完全ガイド:DebianにPassboltをステップバイステップでインストールする

by

Debian 13 に Passbolt をインストールするための前提条件と準備

Debian 13 サーバーに Passbolt をインストールするには、セットアップを成功させるために、綿密な準備と必須コンポーネントに関する知識が必要です。Passbolt は、OpenPGP をベースとした、堅牢な暗号化を提供する、安全なチームパスワード管理に特化したオープンソースソリューションです。インストールを開始する前に、Debian システムが最新であり、この要求の厳しいアプリケーションをホストできる状態であることを確認することが重要です。

まず、sudo 権限または root アクセスを持つアカウントを使用して、コマンドライン経由で Debian 13 マシンに接続します。このチュートリアルに従い、各手順を正しく実行するには、コマンドラインの操作を習得することが不可欠です。

このインストールの重要な要素は、インターネットからファイルをダウンロードするために使用する `curl` ツールです。Debian は curl を自動的にインストールしないため、インストールする必要があります。`apt-get update`: 利用可能なパッケージのリストを更新します。`apt-get install curl`: システムに curl をインストールします。Passbolt を使用するには、ローカルデータベースとして機能する MariaDB と、Web サーバーとして Nginx のインストールも必要です。

  • Passbolt を使用する上でセキュリティは重要な要素であるため、システムがセキュアな TLS 接続をサポートしているかどうかを確認することも重要な事前手順です。証明書は後から追加することも可能ですが、TLS 証明書を管理することで信頼性が確保され、ユーザーとサーバー間の通信が傍受されるのを防ぐことができます。
  • さらに、Debian 13 環境では、特に複数のユーザーが同時にマネージャーにアクセスする場合、スムーズな動作のために少なくとも 2 GB の RAM が必要です。ディスク容量については、データベースとバックアップの保存用に約 10 GB を推奨します。

最後に、スムーズなインストールのための前提条件を以下に示します。

SSH 経由でアクセスできる最新の Debian 13。

root アカウントまたは sudo 権限を持つユーザー。

curl がインストールされている。

  • MariaDB および Nginx Web サーバーにアクセスできる。
  • サーバーアクセス用に設定されたドメイン名またはパブリック/プライベート IP アドレス。
  • ターミナルアクセスと Linux サーバー管理の基本知識。
  • データバックアップ戦略を計画する。
  • このリストは、Passbolt の完全なインストールの基礎となります。これは、オープンソースによる自律性の向上とパスワードセキュリティの完全な制御への一歩です。
  • Debian サーバーへの Passbolt のインストール手順の詳細:リポジトリの追加とインストール
  • Passbolt Community Edition (CE) は、プロジェクトチームが提供する公式リポジトリを使用して非常に効率的にインストールできます。これにより、APT を使用した更新と依存関係の管理が大幅に簡素化されます。このプロセスは、必要なリポジトリを Debian パッケージソースリストに追加する特定のスクリプトをダウンロードすることから始まります。

スクリプト「passbolt-repo-setup.ce.sh」は、ダウンロードしたファイルの整合性とセキュリティを検証するためのSHA512チェックサムファイルとともに、curl経由でアクセスできます。このチェックを使用することは、特に重要なパッケージを取得する際のセキュリティ侵害を防ぐために不可欠です。

2つのファイルをダウンロードします: `curl -LO https://download.passbolt.com/ce/installer/passbolt-repo-setup.ce.sh`

`curl -LO https://github.com/passbolt/passbolt-dep-scripts/releases/latest/download/passbolt-ce-SHA512SUM.txt` 整合性を確認し、リポジトリを追加します: `sha512sum -c passbolt-ce-SHA512SUM.txt && bash ./passbolt-repo-setup.ce.sh ||` echo “Bad checksum. Aborting” && rm -f passbolt-repo-setup.ce.sh このコマンドは、SHA512ハッシュを使用してスクリプトファイルを検証し、すべてが正しい場合にのみ実行します。これにより、悪意のあるパッケージや破損したパッケージのインストールを防止できます。リポジトリが追加されると、パッケージリストは自動的に更新されます。

  • 次に、Passbolt Community Editionパッケージをインストールします。
  • `apt install passbolt-ce-server`
  • インストール時に対話型ウィザードが提供されます。このウィザードでは、PassboltをMariaDBデータベースに接続するための設定を求められます。目標は以下のとおりです。
  • MariaDBに専用のPassboltユーザーを作成します。

このユーザーに安全なパスワードを設定します。

Passboltのパスワードとメタデータを保存するためだけに使用するデータベースを作成します。

次のステップは、Nginxウェブサーバーの設定です。Passboltでは、この設定を自動化するオプションが用意されており、目的のドメインまたはIPアドレスへのアプリケーションのデプロイを容易にします。

  • このウィザードの最後の重要な点は、TLS証明書に関するものです。3つのオプションがあります。
  • なし

: TLS設定をスキップし、後で設定します。

手動

  • : 事前に取得した証明書と秘密鍵を指定します。 auto
  • : Let’s Encrypt による自動生成を試みます(パブリックアクセスが必要です)。 サーバーがパブリックインターネットからアクセス可能な場合は、自動オプションを選択するのが最適です。社内使用の場合は、企業証明書を手動で管理する方が安全です。最後に、組み込みスクリプト
  • mysql_secure_installation または

mariadb-secure-installation を使用して、MariaDB データベースを保護することを忘れないでください。これらのスクリプトは匿名ユーザーを削除し、ルートアカウントへのアクセスをロックします。 https://www.youtube.com/watch?v=6yT4597tjkYPassbolt で最適なセキュリティを実現するための TLS 証明書の管理と展開

パスワードマネージャーのセキュリティ確保は不可欠です。TLS証明書を使用すると、クライアントとサーバー間の暗号化された接続が確立されるだけでなく、通信相手が正規のサーバーであることが検証されるため、中間者攻撃のリスクを回避できます。

Passboltを社内アドレス(例:

https://passbolt.it-connect.local

)にインストールする場合は、社内の証明機関(CA)が発行したTLS証明書を使用するのが最適です。企業環境では、多くの場合、Active Directory証明書サービス(AD CS)ソリューションがこれに該当します。この証明書は、完全な信頼性と既存のインフラストラクチャとのシームレスな統合を保証します。 TLS証明書の管理における主な手順は次のとおりです。証明書署名要求(CSR)を生成するか、CAから既存の証明書を取得します。

  • 証明書(.cer)と秘密鍵(.key)を、
  • scp またはWinSCPなどのツールを使用してDebianサーバーに安全に転送します。 これらのファイルは、通常は適切な権限を持つ安全なディレクトリ(通常は /etc/ssl/certs と /etc/ssl/private の下)に配置します。
  • これらのファイルを使用するように Passbolt を再設定します。 `dpkg-reconfigure passbolt-ce-server` を実行すると、必要最小限の再インストールが開始されます。 データベースの設定はスキップします。 TLS 設定を手動で行います。
  • 証明書と鍵へのフルパスを指定します。
  • 変更を適用したら、Nginx 設定を `systemctl reload nginx`
  • でリロードするだけで TLS セキュリティが有効になります。
  • このアプローチに加えて、WAF(Web アプリケーションファイアウォール)を備えたリバースプロキシや、Fail2ban、CrowdSec などのツールを統合することで、Passbolt を標的としたネットワーク攻撃に対する防御層を追加することも可能です。
  • まとめると、TLS証明書の管理は単なるインストールで終わるものではありません。定期的な証明書のローテーション、脆弱性の監視、安全なアクセスの維持など、包括的なプロセスです。オープンソースツールであるPassboltは、要求の厳しいプロフェッショナル環境に不可欠な柔軟性を提供します。

https://www.youtube.com/watch?v=u9-DgZUe8Bs 初期設定の完了とPassbolt管理者アカウントの作成

サーバーのインストールフェーズの後、Passboltの初期設定はWebインターフェースから直接続行されます。このステップは、パスワードマネージャーを実際の使用、特に安全なコラボレーションのために準備するために不可欠です。

これを行うには、ブラウザを開き、Passbolt用に設定されたアドレス(例:

https://passbolt.it-connect.local

)にアクセスします。Webベースのセットアップウィザードが表示され、次の手順を案内します。 データベース接続:ホスト名(通常は127.0.0.1)、事前に作成したユーザー名とパスワード、データベース名を入力します。

  • OpenPGP サーバーキーペアの作成: このキーを生成するには、名前とメールアドレスを入力する必要があります。このキーは、サーバーに保存されるパスワードを暗号化するために使用されます。
  • アクセス URL の検証: Passbolt サーバーのアドレスは自動的に入力されますが、変更可能です。SSL の使用を強制することをお勧めします。
  • SMTP 設定: メール通知を設定します(SMTP サーバー名、認証情報、送信者のメールアドレス)。インターフェース内でテストメールを送信できます。
  • 管理者アカウントの作成: 将来の管理者となるユーザーの氏名(名)、姓、メールアドレスを入力します。
  • このプロセスにおいて重要な要素となるのは、管理者アカウント用の個人用マスターパスワードの作成です。これはパスワードデータベースのロックを解除するための秘密鍵となります。このパスワードは強力であることが必須であり、これなしでは誰もデータを復元できません。

システムには、クライアント側でOpenPGP鍵を生成および使用するために不可欠なPassboltブラウザ拡張機能をインストールするオプションも用意されています。

passbolt-recovery-kit.txt と呼ばれるリカバリファイルは、暗号化された秘密鍵が含まれているため、厳重に保管する必要があります。秘密鍵を忘れた場合、アクセスを復元する唯一の手段となります。初回ログイン時に、ブラウザを視覚的に識別できる色と3文字のコードが表示されるビジュアルカスタマイズシステムは高く評価できます。この対策により、フィッシング攻撃を防ぐことができます。

ログイン後、管理者は個人用ボルトへのパスワードの追加、ユーザーの招待、権限の管理などが可能となり、チーム全体にとって安全で効率的な共同作業環境を確保できます。 Debian 上で Passbolt サーバーをセキュリティ保護および維持するためのベストプラクティスとヒント

Passbolt のインストールは、組織の機密データを最大限に保護するための継続的なプロセスの最初のステップにすぎません。2025 年において、サイバー攻撃の高度化が進む中、このパスワードマネージャーをホストする Debian サーバーには包括的なセキュリティ戦略を採用することが不可欠です。

導入段階から遵守すべき重要なベストプラクティスをいくつかご紹介します。

  • Debian と Passbolt を定期的に更新する: 更新は新機能の提供だけでなく、さらに重要な点として、重大な脆弱性の修正も提供します。
  • サーバーへのアクセスを安全にする: SSH 接続では従来のパスワードではなく公開鍵を優先し、直接接続ではルートアクセスを無効にします。
  • ファイアウォールのインストール:
  • UFW または nftables を使用すると、重要なポート(Nginx の場合は 80 と 443、SSH の場合は 22)への接続を制限できます。 MariaDB データベースの強化: mariadb-secure-installation で開始した強化プロセスを継続し、権限を制限し、強力なパスワードを使用します。Fail2ban または CrowdSec の設定:
  • これらのツールは、SSH および Nginx に対するブルートフォース攻撃をプロアクティブに防御します。 ログ監視:
  • Logwatch や Graylog などのソリューションを実装して、イベントを監視し、異常を検出します。 定期的なバックアップ:
  • Passbolt データベースと Nginx 設定のバックアップを、テスト済みの復元戦略を使用して毎日実行します。 管理者ユーザーの制限:
  • 管理者権限は、厳密に必要なアカウントにのみ付与します。例えば、公共部門のプロジェクト管理を専門とするSecureCorpは、2024年からDebian 13でホストされたPassboltサーバーを運用しています。同社の日常業務には、毎月のログレビューと四半期ごとのTLS証明書ローテーションが含まれています。また、Fail2banを統合し、3回接続に失敗すると疑わしいIPアドレスを迅速にブロックしています。

最後に、Passboltの公式ドキュメントとコミュニティは、新バージョンやセキュリティパッチに関する最新情報を常に把握するための重要なリソースです。Passboltを効果的に使用するには、ゼロデイ脆弱性への警戒とユーザーへのセキュリティトレーニングが依然として重要です。