Hướng dẫn cài đặt Bitwarden tự host lên VPS để quản lý mật khẩu và dữ liệu nhạy cảm

Hiện nay có rất nhiều phần mềm hoặc ứng dụng quản lý mật khẩu, từ miễn phí đến trả phí như 1Password, LastPass, Dashlane…

Trong số đó, Bitwarden là một giải pháp mã nguồn mở được rất nhiều người dùng cá nhân lẫn doanh nghiệp nhỏ lựa chọn khi cần một công cụ quản lý mật khẩu có thể tự kiểm soát dữ liệu.

Bitwarden không chỉ dùng để lưu tài khoản và mật khẩu đăng nhập. Bạn cũng có thể dùng nó như một nơi lưu trữ các thông tin nhạy cảm khác như API Key, khóa bí mật, mã OTP, secure note hoặc các thông tin truy cập nội bộ cần giữ kín.

Ngoài ra, đây cũng là một lựa chọn phù hợp khi kết hợp với OpenClaw. Thay vì lưu các dữ liệu nhạy cảm ở dạng plain text, bạn có thể tách riêng chúng sang Bitwarden và chỉ gọi ra khi cần sử dụng. Tuy nhiên nếu dùng theo hướng này, nên tách tài khoản Bitwarden riêng cho OpenClaw hoặc dùng một máy chủ riêng để tránh trộn lẫn với kho dữ liệu chính.

Bitwarden hỗ trợ đầy đủ ứng dụng trên máy tính như macOS, Windows, Linux; trên thiết bị di động như iOS, Android; và cả tiện ích mở rộng trên các trình duyệt phổ biến như Chrome, Firefox, Safari, Tor Browser. Nhờ vậy, dù bạn dùng trên máy cá nhân, điện thoại hay trình duyệt web thì trải nghiệm sử dụng vẫn khá đồng nhất.

Chuẩn bị

Trước khi bắt đầu cài đặt, bạn nên chuẩn bị sẵn một vài điều kiện cơ bản để quá trình triển khai Bitwarden self-hosted diễn ra liền mạch hơn. Nếu thiếu một trong các phần dưới đây thì lúc cài đặt rất dễ bị dừng giữa chừng, đặc biệt là ở bước cấu hình SSL và khởi tạo dịch vụ.

• Một máy chủ hoặc VPS/Cloud có quyền quản trị: bạn có thể dùng Linux hoặc Windows, nhưng trong thực tế Linux vẫn là lựa chọn phổ biến hơn vì dễ triển khai theo tài liệu chính thức của Bitwarden. Nếu cần tham khảo thêm yêu cầu hệ thống, bạn có thể xem tại tài liệu self-host chính thức của Bitwarden.
• Cấu hình máy chủ đủ dùng: trong bài này sử dụng một VPS Linux với cấu hình 2 vCPU, 4GB RAM và 40GB dung lượng lưu trữ. Đây là mức cấu hình phù hợp để bắt đầu triển khai và sử dụng cho nhu cầu cá nhân hoặc nhóm nhỏ.
• Một domain hoặc subdomain riêng cho Bitwarden: ví dụ vault.domain-cua-ban.tld. Domain này cần được trỏ sẵn về IP của VPS trước khi chạy script cài đặt để Bitwarden có thể xin chứng chỉ SSL miễn phí từ Let’s Encrypt ngay trong quá trình triển khai.
• Quyền truy cập SSH vào máy chủ: bạn nên chuẩn bị sẵn tài khoản có quyền sudo để cài Docker, tạo user riêng cho Bitwarden và thao tác với các tập tin cấu hình về sau.

Nếu đã có đủ các điều kiện trên, bạn có thể tiếp tục với phần cài đặt theo cách tiêu chuẩn mà Bitwarden đang khuyến nghị.

Cài đặt

Có nhiều cách cài đặt Bitwarden trên VPS khác nhau từ việc cài thủ công, cài theo cách tiêu chuẩn (thông qua Docker), tài liệu tham thảo:

• https://bitwarden.com/help/self-host-bitwarden/
• https://bitwarden.com/help/install-on-premise-linux/ (khuyến nghị)
• https://bitwarden.com/help/install-on-premise-manual/
• https://bitwarden.com/help/install-on-premise-windows/

Trong bài này sẽ sử dụng cách cài đặt tiêu chuẩn trên VPS Linux theo đúng hướng dẫn mà Bitwarden khuyến nghị. Đây cũng là cách phù hợp nhất nếu bạn muốn hệ thống ổn định và dễ cập nhật về sau.

Tạo user riêng cho Bitwarden trên Linux

sudo adduser bitwarden
sudo groupadd docker
sudo usermod -aG docker bitwarden
sudo mkdir /opt/bitwarden
sudo chmod -R 700 /opt/bitwarden
sudo chown -R bitwarden:bitwarden /opt/bitwarden

Cài Docker và Docker compose

Nếu VPS chưa cài Docker và Docker Compose thì hãy cài đặt nhanh thông qua script get.docker.com.

  curl -fsSL https://get.docker.com -o /tmp/get-docker.sh                     
  chmod +x /tmp/get-docker.sh                                                 
  sudo /tmp/get-docker.sh

Chạy script cài Bitwarden tự động

Trước tiên nên chuyển qua user bitwarden đã tạo trước đó rồi cài.

su bitwarden
cd

Bitwarden cung cấp một script cài tự động theo cách tiêu chuẩn và bạn nên dùng cách này.

curl -Lso bitwarden.sh "https://func.bitwarden.com/api/dl/?app=self-host&platform=linux" && chmod 700 bitwarden.sh
./bitwarden.sh install

Trong quá trình cài đặt, script sẽ yêu cầu bạn nhập domain sẽ dùng cho Bitwarden và hỏi có bật Let’s Encrypt để tạo chứng chỉ SSL miễn phí hay không. Nếu domain đã trỏ đúng về IP VPS từ trước thì bạn nên chọn bật để hệ thống có HTTPS ngay từ đầu.

===================================================
bitwarden.sh version 2026.2.1
Docker version 29.3.0, build 5927d80
Docker Compose version v5.1.0
(!) Enter the domain name for your Bitwarden instance (ex. bitwarden.example.com): bw.domain.com
(!) Do you want to use Let's Encrypt to generate a free SSL certificate? (y/n): y

Mặc dù Bitwarden là miễn phí nhưng trong lúc cài đặt nó sẽ yêu cầu bạn nhập mã cài đặt (installation id), để lấy mã này bạn truy cập https://bitwarden.com/host/ và điền địa chỉ email của bạn và khu vực data.

⚠️ Lưu ý: Chỗ này quan trọng bạn cần để ý, nếu bạn sử dụng bản miễn phí thì có thể chọn region nào cũng được, nhưng nếu bạn định sử dụng Bitwarden cho nhiều người (công ty/tổ chức) thì sẽ cần bản quyền và region này phải giống với region mà tài khoản tổ chức của bạn đăng ký với Bitwarden.

Sau khi đăng ký xong, Bitwarden sẽ cung cấp cho bạn installation id và installation key. Bạn chỉ cần copy hai thông tin này rồi nhập lần lượt vào màn hình cài đặt trên VPS.

(!) Enter your installation id (get at https://bitwarden.com/host): 6c5afc35-xxxxxxxxxxxxxxx
(!) Enter your installation key: WkNIxxxxxxxxxxxxxxxxxxx
Invalid input for region. Please try again.
(!) Enter your region (US/EU) [US]: US

Sau khi cài đặt xong thì chạy khởi động.

./bitwarden.sh start

Sau khi hoàn tất, bạn truy cập vào domain đã cấu hình cho Bitwarden để bắt đầu sử dụng. Ở lần truy cập đầu tiên, hệ thống sẽ hiện giao diện tạo tài khoản mới.

Bạn sẽ cần ấn nút Tạo tài khoản để bắt đầu tạo tài khoản sử dụng riêng cho mình.

Cấu hình SMTP

Nếu muốn sử dụng trang quản trị của Bitwarden, bạn cần cấu hình SMTP trước. Lý do là liên kết đăng nhập vào trang quản trị sẽ được gửi qua email, nên nếu chưa có SMTP thì bạn sẽ không thể đăng nhập theo cách thông thường.

Ví dụ, bạn có thể dùng SMTP của Gmail với mật khẩu ứng dụng (Application Password – tạo tại https://myaccount.google.com/apppasswords).

Bạn mở tập tin global.override.env lên tại ~/bwdata/env/global.override.env và tìm các thông tin dưới đây và sửa thành thông tin SMTP của bạn (ví dụ mình đang dùng SMTP của Gmail với mật khẩu ứng dụng):

globalSettings__mail__replyToEmail=azdigi.blog@gmail.com
globalSettings__mail__smtp__host=smtp.gmail.com
globalSettings__mail__smtp__port=587
globalSettings__mail__smtp__ssl=false
globalSettings__mail__smtp__username=azdigi.blog@gmail.com
globalSettings__mail__smtp__password=jsue xskd dkdw hihi

Sau đó chạy lệnh ~/bitwarden.sh restart để khởi động lại.

Thiết lập email của admin

Sau khi tạo tài khoản xong, bạn có thể khai báo địa chỉ email của mình làm tài khoản quản trị. Đây là cách để email đó có quyền đăng nhập vào khu vực admin của Bitwarden.

Bạn mở tập tin global.override.env lên tại ~/bwdata/env/global.override.env và tìm adminSettings__admins rồi thêm email của bạn vào.

adminSettings__admins=azdigi.blog@gmail.com

Sau đó chạy lệnh ~/bitwarden.sh restart để khởi động lại.

Chặn người khác đăng ký tài khoản

Nếu bạn đã cài Bitwarden công khai trên VPS rồi thì nên tắt cho phép đăng ký tài khoản sau khi bạn đã đăng ký hoàn tất trước đó. Mở tập tin ~/bwdata/env/global.override.env và tìm globalSettings__disableUserRegistration chỉnh giá trị thành true.

globalSettings__disableUserRegistration=true

Sau đó chạy lệnh ~/bitwarden.sh restart để khởi động lại.

Đăng nhập vào trang quản trị

Sau khi hoàn tất các bước trên, bạn truy cập vào https://vault.domain-cua-ban.tld/admin để đăng nhập vào trang quản trị bằng địa chỉ email đã khai báo trước đó. Giao diện quản trị của Bitwarden không có quá nhiều tính năng, nhưng đủ để kiểm tra một số thiết lập cơ bản liên quan đến hệ thống self-hosted.

Sử dụng Bitwarden

Sử dụng với extension trình duyệt

Bạn có thể tải extension Bitwarden cho trình duyệt của bạn đang dùng tại https://bitwarden.com/download/.

Sau đó truy cập vào extension đó trên trình duyệt và bắt đầu đăng nhập. Lưu ý bạn phải chọn Self-hosted ở bên dưới cửa sổ để đăng nhập đúng vào server của mình.

Sau đó nhập chính địa chỉ Bitwarden self-hosted mà bạn đã cài đặt trên VPS.

Khi đã trỏ đúng về máy chủ self-hosted, bạn đăng nhập như bình thường để bắt đầu sử dụng kho lưu trữ của mình.

Ngoài extension trên trình duyệt, Bitwarden còn hỗ trợ ứng dụng desktop trên macOS, Windows, Linux và cả CLI để thao tác từ dòng lệnh.

Bạn có thể truy cập vào https://bitwarden.com/download/#downloads-desktop để tải ứng dụng Bitwarden dành cho desktop. Nếu có kế hoạch tích hợp Bitwarden với OpenClaw trên chính máy đang sử dụng, bạn nên cài thêm ứng dụng desktop và CLI để các lệnh như bw hoạt động ổn định hơn.

Sử dụng Bitwarden CLI

ℹ️ Nếu bạn sử dụng máy với kiến trúc arm64 như Apple Silicon thì phải cài Bitwarden-CLI qua lệnh npm install -g @bitwarden/cli

Để bắt đầu sử dụng Bitwarden CLI với self-hosted bạn phải thiết lập đường dẫn Bitwarden với lệnh bw config trước:

bw config server https://bw.domain.com

Để dùng Bitwarden CLI thuận tiện hơn cho các tác vụ tự động hóa, bạn nên đăng nhập bằng API Key. Trong giao diện web của Bitwarden, hãy vào Settings → Security → Keys, sau đó chọn View API key để lấy lại client_id và client_secret.

Tiếp theo, bạn chạy lệnh bw login --apikey rồi nhập client_id và client_secret tương ứng để xác thực.

Sau khi cấu hình xong, mỗi lần cần thao tác bằng Bitwarden CLI bạn sẽ phải chạy bw unlock, nhập master password rồi mới dùng các lệnh như bw list items, bw get password hoặc các lệnh khác tùy nhu cầu.

Sử dụng trên di động

Tương tự như trên desktop, bạn cũng có thể tải ứng dụng Bitwarden từ App Store hoặc Google Play để sử dụng trên điện thoại. Khi đã nhập đúng địa chỉ server self-hosted, dữ liệu sẽ được đồng bộ với máy chủ Bitwarden của riêng bạn thay vì dùng dịch vụ cloud mặc định.

Kết luận

Bitwarden self-hosted là một lựa chọn đáng cân nhắc nếu bạn muốn tự kiểm soát dữ liệu đăng nhập, kho bí mật và các thông tin nhạy cảm của mình thay vì phụ thuộc hoàn toàn vào dịch vụ bên thứ ba. Khi triển khai đúng cách trên VPS, bạn có thể dùng Bitwarden ổn định trên trình duyệt, máy tính, điện thoại và cả CLI cho các nhu cầu nâng cao hơn.

Điểm quan trọng nhất khi tự host Bitwarden là chuẩn bị đúng ngay từ đầu: chọn VPS đủ tài nguyên, trỏ domain chính xác, bật SSL, cấu hình SMTP và tắt đăng ký tài khoản công khai sau khi đã tạo xong tài khoản quản trị. Làm đầy đủ các bước này sẽ giúp hệ thống an toàn và dễ vận hành hơn về sau.

Nếu bạn cần một máy chủ riêng để triển khai Bitwarden self-hosted, có thể tham khảo các gói VPS giá rẻ tại AZDIGI để bắt đầu với chi phí phù hợp.