{"id":88,"date":"2026-06-14T20:38:43","date_gmt":"2026-06-14T20:38:43","guid":{"rendered":"https:\/\/shattered.io\/dk\/2026\/06\/14\/selvhostet-password-manager-vaultwarden\/"},"modified":"2026-06-15T12:25:47","modified_gmt":"2026-06-15T12:25:47","slug":"selvhostet-password-manager-vaultwarden","status":"publish","type":"post","link":"https:\/\/shattered.io\/dk\/selvhostet-password-manager-vaultwarden\/","title":{"rendered":"Selvhostet password manager: Vaultwarden i 12 trin [2026]"},"content":{"rendered":"\n

En password manager<\/strong> er det enkelt vigtigste v\u00e6rkt\u00f8j, du kan tage i brug for at sikre dine konti. Men hvor ender dine krypterede hv\u00e6lvinger egentlig? Hos en kommerciel udbyder ligger de p\u00e5 en sky, du ikke kontrollerer. Med en selvhostet l\u00f8sning ligger de p\u00e5 din egen server, bag din egen kryptering og dine egne regler. Denne guide viser dig, hvordan du ops\u00e6tter Vaultwarden<\/strong>, den lette Rust-baserede server, der taler Bitwardens API, i 12 konkrete trin p\u00e5 cirka 45 minutter.<\/p>\n\n\n\n

Du f\u00e5r en komplet, k\u00f8rende stak: Docker-container, HTTPS via reverse proxy, Argon2id-n\u00f8gleudledning, to-faktor, automatiske krypterede backups og h\u00e6rdning med fail2ban. Alt sammen kompatibelt med de officielle Bitwarden-klienter til browser, mobil, desktop og kommandolinje. Hver kode-blok kan kopieres direkte. Til sidst finder du faldgruber, fejlfinding og avancerede tips, s\u00e5 din password manager<\/strong> k\u00f8rer stabilt i drift.<\/p>\n\n\n\n

Hvorfor self-hoste din password manager i 2026?<\/h2>\n\n\n\n

Selvhosting handler om kontrol. N\u00e5r du driver din egen Vaultwarden-instans, forlader dine krypterede data aldrig infrastruktur, du selv ejer. Du bestemmer, hvem der kan oprette konti, hvor backups lander, og hvorn\u00e5r du opdaterer. For privatpersoner, sm\u00e5 teams og virksomheder med GDPR-krav er den datasuver\u00e6nitet et reelt argument, ikke bare en teknisk detalje.<\/p>\n\n\n\n

Det andet argument er ressourceforbrug. Den officielle Bitwarden-server er bygget til skala og tr\u00e6kker tilsvarende p\u00e5 CPU og hukommelse. Vaultwarden er skrevet i Rust og implementerer den samme API langt lettere. Docker Hub-beskrivelsen anbefaler netop Vaultwarden til situationer, hvor den officielle servers tunge fodaftryk ikke passer. I praksis k\u00f8rer Vaultwarden fint p\u00e5 en virtuel maskine med 1 vCPU og 512 MB RAM, og en Raspberry Pi er rigeligt til en husstand.<\/p>\n\n\n\n

Sikkerhedsm\u00e6ssigt arver du Bitwardens zero-knowledge-model. Serveren ser kun krypterede blobs. Dit hovedkodeord udleder via Argon2id den n\u00f8gle, der l\u00e5ser hv\u00e6lvingen op, og den n\u00f8gle forlader aldrig din enhed. Selv hvis nogen stj\u00e6ler hele din database, st\u00e5r de tilbage med ubrugelig ciffertekst, s\u00e5 l\u00e6nge dit hovedkodeord er st\u00e6rkt. Det er forskellen mellem en kompromitteret server og en kompromitteret konto. L\u00e6s mere om princippet bag i vores gennemgang af kodeordssikkerhed<\/a>.<\/p>\n\n\n\n

Ansvaret f\u00f8lger dog med. Du st\u00e5r selv for opdateringer, backups og h\u00e6rdning. En fors\u00f8mt server er en farligere server. Et konkret eksempel: CVE-2026-26012 lod et almindeligt organisationsmedlem hente alle organisationens ciphers uanset rettigheder p\u00e5 samlinger. Fejlen blev rettet i Vaultwarden 1.35.3. Pointen er, at selvhosting kr\u00e6ver disciplin med patching, og denne guide bygger den disciplin ind fra start.<\/p>\n\n\n\n

Vaultwarden vs. Bitwarden: forskelle og kompatibilitet<\/h2>\n\n\n\n

Vaultwarden beskriver sig selv som en uofficiel, Bitwarden-kompatibel server skrevet i Rust. Det betyder, at du bruger de samme officielle klienter, men k\u00f8rer din egen backend. Mange funktioner, der koster penge i Bitwardens cloud, er gratis i Vaultwarden, fordi der ikke er nogen abonnementsmodel at beskytte. Til geng\u00e6ld er Vaultwarden et f\u00e6llesskabsprojekt uden kommerciel support og uden formel sikkerhedscertificering.<\/p>\n\n\n\n

Funktion<\/th>Vaultwarden (selvhostet)<\/th>Bitwarden cloud<\/th><\/tr><\/thead>
Pris<\/td>Gratis (kun hosting)<\/td>Gratis basis, betalt premium<\/td><\/tr>
Sprog\/runtime<\/td>Rust, \u00e9t bin\u00e6rt image<\/td>.NET, flere tjenester<\/td><\/tr>
RAM-behov<\/td>Fra ~256-512 MB<\/td>Flere GB anbefalet<\/td><\/tr>
TOTP og 2FA<\/td>Inkluderet<\/td>Premium for TOTP<\/td><\/tr>
Vedh\u00e6ftede filer<\/td>Inkluderet<\/td>Premium<\/td><\/tr>
Organisationer\/deling<\/td>Inkluderet<\/td>Betalt over fri gr\u00e6nse<\/td><\/tr>
Passkeys\/FIDO2<\/td>Underst\u00f8ttet via klient<\/td>Underst\u00f8ttet<\/td><\/tr>
Officiel support<\/td>Nej, f\u00e6llesskab<\/td>Ja<\/td><\/tr>
Ansvar for drift<\/td>Dig selv<\/td>Bitwarden<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Kompatibiliteten er den store gevinst. Du installerer Bitwardens browserudvidelse, mobilapp, desktopprogram eller CLI og peger den blot mod din egen server-URL. Vaultwarden bundter selv en kopi af Web Vault, s\u00e5 du ogs\u00e5 har en webgr\u00e6nseflade. Nyere funktioner f\u00f8lger med, efterh\u00e5nden som de modnes: SSH-n\u00f8gleopbevaring blev for eksempel tilf\u00f8jet, men kr\u00e6ver Bitwarden Desktop 2024.12.0 eller nyere og er gated bag eksperimentelle feature-flag.<\/p>\n\n\n\n

Hvis du i forvejen overvejer hostede alternativer til andre tjenester, har vi sammenlignet to popul\u00e6re krypterede mailudbydere i Proton Mail vs Tutanota<\/a>. Logikken er den samme: vej kontrol op mod bekvemmelighed.<\/p>\n\n\n\n

Foruds\u00e6tninger: hardware, software og versioner<\/h2>\n\n\n\n

Inden du g\u00e5r i gang, skal nogle f\u00e5 ting v\u00e6re p\u00e5 plads. Du har brug for en Linux-server med rod-adgang, et dom\u00e6nenavn, der peger p\u00e5 serverens IP, og \u00e5bne porte 80 og 443. Et dom\u00e6ne er ikke teknisk p\u00e5kr\u00e6vet, men det er foruds\u00e6tningen for gyldigt HTTPS, og uden HTTPS n\u00e6gter de fleste Bitwarden-klienter at forbinde. Tabellen herunder samler de versioner, denne guide er skrevet og testet mod.<\/p>\n\n\n\n

Komponent<\/th>Anbefalet version<\/th>Note<\/th><\/tr><\/thead>
Operativsystem<\/td>Ubuntu 24.04 LTS eller Debian 12<\/td>22.04 LTS fungerer ogs\u00e5<\/td><\/tr>
Docker Engine<\/td>24.0 eller nyere<\/td>Testet med 27.x-serien<\/td><\/tr>
Docker Compose<\/td>v2 (plugin)<\/td>Brug docker compose<\/code>, ikke docker-compose<\/code><\/td><\/tr>
Vaultwarden image<\/td>vaultwarden\/server:1.36 eller :latest<\/td>Web Vault 2025.7.0 bundtet<\/td><\/tr>
Reverse proxy<\/td>Caddy 2<\/td>Automatisk Let’s Encrypt<\/td><\/tr>
RAM<\/td>Min. 512 MB, 1 GB anbefalet<\/td>1 vCPU er nok<\/td><\/tr>
Diskplads<\/td>2 GB + plads til vedh\u00e6ftninger<\/td>SSD anbefales<\/td><\/tr>
Bitwarden-klienter<\/td>Nyeste version<\/td>SSH-n\u00f8gler kr\u00e6ver Desktop 2024.12.0+<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Du b\u00f8r ogs\u00e5 have grundl\u00e6ggende kendskab til terminalen, til at redigere tekstfiler med nano<\/code> eller vim<\/code> og til DNS. Hvis HTTPS-delen virker ny, s\u00e5 l\u00e6s vores trinvise guide til et gratis SSL\/TLS-certifikat med Certbot<\/a> f\u00f8rst. I denne guide lader vi dog Caddy h\u00e5ndtere certifikatet automatisk, s\u00e5 du slipper for manuelt arbejde.<\/p>\n\n\n\n

Trin 1: Opdater serveren og installer Docker<\/h2>\n\n\n\n

Start med en ren, opdateret server. Log ind via SSH som en bruger med sudo-rettigheder, og k\u00f8r systemopdateringer. Installer derefter Docker Engine fra det officielle repository. Brug ikke distributionens for\u00e6ldede docker.io<\/code>-pakke, da den ofte halter bagefter.<\/p>\n\n\n\n

# Opdater systemet\nsudo apt update && sudo apt upgrade -y\n\n# Installer Dockers officielle repository og engine\ncurl -fsSL https:\/\/get.docker.com | sudo sh\n\n# Tilfoej din bruger til docker-gruppen (log ud og ind igen bagefter)\nsudo usermod -aG docker $USER\n\n# Bekraeft versioner\ndocker --version\ndocker compose version<\/code><\/pre>\n\n\n\n
Forventet output ligner dette og bekr\u00e6fter, at b\u00e5de engine og Compose-plugin er p\u00e5 plads:<\/p>\n\n\n\n
Docker version 27.5.1, build 9f9e405\nDocker Compose version v2.32.4<\/code><\/pre>\n\n\n\n
Log ud og ind igen, s\u00e5 gruppemedlemskabet tr\u00e6der i kraft. Derefter kan du k\u00f8re docker<\/code>-kommandoer uden sudo<\/code>. Test med docker run hello-world<\/code>, der henter et lille testimage og bekr\u00e6fter, at daemonen k\u00f8rer korrekt.<\/p>\n\n\n\n
Trin 2: Opret projektmappe og docker-compose.yml<\/h2>\n\n\n\n
Saml hele stakken \u00e9t sted, s\u00e5 backup og vedligehold bliver enkelt. Opret en mappe og en docker-compose.yml<\/code>, der definerer Vaultwarden-tjenesten. Vi binder en persistent \/data<\/code>-volume, s\u00e5 hv\u00e6lvingerne overlever genstarter og opdateringer.<\/p>\n\n\n\n
mkdir -p ~\/vaultwarden && cd ~\/vaultwarden\nnano docker-compose.yml<\/code><\/pre>\n\n\n\n
Inds\u00e6t f\u00f8lgende. Udskift vault.ditdomaene.dk<\/code> med dit eget dom\u00e6ne. Vi deaktiverer offentlig registrering med det samme og sl\u00e5r den kun midlertidigt til i Trin 6.<\/p>\n\n\n\n
services:\n  vaultwarden:\n    image: vaultwarden\/server:1.36\n    container_name: vaultwarden\n    restart: unless-stopped\n    environment:\n      DOMAIN: \"https:\/\/vault.ditdomaene.dk\"\n      SIGNUPS_ALLOWED: \"false\"\n      INVITATIONS_ALLOWED: \"true\"\n      WEBSOCKET_ENABLED: \"true\"\n      ADMIN_TOKEN: \"${ADMIN_TOKEN}\"\n    volumes:\n      - .\/vw-data:\/data\n    ports:\n      - \"127.0.0.1:8080:80\"<\/code><\/pre>\n\n\n\n
Bem\u00e6rk, at vi binder porten til 127.0.0.1<\/code>, ikke 0.0.0.0<\/code>. Det betyder, at Vaultwarden kun er tilg\u00e6ngelig fra serveren selv, og at al udefrakommende trafik tvinges gennem reverse proxyen med HTTPS. Det er en lille detalje med stor sikkerhedsm\u00e6ssig effekt.<\/p>\n\n\n\n
Trin 3: Generer admin-token med Argon2<\/h2>\n\n\n\n
Vaultwarden har et admin-panel, hvor du styrer brugere, organisationer og indstillinger. Det panel skal beskyttes af et token. Gem aldrig tokenet i klartekst. Vaultwarden kan i stedet gemme en Argon2-hash af tokenet, s\u00e5 selv en l\u00e6kket Compose-fil ikke afsl\u00f8rer adgangskoden. Generer hashen med Vaultwardens indbyggede kommando.<\/p>\n\n\n\n
# Generer en staerk, tilfaeldig hemmelighed\nopenssl rand -base64 48\n\n# Lad Vaultwarden hashe den med Argon2id\ndocker run --rm -it vaultwarden\/server:1.36 \/vaultwarden hash<\/code><\/pre>\n\n\n\n
Kommandoen beder dig indtaste hemmeligheden to gange og returnerer en streng, der begynder med $argon2id$<\/code>. Output ser s\u00e5dan ud:<\/p>\n\n\n\n
Generating an Argon2id PHC hash string...\nADMIN_TOKEN=$argon2id$v=19$m=65540,t=3,p=4$bXBhc3N3b3Jkc2FsdA$Tr3k...redacted...9Qm<\/code><\/pre>\n\n\n\n
L\u00e6g hele $argon2id$...<\/code>-strengen i en .env<\/code>-fil ved siden af din Compose-fil. Husk de enkelte apostroffer, s\u00e5 shellen ikke fortolker dollartegnene. Hold denne fil hemmelig og uden for backups, der deles bredt.<\/p>\n\n\n\n
# ~\/vaultwarden\/.env\nADMIN_TOKEN='$argon2id$v=19$m=65540,t=3,p=4$bXBhc3N3b3Jkc2FsdA$Tr3k...redacted...9Qm'<\/code><\/pre>\n\n\n\n
Trin 4: Start Vaultwarden-containeren<\/h2>\n\n\n\n
Nu kan du starte tjenesten. Compose l\u00e6ser automatisk .env<\/code> og inds\u00e6tter dit admin-token. K\u00f8r stakken i baggrunden og f\u00f8lg loggen for at bekr\u00e6fte en ren opstart.<\/p>\n\n\n\n
docker compose up -d\ndocker compose logs -f vaultwarden<\/code><\/pre>\n\n\n\n
En sund opstart skriver versionsnummer og lytteadresse til loggen:<\/p>\n\n\n\n
[INFO] Starting Vaultwarden 1.36.0\n[INFO] Web Vault version: 2025.7.0\n[INFO] Rocket has launched from http:\/\/0.0.0.0:80<\/code><\/pre>\n\n\n\n
Tryk Ctrl+C for at forlade logvisningen uden at stoppe containeren. Du kan teste lokalt med curl http:\/\/127.0.0.1:8080\/alive<\/code>, der skal svare med et tidsstempel. Endnu er tjenesten kun tilg\u00e6ngelig p\u00e5 serveren. Det laver vi om p\u00e5 i n\u00e6ste trin.<\/p>\n\n\n\n
Trin 5: Ops\u00e6t reverse proxy med Caddy og HTTPS<\/h2>\n\n\n\n
Bitwarden-klienter kr\u00e6ver HTTPS. Caddy er den enkleste vej dertil, fordi den henter og fornyer Let’s Encrypt-certifikater helt automatisk. Tilf\u00f8j Caddy til din Compose-stak, s\u00e5 proxy og server k\u00f8rer side om side i samme netv\u00e6rk.<\/p>\n\n\n\n
# Tilfoej til docker-compose.yml under services:\n  caddy:\n    image: caddy:2\n    container_name: caddy\n    restart: unless-stopped\n    ports:\n      - \"80:80\"\n      - \"443:443\"\n    volumes:\n      - .\/Caddyfile:\/etc\/caddy\/Caddyfile:ro\n      - .\/caddy-data:\/data\n      - .\/caddy-config:\/config<\/code><\/pre>\n\n\n\n
Opret derefter en Caddyfile<\/code> i samme mappe. Den fort\u00e6ller Caddy at terminere TLS og sende trafikken videre til Vaultwarden-containeren. WebSocket-stien sikrer, at klienter f\u00e5r realtidsopdateringer.<\/p>\n\n\n\n
vault.ditdomaene.dk {\n    encode gzip\n    reverse_proxy vaultwarden:80 {\n        header_up X-Real-IP {remote_host}\n    }\n}<\/code><\/pre>\n\n\n\n
Fordi Caddy nu h\u00e5ndterer porten, kan du fjerne den offentlige portbinding fra Vaultwarden og lade tjenesterne tale sammen internt. Genstart stakken med docker compose up -d<\/code>. Caddy henter et certifikat inden for f\u00e5 sekunder, og du kan \u00e5bne https:\/\/vault.ditdomaene.dk<\/code> i browseren og se Web Vault med en gyldig h\u00e6ngel\u00e5s. Hvis h\u00e6ngel\u00e5sen mangler, s\u00e5 tjek vores forklaring af HTTPS og TLS<\/a>.<\/p>\n\n\n\n
Trin 6: Opret din konto og l\u00e5s registrering<\/h2>\n\n\n\n
Du satte SIGNUPS_ALLOWED<\/code> til false<\/code> i Trin 2. For at oprette din egen konto har du to muligheder. Den sikreste er at logge ind p\u00e5 admin-panelet p\u00e5 \/admin<\/code> med dit token og invitere dig selv via e-mail. Alternativt kan du midlertidigt tillade registrering, oprette din konto og sl\u00e5 den fra igen med det samme.<\/p>\n\n\n\n
V\u00e6lg et st\u00e6rkt, unikt hovedkodeord. Det er den eneste hemmelighed, der beskytter hele hv\u00e6lvingen, og det kan ikke nulstilles uden datatab i en zero-knowledge-model. En passphrase p\u00e5 fire til fem tilf\u00e6ldige ord plus tal og tegn rammer en god balance mellem styrke og hukommelse. Skriv det ned p\u00e5 papir og opbevar det fysisk sikkert, indtil det sidder fast.<\/p>\n\n\n\n
N\u00e5r din konto er oprettet, s\u00e5 bekr\u00e6ft i admin-panelet, at SIGNUPS_ALLOWED<\/code> st\u00e5r til false<\/code>. Hvis du vil tilf\u00f8je familie eller kolleger senere, s\u00e5 brug invitationer i stedet for \u00e5ben registrering. Det forhindrer fremmede i at oprette konti p\u00e5 din server, hvis URL’en skulle blive kendt.<\/p>\n\n\n\n
Trin 7: Konfigurer Argon2id som KDF<\/h2>\n\n\n\n
N\u00f8gleudledningsfunktionen, KDF, omdanner dit hovedkodeord til den krypteringsn\u00f8gle, der l\u00e5ser hv\u00e6lvingen op. Bitwardens nuv\u00e6rende standard er Argon2id, der vinder over den \u00e6ldre PBKDF2 ved at kr\u00e6ve betydelig hukommelse og dermed g\u00f8re brute force p\u00e5 specialhardware dyrt. KDF-indstillingerne ligger i selve hv\u00e6lvingens metadata, ikke i Vaultwarden, s\u00e5 du s\u00e6tter dem i klienten under kontoindstillinger.<\/p>\n\n\n\n
Parameter<\/th>Bitwardens standard<\/th>H\u00e6rdet valg<\/th><\/tr><\/thead>
Algoritme<\/td>Argon2id<\/td>Argon2id<\/td><\/tr>
Hukommelse (m)<\/td>64 MiB<\/td>128-256 MiB<\/td><\/tr>
Iterationer (t)<\/td>3<\/td>4-5<\/td><\/tr>
Parallelisme (p)<\/td>4<\/td>4<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
H\u00f8jere hukommelse og flere iterationer g\u00f8r hv\u00e6lvingen mere modstandsdygtig, men ogs\u00e5 langsommere at l\u00e5se op p\u00e5 svage enheder. Test gerne en h\u00e6rdet indstilling p\u00e5 din \u00e6ldste telefon, f\u00f8r du fastl\u00e5ser den. De officielle standardv\u00e6rdier er fornuftige for de fleste, og du kan altid h\u00e6ve dem senere. Detaljerne er dokumenteret i Bitwardens KDF-dokumentation<\/a>, og selve algoritmen er beskrevet p\u00e5 Argon2-siden p\u00e5 Wikipedia<\/a>. Hvis du vil dykke ned i, hvorfor hashing er fundamentet under det hele, har vi en grundig artikel om onlinesikkerhed<\/a>.<\/p>\n\n\n\n
Trin 8: Installer Bitwarden-klienterne<\/h2>\n\n\n\n
Nu kobler du dine enheder p\u00e5. Vaultwarden bruger de officielle Bitwarden-klienter, s\u00e5 du installerer dem fra de normale kilder og peger dem mod din egen server. Det g\u00f8r du via det lille tandhjul p\u00e5 loginsk\u00e6rmen, hvor du angiver din server-URL inden indtastning af e-mail og hovedkodeord.<\/p>\n\n\n\n