Guide complet : Installer Passbolt sur Debian étape par étape

par

Prérequis et préparation pour l’installation de Passbolt sur Debian 13

L’installation de Passbolt sur un serveur Debian 13 nécessite une préparation rigoureuse et la connaissance des composantes essentielles pour garantir une mise en place réussie. Passbolt est une solution open source dédiée à la gestion sécurisée des mots de passe en équipe, reposant sur OpenPGP pour assurer un chiffrement robuste. Avant de démarrer, il est important de s’assurer que le système Debian est à jour et prêt à accueillir cette application exigeante.

Dans un premier temps, connectez-vous en ligne de commande à votre machine Debian 13 avec un compte disposant des droits sudo ou l’accès root. La maîtrise de la ligne de commande est primordiale pour suivre ce tutoriel et appliquer correctement chaque étape.

Un élément clé de cette installation est l’outil curl, utilisé pour télécharger des fichiers depuis internet. Debian n’installe pas automatiquement curl, il convient donc de l’installer :

  • apt-get update : met à jour la liste des paquets disponibles.
  • apt-get install curl : installe curl sur le système.

Passbolt requiert également l’installation de MariaDB, qui servira de base de données locale, et Nginx comme serveur web.

Une autre étape préliminaire indispensable est la vérification du système pour le support des connexions sécurisées TLS, car la sécurité est au cœur de l’utilisation de Passbolt. Bien qu’il soit possible d’ajouter un certificat plus tard, la gestion d’un certificat TLS est un gage de confiance, évitant que les communications entre utilisateurs et serveur soient interceptées.

Par ailleurs, l’environnement Debian 13 doit disposer d’au moins 2 Go de RAM pour un fonctionnement fluide, surtout si plusieurs utilisateurs vont accéder au gestionnaire simultanément. En termes d’espace disque, une dizaine de gigaoctets est recommandée pour le stockage des bases de données et des backups.

Enfin, une liste des prérequis pour débuter sereinement l’installation :

  • Débian 13 à jour et accessible en SSH.
  • Compte root ou utilisateur avec droits sudo.
  • Installation de curl.
  • Serveur MariaDB et serveur web Nginx accessibles.
  • Nom de domaine ou adresse IP publique/privée configurée pour l’accès au serveur.
  • Accès au terminal et connaissances de base en gestion de serveur Linux.
  • Prévoir une stratégie de sauvegarde des données.

Cette liste constitue le socle sur lequel s’appuie l’installation complète de Passbolt, bienvenue dans une démarche d’autonomie via l’open source et le contrôle total sur la sécurité de vos mots de passe.

Procédure détaillée pour installer Passbolt sur un serveur Debian : ajout des dépôts et installation

Passbolt Community Edition (CE) peut être installée très efficacement en utilisant les dépôts officiels mis à disposition par l’équipe du projet. Cela simplifie grandement la gestion des mises à jour et des dépendances grâce à APT. Le processus débute par le téléchargement d’un script spécifique qui ajoute le dépôt nécessaire à votre liste de sources de paquets Debian.

Le script passbolt-repo-setup.ce.sh est accessible via curl, accompagné d’un fichier de checksum SHA512 pour vérifier l’intégrité et la sécurité des fichiers téléchargés. Utiliser ce contrôle est crucial, notamment pour éviter toute compromission lors de la récupération des paquets essentiels.

  • Télécharger les deux fichiers :
  • curl -LO https://download.passbolt.com/ce/installer/passbolt-repo-setup.ce.sh
  • curl -LO https://github.com/passbolt/passbolt-dep-scripts/releases/latest/download/passbolt-ce-SHA512SUM.txt
  • Vérifier l’intégrité et ajouter le dépôt :
  • sha512sum -c passbolt-ce-SHA512SUM.txt && bash ./passbolt-repo-setup.ce.sh || echo "Bad checksum. Aborting" && rm -f passbolt-repo-setup.ce.sh

Cette commande exécute la validation du fichier script via la somme SHA512, puis l’exécute seulement si tout est conforme. Cela évite l’installation de paquets malveillants ou corrompus. Lorsque le dépôt est ajouté, la liste des paquets est mise à jour automatiquement.

Ensuite, il suffit d’installer le paquet Passbolt Community Edition :

  • apt install passbolt-ce-server

L’installation proposera un assistant interactif. Cet assistant vous demandera les paramètres pour connecter Passbolt à la base de données MariaDB. L’objectif est de :

  • Créer un utilisateur dédié à Passbolt dans MariaDB.
  • Définir le mot de passe sécurisé pour cet utilisateur.
  • Créer une base de données uniquement utilisée pour stocker les mots de passe et métadonnées Passbolt.

L’étape suivante consiste à configurer le serveur web Nginx. Passbolt offre la possibilité d’automatiser cette configuration afin de faciliter la mise en ligne de l’application sur le domaine ou l’adresse IP souhaitée.

Un dernier point important de cet assistant concerne le certificat TLS : trois options s’offrent à vous :

  • none : sauter la configuration du TLS, à faire plus tard.
  • manual : fournir un certificat et une clé privée préalablement obtenus.
  • auto : laisser le système tenter une génération automatique via Let’s Encrypt (requiert une accessibilité publique).

Choisir l’option automatique est une excellente solution si le serveur est accessible à l’Internet public. Pour un usage interne, privilégier la gestion manuelle d’un certificat d’entreprise est souvent plus sécurisant. Enfin, ne pas oublier de sécuriser la base de données MariaDB avec le script intégré mysql_secure_installation ou mariadb-secure-installation, qui supprime les utilisateurs anonymes et verrouille l’accès au compte root.

Gestion et déploiement des certificats TLS pour une sécurité optimale sur Passbolt

Garantir la sécurité d’un gestionnaire de mots de passe est fondamental. L’utilisation d’un certificat TLS permet non seulement d’instaurer une connexion chiffrée entre le client et le serveur, mais aussi de s’assurer que l’on communique bien avec le serveur légitime, évitant ainsi le risque d’attaque Man-in-the-Middle.

Dans le cadre d’une installation Passbolt sur une adresse interne, par exemple https://passbolt.it-connect.local, il est préférable d’utiliser un certificat TLS délivré par une Autorité de Certification (CA) interne – souvent une solution Active Directory Certificate Services (AD CS) en environnement professionnel. Ce certificat garantit une totale confiance et une intégration homogène aux infrastructures déjà en place.

Les étapes clés pour la gestion du certificat TLS incluent :

  • Génération de la demande de signature de certificat (CSR) ou récupération d’un certificat existant auprès de votre CA.
  • Transfert sécurisé du certificat (.cer) et de la clé privée (.key) sur le serveur Debian via scp ou un outil comme WinSCP.
  • Placement des fichiers dans un répertoire sécurisé, généralement sous /etc/ssl/certs et /etc/ssl/private avec des permissions adaptées.
  • Reconfiguration de Passbolt pour utiliser ces fichiers :
  • dpkg-reconfigure passbolt-ce-server lance la réinstallation minimale nécessaire.
  • Sauter la configuration de base de données.
  • Choisir la configuration manuelle de TLS.
  • Indiquer les chemins complets du certificat et de la clé.

Une fois les modifications appliquées, un simple rechargement de la configuration Nginx via systemctl reload nginx suffit pour activer la sécurité TLS.

Il est également possible d’accompagner cette démarche avec l’intégration d’un reverse proxy doté d’un WAF (Web Application Firewall) ou des outils comme Fail2ban ou CrowdSec, afin d’ajouter une couche supplémentaire contre les attaques réseau ciblées sur Passbolt.

En résumé, la gestion du certificat TLS ne s’arrête pas à la simple installation : c’est une démarche globale qui inclut la rotation régulière des certificats, la surveillance des vulnérabilités et la maintenance des accès sécurisés. Passbolt, en tant qu’outil open source, permet cette flexibilité indispensable dans des environnements professionnels exigeants.

Finaliser la configuration initiale et création du compte administrateur Passbolt

Après la phase d’installation serveur, la configuration initiale de Passbolt se poursuit directement depuis l’interface web. Cette étape est essentielle pour préparer le gestionnaire de mots de passe à l’usage réel, notamment dans l’optique d’une collaboration sécurisée.

Pour cela, ouvrez votre navigateur et rendez-vous à l’adresse configurée pour Passbolt, par exemple https://passbolt.it-connect.local. Vous devriez voir un assistant de configuration web qui guidera les étapes suivantes :

  • Connexion à la base de données : renseignez l’hôte (généralement 127.0.0.1), l’utilisateur et le mot de passe créés préalablement ainsi que le nom de la base.
  • Création d’une paire de clés OpenPGP serveur : un nom et une adresse e-mail doivent être indiqués pour générer cette clé. Cette clé sert à chiffrer les mots de passe stockés sur le serveur.
  • Validation de l’URL d’accès : l’adresse du serveur Passbolt est automatiquement renseignée mais peut être modifiée. Il est recommandé de forcer l’usage du SSL.
  • Paramètres SMTP : configurer l’envoi de mails pour les notifications (nom du serveur SMTP, identifiants, adresse email expéditrice). Un test d’envoi est possible dans l’interface.
  • Création du compte administrateur : compléter prénom, nom, email du futur administrateur principal.

Lors de ce processus, un élément fondamental se présente : la création d’un mot de passe maître personnel pour le compte administrateur. Il sera la clé privée pour déverrouiller la base de mots de passe. La robustesse de ce mot de passe est impérative, car personne ne pourra récupérer les données sans lui.

Le système propose également l’installation de l’extension Passbolt sur le navigateur, indispensable pour générer et utiliser les clés OpenPGP côté client. Le fichier de récupération, appelé passbolt-recovery-kit.txt, devra être précieusement conservé : c’est votre clé privée chiffrée, seul sésame pour restaurer l’accès en cas d’oubli.

On apprécie le système de personnalisation visuelle au premier accès, avec une couleur et un code sur trois lettres, qui identifient visuellement votre navigateur. Cette mesure protège contre les tentatives d’hameçonnage (phishing).

Une fois connecté, l’administrateur peut ajouter des mots de passe dans son coffre personnel, inviter des utilisateurs et gérer les permissions, assurant un environnement collaboratif sécurisé et efficace pour toute l’équipe.

Bonnes pratiques et conseils pour sécuriser et maintenir un serveur Passbolt sous Debian

Installer Passbolt n’est que la première étape d’une démarche continue visant à protéger au mieux les données sensibles de votre organisation. En 2025, face à la sophistication croissante des attaques informatiques, il est essentiel d’adopter une stratégie de sécurité complète pour le serveur Debian hébergeant ce gestionnaire de mots de passe.

Voici quelques bonnes pratiques incontournables à observer dès le déploiement :

  • Mettre à jour régulièrement Debian et Passbolt : les mises à jour apportent non seulement des fonctionnalités, mais surtout des corrections de failles critiques.
  • Sécuriser les accès au serveur : privilégier les connexions SSH via clés publiques plutôt que mots de passe classiques, et désactiver l’accès root en connexion directe.
  • Installer un firewall : UFW ou nftables peuvent limiter les connexions aux ports essentiels notamment 80 et 443 pour Nginx, et 22 pour SSH.
  • Renforcer la base de données MariaDB : poursuit le durcissement commencé avec mariadb-secure-installation, en limitant les privilèges et utilisant des mots de passe forts.
  • Configurer Fail2ban ou CrowdSec : ces outils protègent de manière proactive contre les attaques de type brute force sur SSH et Nginx.
  • Surveillance des logs : mettre en place une solution comme Logwatch ou Graylog pour contrôler les événements et détecter les anomalies.
  • Backup régulier : backup quotidien des bases Passbolt et configuration Nginx, avec une stratégie de restauration testée.
  • Limiter les utilisateurs admins : ne donnez les droits d’administration qu’à des comptes strictement nécessaires.

Par exemple, la société SecureCorp, spécialisée dans la gestion de projets publics, maintient un serveur Passbolt hébergé sur Debian 13 depuis 2024. Leur routine inclut une revue mensuelle des logs et une rotation trimestrielle des certificats TLS. Ils intègrent également Fail2ban pour bloquer rapidement toute IP suspecte après 3 échecs de connexion.

Enfin, la documentation officielle et la communauté Passbolt sont des ressources indispensables pour rester informé sur les nouvelles versions et les correctifs de sécurité. La vigilance face aux vulnérabilités zero-day et la formation des utilisateurs à la sécurité restent des clés essentielles pour bien exploiter Passbolt.