultwarden:
    image: vaultwarden/server:latest
    container_name: vaultwarden
    restart: unless-stopped
    environment:
      - DOMAIN=https://vault.casa.lan
      - SIGNUPS_ALLOWED=true       # disattivalo dopo aver creato il tuo account
      - ADMIN_TOKEN=$(openssl rand -base64 48)
      - WEBSOCKET_ENABLED=true
    volumes:
      - ./data:/data
    ports:
      - "127.0.0.1:8181:80"
      - "127.0.0.1:3012:3012"      # websocket per push real-time

3. Reverse proxy con Caddy

Il modo più semplice. Caddyfile:

vault.casa.lan {
    reverse_proxy /notifications/hub 127.0.0.1:3012
    reverse_proxy 127.0.0.1:8181
}

Caddy genera automaticamente i certificati HTTPS (Let's Encrypt se hai DNS pubblico, certificato self-signed in LAN).

4. Primo accesso

  1. Apri https://vault.casa.lan
  2. Crea il tuo account (email + master password — questa NON è recuperabile, scrivila su carta)
  3. Una volta dentro, vai in admin /admin con il token che hai generato
  4. Disattiva SIGNUPS_ALLOWED (modifica compose e docker compose up -d)

5. Client

  • Browser: estensione Bitwarden ufficiale, in impostazioni metti "Self-hosted" con URL https://vault.casa.lan
  • Mobile: app Bitwarden, stesso self-hosted URL
  • Desktop: app Bitwarden Mac/Linux/Windows
  • CLI: bw per script di automazione

6. Backup del vault

Il database è in ./data/db.sqlite3. Cron giornaliero:

0 3 * * * sqlite3 /percorso/data/db.sqlite3 ".backup /backups/vault-\$(date +\%Y\%m\%d).sqlite3"

Il backup è già cifrato col tuo master password — è safe portarlo offsite (cloud, NAS, ecc.).

7. Funzionalità Premium gratis

Vaultwarden abilita automaticamente le feature Premium di Bitwarden, gratis:

  • TOTP integrato (codici 2FA salvati nel vault)
  • Allegati ai record (max 100 MB per file)
  • Health Reports (password riutilizzate, deboli, esposte in data breach)
  • Vault sharing (famiglia)
Importante: il master password è SOLO tuo, nessuno (nemmeno tu lato admin) può recuperarlo. Stampalo su carta e mettilo in cassaforte. La perdita = perdita totale del vault.
← Torna a Sicurezza