密码多了记不住，放云端又怕泄露？我用 NAS 自建了密码保险箱

前言

密码这件事，估计是数字时代最让人又爱又恨的东西。各平台要求各不相同，大写字母、数字、特殊符号混着来，没有哪个正常人能靠脑子记住二三十个平台的账号密码。浏览器自动填充算是临时方案，但换了设备就抓瞎，而且说实话，把所有密码交给浏览器这件事，细想起来也不怎么踏实。

后来试过几个第三方云密码管理器，1Password、Bitwarden 这些，安全性其实没问题，但总觉得哪里不对------密码数据存在别人服务器上这件事，主观感受上就是不舒服。后来了解到 Bitwarden 其实也可以自建，但折腾了一圈觉得还是太重了。

最后用的是 Password-XL，配合家里闲置的 NAS 部署。说白了就是自己搭了一个密码管理服务，跑在自己的设备上，数据完全在自己手里，不上传任何第三方。NAS 这东西 24 小时开着，功耗不高，正好适合当私人密码保险箱的物理载体。NAS 的 RAID 还能做本地备份，加上主密码加密，就算硬盘被人拿走也读不出内容。出门在外需要查密码的时候，配合 cpolar 穿透直接访问，跟用云端服务体验一样，但数据主权实实在在在自己手上。

1.Password-XL是什么？

Password-XL是一款开源、轻量、自托管的Web密码管理器，专为注重隐私与安全的个人用户和家庭设计。它让你无需依赖Password、Bitwarden等第三方云服务，即可在本地（如NAS、树莓派或私有服务器）搭建属于自己的密码保险箱。

核心特性：

• 完全自托管：所有数据存储在你自己的设备上，不上传、不共享、不追踪。
• 端到端加密：支持主密码加密，即使数据库泄露，密码也无法被读取。
• 简洁直观的Web界面：响应式设计，手机、平板、电脑均可流畅访问。
• 多平台同步：通过内网或内网穿透（如cpolar），实现跨设备安全访问。
• 开源免费：代码公开透明，社区驱动，无隐藏收费。
• Docker一键部署：轻松集成到NAS（如群晖、TrueNAS）或Linux服务器。

2.在飞牛OS上部署Password-XL

打开文件管理，创建一个docker文件（我是用来存放docker部署的应用）：

右键点击，选择"详细信息"：

复制它的原始路径：

打开飞牛NAS的系统设置--SSH--SSH功能--启用：

• 使用终端软件通过SSH连接到NAS，并切换到root状态下。

• 进入到上面复制的文件路径。

# 将 /vol1/1000/docker 换成你实际的文件夹路径
cd /vol1/1000/docker

• 创建并进入项目文件夹

mkdir password-xl && cd password-xl

• 创建子文件夹

mkdir -p password-xl-service/password-xl-data

• 进入后端服务文件夹

cd password-xl-service

• 创建用户列表文件

vi password-xl.toml

按需修改下面的模板代码，需要多少用户就创建多少个。

[[user]]
username = "u1"
password = "123456"
[[user]]
username = "u2"
password = "123455"

• 返回上一层文件夹路径

cd ..

• 编辑docker-compose.yml项目文件

vi docker-compose.yml

services:
  password-xl-web:
    image: huangypeng/password-xl-web
    container_name: password-xl-web
    restart: unless-stopped
    ports:
      - "8080:80"    # 左侧的8080前端端口可自由修改
  password-xl-service:
    image: huangypeng/password-xl-service
    container_name: password-xl-service
    restart: unless-stopped
    ports:
      - "8081:8080"    # 左侧的8081后端端口可自由修改
    volumes:
      - ./password-xl-service:/password-xl-service

• 执行命令创建项目容器

docker compose up -d

• 查看项目容器的实时日志

docker compose logs -f

打开浏览器，以飞牛的IP地址+设置的端口进行访问 以本机为例：http://192.168.42.147:8080

我们可以看到，访问成功啦！

3.如何使用Password-XL？

点击私有服务，点击登录：

服务地址： http://192.168.88.130:8081

用户名： 前面password-xl.toml文件中设置的

密码： 前面password-xl.toml文件中设置的

保存好提示的信息：

设置一个主密码，可以选择标准密码和手势密码。

然后就登录进来啦！

这个网页的安全性特别好，只要你点击了别的东西，一回来就会让你输入主密码：

点击设置，还有很多功能：

添加一个密码：

我们可以看到，添加成功，页面是非常简洁美观的：

我们成功部署了Password-XL！本地密码管理从未如此安全又便捷！

但......等等！如果某天深夜在家，突然想查一个重要密码------却发现Password-XL 部署在公司NAS上，根本无法访问？难道要等到第二天回公司才能解锁？那可太不方便了！

别担心！内网穿透神器 ------cpolar来拯救你！

借助cpolar，你可以轻松将部署在公司内网（NAS）上的Password-XL服务，安全地映射到公网。无论你是在家、在咖啡馆，还是在旅途中，只需一个链接，就能随时随地访问你的私有密码库！

安全可靠｜ 一键穿透｜ 全球可达

现在就用cpolar打通内外网壁垒，让Password-XL真正成为你"随身携带"的数字保险箱！

4.安装cpolar内网穿透

首先打开飞牛云NAS设置界面,开启ssh 连接,端口默认为22即可,开启后,我们就可以ssh 连接飞牛云NAS执行命令：

然后我们通过输入飞牛云NAS的IP地址ssh远程连接进去,因为fnOS是基于Linux 内核开发的,所以我们可以按照cpolar的Linux安装方法进行安装:

连接后执行下面cpolar Linux 安装命令：

sudo curl https://get.cpolar.sh | sh

再次输入飞牛云nas的密码确认后即可自动安装

安装完成后，执行下方命令查看cpolar服务状态：（如图所示即为正常启动）

sudo systemctl status cpolar

Cpolar安装和成功启动服务后，在浏览器上输入飞牛云主机IP加9200端口即:【http://localhost:9200】访问Cpolar管理界面，使用官网注册的账号登录,登录后即可看到配置界面,接下来在web界面配置即可：

5.配置公网地址

登录cpolar web UI管理界面后,点击左侧仪表盘的隧道管理------创建隧道：

• 隧道名称：可自定义，本例使用了:password，注意不要与已有的隧道名称重复

• 协议：http

• 本地地址：8080

• 域名类型：随机域名

• 地区：选择China Top

  点击创建：

创建成功后，打开左侧在线隧道列表,可以看到刚刚通过创建隧道生成了公网地址，接下来就可以在其他电脑或者移动端设备（异地）上，使用地址访问。

访问成功。

6.保留固定公网地址

使用cpolar为其配置二级子域名，该地址为固定地址，不会随机变化。

点击左侧的预留，选择保留二级子域名，地区选择china top，然后设置一个二级子域名名称，我这里演示使用的是password，大家可以自定义。填写备注信息，点击保留。

登录cpolar web UI管理界面，点击左侧仪表盘的隧道管理------隧道列表，找到所要配置的隧道，点击右侧的编辑。

修改隧道信息，将保留成功的二级子域名配置到隧道中

• 域名类型：选择二级子域名
• Sub Domain：填写保留成功的二级子域名
• 地区: China Top

点击更新

更新完成后，打开在线隧道列表，此时可以看到随机的公网地址已经发生变化，地址名称也变成了保留和固定的二级子域名名称。

最后，我们使用固定的公网地址在任意设备的浏览器中访问，可以看到成功访问本地部署的页面，这样一个永久不会变化的二级子域名公网网址即设置好了。

这样，我们就可以随时随地查看我们密码啦！

总结

密码这件事，估计是数字时代最让人又爱又恨的东西。各平台要求各不相同，大写字母、数字、特殊符号混着来，没有哪个正常人能靠脑子记住二三十个平台的账号密码。浏览器自动填充算是临时方案，但换了设备就抓瞎，而且说实话，把所有密码交给浏览器这件事，细想起来也不怎么踏实。

后来试过几个第三方云密码管理器，1Password、Bitwarden 这些，安全性其实没问题，但总觉得哪里不对------密码数据存在别人服务器上这件事，主观感受上就是不舒服。后来了解到 Bitwarden 其实也可以自建，但折腾了一圈觉得还是太重了。

最后用的是 Password-XL，配合家里闲置的 NAS 部署。说白了就是自己搭了一个密码管理服务，跑在自己的设备上，数据完全在自己手里，不上传任何第三方。NAS 这东西 24 小时开着，功耗不高，正好适合当私人密码保险箱的物理载体。NAS 的 RAID 还能做本地备份，加上主密码加密，就算硬盘被人拿走也读不出内容。出门在外需要查密码的时候，配合 cpolar 穿透直接访问，跟用云端服务体验一样，但数据主权实实在在在自己手上。