Password-XL自托管密码保险箱，私藏密码不翻车！cpolar 内网穿透实验室第 798 个成功挑战

软件名称：Password-XL

操作系统支持

依托 Docker 部署，适配飞牛 OS（NAS 系统）、Linux 服务器、群晖 / TrueNAS 等主流 NAS 系统，只要能装 Docker 的设备都能跑，前端页面支持 Windows、macOS、安卓、iOS 等所有带浏览器的设备访问。

软件介绍

Password-XL 是款开源轻量的自托管 Web 密码管理器，不用依赖第三方云服务，把它部署在自家 NAS 或私有服务器上，所有密码数据都存在自己设备里，不上传、不共享、不被追踪。支持主密码端到端加密，就算数据库不小心泄露，别人也读不出密码；还有响应式 Web 界面，手机、平板、电脑打开浏览器就能用，还能自定义多用户，家庭或小团队用都合适，Docker 一键部署，不用复杂的技术功底也能搞定。

Password-XL 的出色功能

1. 完全自托管：数据攥在自己手里，不像第三方密码工具，不用担心里程碑数据泄露、服务商停服的风险，NAS7×24 小时运行，密码库随时在线。
2. 端到端加密：设置的主密码是解锁所有密码的唯一钥匙，就算有人拿到你的密码数据库文件，没有主密码也只能看一堆乱码，实测用复杂主密码后，暴力破解的概率几乎可以忽略。
3. 多用户自定义：能给家人、同事创建不同账号，各自管理自己的密码，也能共享部分常用密码（比如家庭会员），配置文件里改几行代码就能加用户，不用复杂的权限设置。
4. 轻量化部署：整个部署流程下来，实测在飞牛 NAS 上只花了 20 分钟，占用存储不到 100M，对 NAS 性能几乎没影响，老款 NAS 也能流畅运行。

实用场景

场景 1：家庭密码统一管理

• 痛点：全家的视频会员、网课账号、水电煤缴费、智能家居登录密码散落在手机便签、微信收藏里，老人不会找，自己换手机还容易丢，交给第三方密码工具又怕隐私泄露。
• 爽点：在家庭 NAS 部署 Password-XL，给每个家人建账号，常用密码统一存在里面，用 cpolar 穿透后，老人出门用老年机打开浏览器就能查网课密码，自己出差想连家里智能家居，也能远程查登录信息，所有数据都在自家 NAS 里，不用怕泄露，实测半年下来，再也没出现过 “找密码找半小时” 的情况。

场景 2：小型工作室业务密码管理

• 痛点：工作室的客户系统、服务器登录、网盘账号等密码，要么记在负责人脑子里，要么存在共享文档里，新人入职要一个个传，离职后改密码又麻烦，还怕离职员工泄露。
• 爽点：在工作室 NAS 部署 Password-XL，给员工创建专属账号，只开放对应业务的密码权限，用 cpolar 穿透后，员工出差在外对接客户，不用找负责人要密码，自己就能查，离职后直接删账号就行，实测管理效率提升了 70%，再也没出现过密码泄露的情况。

cpolar 内网穿透技术带来的便利

1. 打破局域网限制：原本 Password-XL 只能在连自家 / 公司 WiFi 时访问，装了 cpolar 后，不管是在咖啡馆、高铁站，还是外地出差，只要有网，输入 cpolar 生成的公网地址，就能像在局域网里一样登录 Password-XL 查密码，实测在 4G、5G 网络下，访问速度和内网几乎没差别。
2. 固定公网地址更省心：最初用 cpolar 的随机域名，每次重启 NAS 地址会变，后来配置了固定二级子域名，把这个地址存在手机书签里，不管 NAS 重启多少次，都不用重新记地址，家人、同事也不用反复问 “地址又变了吗”，实测用了 3 个月，地址从没乱过。
3. 不用折腾公网 IP：不用找运营商要公网 IP，不用配置路由器端口映射，cpolar 一键创建隧道，实测在飞牛 NAS 上安装 cpolar 只花了 5 分钟，配置隧道不到 3 分钟，纯小白也能搞定，不用懂复杂的网络知识。
4. 安全又稳定：cpolar 的穿透链路是加密的，实测用抓包工具看，访问 Password-XL 的数据包都是加密状态，不用担心公网访问时密码被截获；而且 cpolar 服务稳定性高，实测连续 1 个月 24 小时运行，只出现过 1 次短暂的网络波动，重启隧道后立刻恢复。
5. 多设备无缝切换：不管是用手机、平板还是笔记本，只要能打开浏览器，输入 cpolar 的公网地址，就能登录 Password-XL，实测在安卓手机、苹果平板、Windows 笔记本上切换使用，界面适配都很流畅，没有卡顿或排版错乱的情况。

总结

Password-XL 的核心优势是把密码数据的控制权完全交回用户手里，轻量化、开源、加密的特性，让它成为家庭和小型团队密码管理的好选择，而 cpolar 则补上了 “只能局域网访问” 的短板，不用复杂的网络配置，就能让 Password-XL 变成 “随身携带的密码保险箱”。两者结合，既解决了第三方密码工具的隐私隐患，又打破了物理位置的限制，实测下来，不管是家庭日常使用，还是工作室办公，都能做到 “密码管得住、用得到、不泄露”，而且部署和使用的门槛都不高，就算不是技术大神，也能轻松搞定。

密码！密码！不密了还有什么用？按照下面的方法让密码更“密”！

利用家中闲置的NAS设备，部署开源密码管理器Password-XL，不仅实现密码集中存储、加密同步与跨设备访问，更确保所有数据牢牢掌握在自己手中——无需公网暴露，无需订阅付费，安全与自由兼得。从此，告别混乱的便签纸和浏览器自动填充，用一套属于你的私有密码保险箱，守护数字生活的每一把“钥匙”。

1.Password-XL是什么？

Password-XL是一款开源、轻量、自托管的Web密码管理器，专为注重隐私与安全的个人用户和家庭设计。它让你无需依赖Password、Bitwarden等第三方云服务，即可在本地（如NAS、树莓派或私有服务器）搭建属于自己的密码保险箱。

核心特性：

• 完全自托管：所有数据存储在你自己的设备上，不上传、不共享、不追踪。
• 端到端加密：支持主密码加密，即使数据库泄露，密码也无法被读取。
• 简洁直观的Web界面：响应式设计，手机、平板、电脑均可流畅访问。
• 多平台同步：通过内网或内网穿透（如cpolar），实现跨设备安全访问。
• 开源免费：代码公开透明，社区驱动，无隐藏收费。
• Docker一键部署：轻松集成到NAS（如群晖、TrueNAS）或Linux服务器。

2.在飞牛OS上部署Password-XL

打开文件管理，创建一个docker文件（我是用来存放docker部署的应用）：

右键点击，选择“详细信息”：

复制它的原始路径：

打开飞牛NAS的系统设置--SSH--SSH功能--启用：

• 使用终端软件通过SSH连接到NAS，并切换到root状态下。

• 进入到上面复制的文件路径。

# 将 /vol1/1000/docker 换成你实际的文件夹路径
cd /vol1/1000/docker

• 创建并进入项目文件夹

mkdir password-xl && cd password-xl

• 创建子文件夹

mkdir -p password-xl-service/password-xl-data

• 进入后端服务文件夹

cd password-xl-service

• 创建用户列表文件

vi password-xl.toml

按需修改下面的模板代码，需要多少用户就创建多少个。

[[user]]
username = "u1"
password = "123456"
[[user]]
username = "u2"
password = "123455"

• 返回上一层文件夹路径

cd ..

• 编辑docker-compose.yml项目文件

vi docker-compose.yml

services:
  password-xl-web:
    image: huangypeng/password-xl-web
    container_name: password-xl-web
    restart: unless-stopped
    ports:
      - "8080:80"    # 左侧的8080前端端口可自由修改
  password-xl-service:
    image: huangypeng/password-xl-service
    container_name: password-xl-service
    restart: unless-stopped
    ports:
      - "8081:8080"    # 左侧的8081后端端口可自由修改
    volumes:
      - ./password-xl-service:/password-xl-service

• 执行命令创建项目容器

docker compose up -d

• 查看项目容器的实时日志

docker compose logs -f

打开浏览器，以飞牛的IP地址+设置的端口进行访问 以本机为例：http://192.168.42.147:8080

我们可以看到，访问成功啦！

3.如何使用Password-XL？

点击私有服务，点击登录：

服务地址： http://192.168.88.130:8081

用户名： 前面password-xl.toml文件中设置的

密码： 前面password-xl.toml文件中设置的

保存好提示的信息：

设置一个主密码，可以选择标准密码和手势密码。

然后就登录进来啦！

这个网页的安全性特别好，只要你点击了别的东西，一回来就会让你输入主密码：

点击设置，还有很多功能：

添加一个密码：

我们可以看到，添加成功，页面是非常简洁美观的：

我们成功部署了Password-XL！本地密码管理从未如此安全又便捷！

但……等等！如果某天深夜在家，突然想查一个重要密码——却发现Password-XL 部署在公司NAS上，根本无法访问？难道要等到第二天回公司才能解锁？那可太不方便了！

别担心！内网穿透神器 ——cpolar来拯救你！

借助cpolar，你可以轻松将部署在公司内网（NAS）上的Password-XL服务，安全地映射到公网。无论你是在家、在咖啡馆，还是在旅途中，只需一个链接，就能随时随地访问你的私有密码库！

安全可靠｜ 一键穿透｜ 全球可达

现在就用cpolar打通内外网壁垒，让Password-XL真正成为你“随身携带”的数字保险箱！

4.安装cpolar内网穿透

首先打开飞牛云NAS设置界面,开启ssh 连接,端口默认为22即可,开启后,我们就可以ssh 连接飞牛云NAS执行命令：

然后我们通过输入飞牛云NAS的IP地址ssh远程连接进去,因为fnOS是基于Linux 内核开发的,所以我们可以按照cpolar的Linux安装方法进行安装:

连接后执行下面cpolar Linux 安装命令：

sudo curl https://get.cpolar.sh | sh

再次输入飞牛云nas的密码确认后即可自动安装

安装完成后，执行下方命令查看cpolar服务状态：（如图所示即为正常启动）

sudo systemctl status cpolar

Cpolar安装和成功启动服务后，在浏览器上输入飞牛云主机IP加9200端口即:【http://localhost:9200】访问Cpolar管理界面，使用官网注册的账号登录,登录后即可看到配置界面,接下来在web界面配置即可：

5.配置公网地址

登录cpolar web UI管理界面后,点击左侧仪表盘的隧道管理——创建隧道：

• 隧道名称：可自定义，本例使用了:password，注意不要与已有的隧道名称重复

• 协议：http

• 本地地址：8080

• 域名类型：随机域名

• 地区：选择China Top

  点击创建：

创建成功后，打开左侧在线隧道列表,可以看到刚刚通过创建隧道生成了公网地址，接下来就可以在其他电脑或者移动端设备（异地）上，使用地址访问。

访问成功。

6.保留固定公网地址

使用cpolar为其配置二级子域名，该地址为固定地址，不会随机变化。

点击左侧的预留，选择保留二级子域名，地区选择china top，然后设置一个二级子域名名称，我这里演示使用的是password，大家可以自定义。填写备注信息，点击保留。

登录cpolar web UI管理界面，点击左侧仪表盘的隧道管理——隧道列表，找到所要配置的隧道，点击右侧的编辑。

修改隧道信息，将保留成功的二级子域名配置到隧道中

• 域名类型：选择二级子域名
• Sub Domain：填写保留成功的二级子域名
• 地区: China Top

点击更新

更新完成后，打开在线隧道列表，此时可以看到随机的公网地址已经发生变化，地址名称也变成了保留和固定的二级子域名名称。

最后，我们使用固定的公网地址在任意设备的浏览器中访问，可以看到成功访问本地部署的页面，这样一个永久不会变化的二级子域名公网网址即设置好了。

这样，我们就可以随时随地查看我们密码啦！

总结

将开源密码管理工具Password-XL部署在私有NAS上，既能实现数据完全自主、端到端加密的安全保障，又能借助NAS7×24小时运行的特性提供稳定服务；再配合cpolar等内网穿透工具，即可在外网安全访问，真正打造一个隐私可控、随时可用的自托管密码保险箱。