自建 Bitwarden，想问下 V 友们这样安全系数高吗？

N1 盒子搭建的放公司，CFTunnel 打洞，WAF 设置规则，主密码还有二次验证，没那么容易破的。

自建的特别是 docker 部署的，如果稳定就别手贱 pull 新的镜像，先备份！先备份！先备份！，别问我怎么知道的。
我现在都是用官方的服务

@imba97 #16 最近自动填充不好用了，总是会提示创建新密码，而不是选择已经存在的密码。。

@memcache #25 差不多，以前是 ddns ，现在是 frp

@skiy #57 那能看到旧 DB 原有用户的密码吗，看不到等于新建了个用户而已，这也叫破？

@YangQingLin #41 我也是备份数据目录，刚才问了 AI ，确实有概率恢复不了🤡

@YangQingLin #40 太复杂了，还是在客户端导出 JSON 方便

再提一点，vaultwarden 可以设置 subpath 的

域名很容易被各种途径扫到，但加了 subpath 之后，光扫到域名 https://11.1.0.1 没用，还得找到 https://11.1.0.1/xxx/xxx ，不带 subpath 的挂个什么别的东西，这样藏得更深

@twinsdestiny ？？？你回复前能不能看看我回别人的信息？别人说是拿到了 db 。拿到 db 不就相当于裸了吗？再部署个，把 db 丢进去，密码不就能显示了吗？

bitwarden 开个 pro 会员就行了，你这个成本也不低，稳定性还不如官方

bitwarden 库都是加密的，只要主密码不泄露就行，唯一需要担心的是中间人攻击吧

现在主流密码管理器的设计在服务器上存放的都是高度加密的密文，而打开密码库的主密钥从头到尾是不会在网络上传输的，即便被监听了也抓不到。但如果是访问者中了木马被记录键盘了自然就另当别论了。

@skiy #69 部署完了，你想进密码管理器也需要输入主密码

@ZingLix 有的, 在 /config.json 内设置

{
"domain": "https://***.youdomain.com/subpath",
...
}

https://rs.ppgg.in/reverse-proxy/using-an-alternate-base-dir

自建主要是备份数据库，记住一定要异地备份
最重要的是如果备份是加密的话，千万别把密码只存在 vaultwarden 里面

@conky …那你又得找我前一条回复了。。。参考#58 再参考我 #23 的回复。我是实践过才说话的。如果你觉得不可能，你可以尝试下再回复我。我没必要说假话，又没利益冲突。

@hefish 不洗内裤是吧! hentai

每天同步到 oss 备份

大佬们若是发现惊天大漏洞的，建议向 bitwarden 提交漏洞悬赏，赚美刀
https://bitwarden.com/help/is-bitwarden-audited/#bug-bounty-program

@skiy 你是不是不知道 db 里存的密码是经过主密码加密的？