📘 Kapitel 6: Vaultwarden (Docker unter Debian‑12‑LXC) Logische Position: 6 (nach 5: WireGuard · vor 7: Nextcloud) 🎯 Ziel Vaultwarden (Bitwarden‑kompatibler Server) in einem **Debian‑12‑LXC** per **Docker + Docker Compose** betreiben, hinter **Nginx Proxy Manager** (NPM) mit **HTTPS** und **WebSockets** bereitstellen, **Registrierungen deaktivieren**, **Admin‑Token** setzen und eine **Backup‑Grundlage** schaffen. ✅ Voraussetzungen * LXC: Debian 12 (Bookworm) – erstellt gemĂ€ĂŸ Grundkapitel *Erster LXC – Grundsetup & SSH* (hier nur Verweis) * **LXC‑Specs:** 1 vCPU · 512 MB–1 GB RAM (256 MB funktionieren oft, 512 MB empfohlen) · 4–8 GB Disk · statische IPv4 (z. B. `10.0.0.16`); IPv6 optional * Nginx Proxy Manager (separater LXC), gĂŒltige Domain/Subdomain (z. B. `pass.DEINE‑DOMAIN.tld`) * DNS‑Eintrag der Subdomain auf NPM đŸ§© Was wir aufbauen * **Container‑Image:** `vaultwarden/server:latest` * **Ports:** `8000:80` (Web/API), `3012:3012` (WebSocket/Live‑Sync) * **Persistenz:** Volume `./data:/data` → Daten auf dem Host in `/opt/vaultwarden/data` * **Konfig per `.env`:** `DOMAIN`, `ADMIN_TOKEN`, `SIGNUPS_ALLOWED=false`, optional `SMTP_*` * **Reverse‑Proxy (NPM):** Proxy Host fĂŒr `pass.DEINE‑DOMAIN.tld`, Custom Location `/notifications/hub → 3012`, SSL (Let’s Encrypt) đŸ—ș Kapitelablauf (KurzĂŒberblick) 1. System vorbereiten (Update, Basis‑Tools) 2. **Docker & Compose** installieren 3. Projektverzeichnis **/opt/vaultwarden** anlegen, `.env` erstellen 4. `docker-compose.yml` schreiben 5. Container starten, Logs prĂŒfen 6. NPM: Proxy Host + WebSockets + SSL einrichten 7. Admin‑Backend aufrufen: Registrierungen aus, optional SMTP, 2FA aktivieren 8. Backup‑Grundlage: Datenordner sichern 🔧 Kerneinstellungen (wichtig!) * **DOMAIN:** `https://pass.DEINE‑DOMAIN.tld` (https zwingend, sonst fehlerhafte Assets) * **ADMIN\_TOKEN:** lange, zufĂ€llige Zeichenfolge (sicher aufbewahren) * **SIGNUPS\_ALLOWED=false:** verhindert offene Registrierung * **WebSockets:** NPM‑Custom‑Location **`/notifications/hub` → Port `3012`** * **Datenpfad:** Host: `/opt/vaultwarden/data` (im Container `/data`) 🌐 Erstkonfiguration (im Browser) * Aufruf: `https://pass.DEINE‑DOMAIN.tld` * Admin‑Backend: `https://pass.DEINE‑DOMAIN.tld/admin` → **ADMIN\_TOKEN** eingeben * **Signups** prĂŒfen (aus), optional **SMTP** fĂŒr Mails testen, **2FA** (TOTP/FIDO2) aktivieren đŸ’Ÿ Backup‑Hinweis (Basis) * Daten liegen im Host‑Ordner `/opt/vaultwarden/data` → regelmĂ€ĂŸig als Tar/rsync sichern * Vor grĂ¶ĂŸeren Updates kurz stoppen (`docker compose stop`), danach wieder starten ⚠ Stolperfallen * **WebSockets** nicht weitergeleitet → kein Live‑Sync/Push * **DOMAIN** ohne `https` → fehlerhafte Links/Icons * **ADMIN\_TOKEN** vergessen/zu schwach → Admin‑Backend gefĂ€hrdet * **Let’s‑Encrypt Rate‑Limit** bei vielen Zertifikatsanforderungen beachten 🔗 Siehe auch * Kap. 3 Nginx Proxy Manager (Domain/HTTPS) * Kap. 4 DynDNS (Erreichbarkeit von außen) * Kap. 14 Backup (Basis) * Kap. 7 Nextcloud (nĂ€chster Schritt) 📜 Lizenz Creative Commons Attribution (CC BY) – Nutzung/Weitergabe/Anpassung mit Namensnennung „Bratonien Tech“.