iqbwl • August 10, 2025 • vaultwarden

Mengamankan Vaultwarden

Walaupun Vaultwarden sudah punya sistem enkripsi bawaan, tetap saja kita perlu menambahkan keamanan ekstra, supaya risiko serangan dari luar bisa ditekan semaksimal mungkin.

Di sini kita akan bahas dua hal penting:

1. Setting up Firewall dan Cloudflare
2. Backup Data Vaultwarden

---

1. Mengamankan dengan Firewall dan Cloudflare

Sebelum Vaultwarden diakses dari internet, pastikan server kamu sudah terlindungi. Ada dua lapisan keamanan yang bisa kita tambahkan: firewall di server, dan Cloudflare sebagai lapisan tambahan di depan.

Firewall (UFW):

UFW (Uncomplicated Firewall) adalah cara termudah untuk mengatur firewall di server Linux. Kita akan buka hanya port yang diperlukan: SSH (22), HTTP (80), dan HTTPS (443).

# Install UFW (kalau belum ada)
sudo apt install -y ufw

# Default policy: tolak semua masuk, izinkan semua keluar
sudo ufw default deny incoming
sudo ufw default allow outgoing

# Izinkan SSH, HTTP, dan HTTPS
sudo ufw allow 22/tcp    # SSH
sudo ufw allow 80/tcp    # HTTP
sudo ufw allow 443/tcp   # HTTPS

# Aktifkan firewall
sudo ufw enable

# Cek status
sudo ufw status verbose

Dengan konfigurasi ini, port selain 22, 80, dan 443 akan ditolak. Jadi port Vaultwarden internal (8080) tidak bisa diakses langsung dari luar — harus melalui Nginx reverse proxy.

Setup Cloudflare:

Cloudflare memberikan proteksi ekstra: DDoS protection, Web Application Firewall (WAF), dan caching. Gratis untuk plan basic.

Langkah-langkahnya:

1. Daftar atau login di cloudflare.com.
2. Tambahkan domain kamu (misalnya domainkamu.com).
3. Ubah nameserver domain ke nameserver yang diberikan Cloudflare (biasanya ada di dashboard setelah tambah domain).
4. Tambahkan DNS record:
   • Tipe: A
   • Name: vault (jadi vault.domainkamu.com)
   • Content: IP VPS kamu
   • Proxy: Aktifkan (icon oranye)
5. Set SSL/TLS ke Full (Strict) karena kita sudah pakai Let’s Encrypt di server.

Dengan proxy Cloudflare aktif, traffic ke Vaultwarden akan melewati Cloudflare dulu sebelum sampai ke server — artinya IP asli server tidak terekspos ke publik.

---

2. Backup Data Vaultwarden

Backup itu ibarat asuransi — semoga tidak pernah terpakai, tapi akan sangat menyelamatkan kalau terjadi masalah. Di Vaultwarden, semua data disimpan di folder /data (sesuai pengaturan di docker-compose.yml tadi). Jadi kita cukup backup folder ini secara rutin.

Backup Manual:

Kalau ingin backup manual ke file .tar.gz:

# Masuk ke folder Vaultwarden
cd ~/vaultwarden

# Stop container agar data konsisten
docker compose down

# Backup folder data
tar -czvf vaultwarden-backup-$(date +%F).tar.gz data/

# Start lagi container
docker compose up -d

Backup Otomatis ke Google Drive (Opsional):

Kalau mau backup otomatis, kita bisa pakai rclone:

1. Install rclone:

    sudo apt install -y rclone
   

2. Konfigurasi Google Drive:

    rclone config
   

   Ikuti wizard untuk membuat koneksi ke Google Drive.

3. Buat script backup:

    vim ~/backup-vaultwarden.sh
   

   Isi:

    #!/bin/bash
    BACKUP_FILE="vaultwarden-backup-$(date +%F).tar.gz"
    cd ~/vaultwarden
    docker compose down
    tar -czvf $BACKUP_FILE data/
    docker compose up -d
    rclone copy $BACKUP_FILE gdrive:/VaultwardenBackup/
    rm $BACKUP_FILE
   

4. Jadwalkan di cron:

    crontab -e
   

   Tambahkan:

    0 2 * * * /bin/bash /home/username/backup-vaultwarden.sh
   

Dengan begitu, setiap jam 2 pagi backup akan otomatis dibuat dan dikirim ke Google Drive.

---

💡 Tips ekstra keamanan:

• Gunakan master password yang panjang dan unik.
• Aktifkan Two-Factor Authentication (2FA) di akun Vaultwarden kamu.
• Rajin update Docker dan Vaultwarden ke versi terbaru.

---

Series Vaultwarden:

1. Mengenal Vaultwarden
2. Mengapa Vaultwarden?
3. Cara Install Vaultwarden
4. Mengamankan Vaultwarden (kamu di sini)
5. Cara Pakai Vaultwarden

← Back to Home