Guida completa: Installazione di Passbolt su Debian passo dopo passo

di

Prerequisiti e preparazione per l’installazione di Passbolt su Debian 13

L’installazione di Passbolt su un server Debian 13 richiede un’attenta preparazione e la conoscenza dei componenti essenziali per garantire una configurazione di successo. Passbolt è una soluzione open source dedicata alla gestione sicura delle password di gruppo, basata su OpenPGP per fornire una crittografia robusta. Prima di iniziare, è importante assicurarsi che il sistema Debian sia aggiornato e pronto a ospitare questa applicazione impegnativa.

Per prima cosa, connettiti alla tua macchina Debian 13 tramite la riga di comando con un account con privilegi sudo o accesso root. Padroneggiare la riga di comando è essenziale per seguire questo tutorial e applicare correttamente ogni passaggio.

Un elemento chiave di questa installazione è lo strumento `curl`, utilizzato per scaricare file da internet. Debian non installa automaticamente curl, quindi è necessario installarlo: `apt-get update`: aggiorna l’elenco dei pacchetti disponibili. `apt-get install curl`: installa curl sul sistema. Passbolt richiede anche l’installazione di MariaDB, che fungerà da database locale, e di Nginx come server web.

  • Un altro passaggio preliminare essenziale è la verifica del supporto del sistema per connessioni TLS sicure, poiché la sicurezza è fondamentale per l’utilizzo di Passbolt. Sebbene sia possibile aggiungere un certificato in un secondo momento, la gestione di un certificato TLS garantisce l’affidabilità e impedisce che le comunicazioni tra gli utenti e il server vengano intercettate.
  • Inoltre, l’ambiente Debian 13 dovrebbe disporre di almeno 2 GB di RAM per un funzionamento fluido, soprattutto se più utenti accedono contemporaneamente al gestore. In termini di spazio su disco, si consigliano circa 10 GB per l’archiviazione di database e backup.

Infine, ecco un elenco di prerequisiti per un’installazione senza intoppi:

Debian 13 aggiornata accessibile tramite SSH.

Account root o utente con privilegi sudo.

Curl installato.

  • Server web MariaDB e Nginx accessibili.
  • Nome di dominio o indirizzo IP pubblico/privato configurato per l’accesso al server.
  • Accesso al terminale e conoscenze di base dell’amministrazione di server Linux.
  • Pianificare una strategia di backup dei dati.
  • Questo elenco costituisce la base per un’installazione completa di Passbolt, un passo verso una maggiore autonomia attraverso l’open source e il controllo totale sulla sicurezza delle password.
  • Procedura dettagliata per l’installazione di Passbolt su un server Debian: aggiunta di repository e installazione
  • Passbolt Community Edition (CE) può essere installato in modo molto efficiente utilizzando i repository ufficiali forniti dal team di progetto. Questo semplifica notevolmente la gestione degli aggiornamenti e delle dipendenze tramite APT. Il processo inizia scaricando uno script specifico che aggiunge il repository necessario all’elenco delle fonti dei pacchetti Debian.

Lo script `passbolt-repo-setup.ce.sh` è accessibile tramite curl, insieme a un file di checksum SHA512 per verificare l’integrità e la sicurezza dei file scaricati. L’utilizzo di questo controllo è fondamentale, soprattutto per evitare qualsiasi compromissione durante il recupero di pacchetti essenziali. Scarica i due file: `curl -LO https://download.passbolt.com/ce/installer/passbolt-repo-setup.ce.sh`

`curl -LO https://github.com/passbolt/passbolt-dep-scripts/releases/latest/download/passbolt-ce-SHA512SUM.txt`

Verifica l’integrità e aggiungi il repository: `sha512sum -c passbolt-ce-SHA512SUM.txt && bash ./passbolt-repo-setup.ce.sh ||` echo “Checksum errato. Interruzione” && rm -f passbolt-repo-setup.ce.sh Questo comando convalida il file di script utilizzando l’hashing SHA512 e lo esegue solo se tutto è corretto. Questo impedisce l’installazione di pacchetti dannosi o corrotti. Quando il repository viene aggiunto, l’elenco dei pacchetti viene aggiornato automaticamente.

  • Successivamente, installa semplicemente il pacchetto Passbolt Community Edition:
  • `apt install passbolt-ce-server`
  • L'installazione offrirà una procedura guidata interattiva. Questa procedura guidata ti chiederà le impostazioni per connettere Passbolt al database MariaDB. L'obiettivo è:
  • Creare un utente Passbolt dedicato in MariaDB.
  • Impostare una password sicura per questo utente.

Creare un database utilizzato esclusivamente per memorizzare password e metadati di Passbolt.

  • Il passaggio successivo consiste nella configurazione del server web Nginx. Passbolt offre la possibilità di automatizzare questa configurazione per facilitare la distribuzione dell'applicazione sul dominio o sull'indirizzo IP desiderato.

  • Un ultimo punto importante in questa procedura guidata riguarda il certificato TLS: hai tre opzioni:
  • nessuna
  • : salta la configurazione TLS; eseguila in seguito.

manuale

: fornisci un certificato e una chiave privata ottenuti in precedenza.

  • auto : consente al sistema di tentare la generazione automatica tramite Let’s Encrypt (richiede l’accesso pubblico).
  • La ​​scelta dell’opzione automatica è un’ottima soluzione se il server è accessibile dalla rete Internet pubblica. Per uso interno, la gestione manuale di un certificato aziendale è spesso più sicura. Infine, non dimenticare di proteggere il database MariaDB con lo script integrato mysql_secure_installation
  • o mariadb-secure-installation

, che rimuove gli utenti anonimi e blocca l’accesso all’account root. https://www.youtube.com/watch?v=6yT4597tjkY Gestione e distribuzione di certificati TLS per una sicurezza ottimale su PassboltGarantire la sicurezza di un gestore di password è fondamentale. L’utilizzo di un certificato TLS non solo stabilisce una connessione crittografata tra il client e il server, ma verifica anche che la comunicazione avvenga effettivamente con il server legittimo, prevenendo così il rischio di un attacco Man-in-the-Middle.

Quando si installa Passbolt su un indirizzo interno, ad esempio

https://passbolt.it-connect.local

, è consigliabile utilizzare un certificato TLS rilasciato da un’Autorità di Certificazione (CA) interna, spesso una soluzione Active Directory Certificate Services (AD CS) in un ambiente aziendale. Questo certificato garantisce la completa affidabilità e una perfetta integrazione con le infrastrutture esistenti.

I passaggi chiave per la gestione del certificato TLS includono: Generazione di una richiesta di firma del certificato (CSR) o recupero di un certificato esistente dalla CA.

Trasferimento sicuro del certificato (.cer) e della chiave privata (.key) al server Debian tramite

  • scp
  • o uno strumento come WinSCP. Posizionare i file in una directory sicura, solitamente in /etc/ssl/certs e
  • /etc/ssl/private con le autorizzazioni appropriate. Riconfigurare Passbolt per utilizzare questi file: `dpkg-reconfigure passbolt-ce-server` avvia la reinstallazione minima richiesta.
  • Saltare la configurazione del database.
  • Scegliere la configurazione TLS manuale. Specificare i percorsi completi del certificato e della chiave.
  • Una volta applicate le modifiche, è sufficiente ricaricare la configurazione di Nginx utilizzando
  • `systemctl reload nginx`
  • per abilitare la sicurezza TLS. È anche possibile accompagnare questo approccio con l’integrazione di un reverse proxy dotato di WAF (Web Application Firewall) o strumenti come Fail2ban o CrowdSec, al fine di aggiungere un ulteriore livello di protezione contro gli attacchi di rete mirati a Passbolt.

In sintesi, la gestione di un certificato TLS non si esaurisce con una semplice installazione: è un processo completo che include la rotazione regolare dei certificati, il monitoraggio delle vulnerabilità e il mantenimento di un accesso sicuro. Passbolt, in quanto strumento open source, offre questa flessibilità essenziale in ambienti professionali esigenti. https://www.youtube.com/watch?v=u9-DgZUe8Bs

Finalizzazione della configurazione iniziale e creazione dell’account amministratore di Passbolt

Dopo la fase di installazione del server, la configurazione iniziale di Passbolt prosegue direttamente dall’interfaccia web. Questo passaggio è essenziale per preparare il gestore di password all’uso pratico, in particolare per la collaborazione sicura.

Per farlo, apri il browser e vai all’indirizzo configurato per Passbolt, ad esempio:

https://passbolt.it-connect.local

. Dovresti visualizzare una procedura guidata di configurazione basata sul web che ti guiderà attraverso i seguenti passaggi:Connessione al database:

  • Inserisci il nome host (solitamente 127.0.0.1), il nome utente e la password creati in precedenza e il nome del database. Crea una coppia di chiavi per il server OpenPGP: Per generare questa chiave è necessario fornire un nome e un indirizzo email. Questa chiave viene utilizzata per crittografare le password memorizzate sul server.
  • Convalida dell’URL di accesso: L’indirizzo del server Passbolt viene compilato automaticamente, ma può essere modificato. Si consiglia di imporre l’uso di SSL.
  • Impostazioni SMTP: Configura le notifiche email (nome del server SMTP, credenziali, indirizzo email del mittente). È possibile inviare un’email di prova tramite l’interfaccia.
  • Crea l’account amministratore: Inserisci nome, cognome e indirizzo email del futuro amministratore principale.
  • Durante questo processo, un elemento cruciale è la creazione di una password principale personale per l’account amministratore. Questa sarà la chiave privata per sbloccare il database delle password. La sicurezza di questa password è fondamentale, poiché nessuno sarà in grado di recuperare i dati senza di essa.

Il sistema offre anche la possibilità di installare l’estensione browser Passbolt, essenziale per generare e utilizzare chiavi OpenPGP lato client. Il file di ripristino, denominato

passbolt-recovery-kit.txt , deve essere conservato con cura: contiene la chiave privata crittografata, l’unico modo per ripristinare l’accesso in caso di dimenticanza.Apprezziamo il sistema di personalizzazione visiva al primo accesso, con un colore e un codice di tre lettere che identificano visivamente il browser. Questa misura protegge dai tentativi di phishing.

Una volta effettuato l’accesso, l’amministratore può aggiungere password al proprio archivio personale, invitare utenti e gestire le autorizzazioni, garantendo un ambiente collaborativo sicuro ed efficiente per l’intero team. Best practice e suggerimenti per la protezione e la manutenzione di un server Passbolt su Debian

L’installazione di Passbolt è solo il primo passo di un processo continuo per proteggere al meglio i dati sensibili della tua organizzazione. Nel 2025, data la crescente sofisticatezza degli attacchi informatici, è essenziale adottare una strategia di sicurezza completa per il server Debian che ospita questo gestore di password.

Ecco alcune best practice essenziali da seguire fin dalla fase di distribuzione:

  • Aggiorna regolarmente Debian e Passbolt: Gli aggiornamenti non solo forniscono nuove funzionalità, ma, soprattutto, correggono vulnerabilità critiche.
  • Accesso sicuro al server: Dare priorità alle connessioni SSH utilizzando chiavi pubbliche anziché password tradizionali e disabilitare l’accesso root per le connessioni dirette.
  • Installare un firewall:
  • UFW o nftables possono limitare le connessioni alle porte essenziali, in particolare 80 e 443 per Nginx e 22 per SSH. Rafforzare il database MariaDB: Continuare il processo di hardening iniziato conmariadb-secure-installation
  • , limitando i privilegi e utilizzando password complesse. Configurare Fail2ban o CrowdSec:
  • Questi strumenti proteggono proattivamente dagli attacchi brute-force su SSH e Nginx. Monitoraggio dei log:
  • Implementare una soluzione come Logwatch o Graylog per monitorare gli eventi e rilevare anomalie. Backup regolari:
  • Eseguire backup giornalieri dei database Passbolt e delle configurazioni Nginx, con una strategia di ripristino testata. Limitare gli utenti amministratori:

Concedere diritti amministrativi solo agli account strettamente necessari. Ad esempio, SecureCorp, un’azienda specializzata nella gestione di progetti nel settore pubblico, gestisce un server Passbolt ospitato su Debian 13 dal 2024. La loro routine include una revisione mensile dei log e una rotazione trimestrale dei certificati TLS. Integrano inoltre Fail2ban per bloccare rapidamente qualsiasi indirizzo IP sospetto dopo tre tentativi di connessione falliti. Infine, la documentazione ufficiale di Passbolt e la community sono risorse essenziali per rimanere informati sulle nuove versioni e sulle patch di sicurezza. La vigilanza sulle vulnerabilità zero-day e la formazione degli utenti sulla sicurezza rimangono fondamentali per un utilizzo efficace di Passbolt.