Бекап паролей Vaultwarden

Alexandr · 05.Март.2026 17:40:18

Всем привет

Посоветуйте как можно автоматизировать бекап паролей на сервере Vaultwarden? В идеале я бы хотел при выполнении бекапа конвертировать CSV/JSON в Keepass формат. Вроде как это возможно. Но для любого экспорта паролей из Vaultwarden используя CLI нужно вводить мастер пароль. То есть его нужно хранить в условно открытом виде. Считаю что env не решает проблему (ну либо я не знаю как). Даже с учётом того, что это происходит локально на домашнем сервере - я бы не хотел его хранить в открытом виде. У меня достаточно сложный пароль, я знаю его наизусть и я храню его только в самой базе паролей.

В общем с, возможно ли сделать бекап паролей сервера Vaultwarden не вводя мастер пароль в какой-то стандартизированный формат? Например Json или CSV. Пусть они и будут секунду в открытом виде. Я автоматизирую шифрование этого файла открытым GPG ключем

Хочу уйти с Keepass для удобства синхронизации и доступа. Но пока не могу из-за лёгкой паранойи по бекапам

kalobyte · 05.Март.2026 18:10:33

пароли находятся в зашифрованном хранилище и для расшифровки надо некоторое время (особенно при импорте)

отсюда следует, что нельзя просто так взять и сконвертировать шифрованые пароли в другой вид хранения, а значит нужно вводить ключ

делай бекап данных или всей машины и все

у нас так делается на 2 разных pbs

KRom · 05.Март.2026 18:45:21

Вообще, странная паранойя на тему бэкапирования и отсутствие ее по безопасности.
Присоединяюсь к предыдущему оратору по всем пунктам.
У меня

создается бэкап всего LXC контейнера
Запускается скрипт бэкапирования данных

docker compose exec vaultwarden /vaultwarden backup
find vw-data/ -name 'db_*.sqlite3' -mtime +1 -delete
docker compose run --rm proxmox-backup-client /do_backup.sh

Не красиво, но работает

Нашел еще вот такой репозиторий, но все сводится к бэкапированию зашифрованных данных

Ну и можно почитать официальную доку по бэкапированию