완벽한 가이드: Debian에 Passbolt를 단계별로 설치하기

작성자:

Debian 13에 Passbolt 설치를 위한 전제 조건 및 준비 사항

Debian 13 서버에 Passbolt를 설치하려면 성공적인 설치를 위해 필수 구성 요소에 대한 세심한 준비와 지식이 필요합니다. Passbolt는 OpenPGP를 기반으로 강력한 암호화를 제공하는 안전한 팀 비밀번호 관리 전용 오픈소스 솔루션입니다. 시작하기 전에 Debian 시스템이 최신 상태이고 이 까다로운 애플리케이션을 호스팅할 준비가 되어 있는지 확인하는 것이 중요합니다.

먼저 sudo 권한이나 루트 권한이 있는 계정으로 명령줄을 통해 Debian 13 시스템에 연결합니다. 이 튜토리얼을 따라 각 단계를 올바르게 적용하려면 명령줄을 숙지하는 것이 필수적입니다.

이 설치의 핵심 요소는 인터넷에서 파일을 다운로드하는 데 사용되는 `curl` 도구입니다. Debian은 curl을 자동으로 설치하지 않으므로 다음과 같이 설치해야 합니다. `apt-get update`: 사용 가능한 패키지 목록을 업데이트합니다. `apt-get install curl`: 시스템에 curl을 설치합니다.Passbolt를 사용하려면 로컬 데이터베이스로 사용할 MariaDB와 웹 서버로 사용할 Nginx도 설치해야 합니다.

  • Passbolt 사용의 핵심은 보안이므로, 시스템의 보안 TLS 연결 지원 여부를 확인하는 것도 필수적입니다. 나중에 인증서를 추가할 수도 있지만, TLS 인증서를 관리하면 신뢰도가 높아지고 사용자와 서버 간의 통신이 가로채지는 것을 방지할 수 있습니다.
  • 또한, Debian 13 환경에서는 원활한 작동을 위해 최소 2GB의 RAM이 필요합니다. 특히 여러 사용자가 동시에 관리자에 접속하는 경우 더욱 그렇습니다. 디스크 공간 측면에서는 데이터베이스 및 백업 저장을 위해 약 10GB의 디스크 공간을 권장합니다.

마지막으로, 원활한 설치를 위한 필수 조건은 다음과 같습니다.

SSH를 통해 접근 가능한 최신 Debian 13.

sudo 권한이 있는 루트 계정 또는 사용자.

Curl 설치.

  • 접근 가능한 MariaDB 및 Nginx 웹 서버.
  • 서버 접근을 위해 구성된 도메인 이름 또는 공용/사설 IP 주소.
  • 터미널 접근 및 Linux 서버 관리에 대한 기본 지식.
  • 데이터 백업 전략을 계획합니다.
  • 이 목록은 오픈 소스를 통해 더 큰 자율성과 비밀번호 보안에 대한 완벽한 제어를 향한 첫걸음인 Passbolt의 완벽한 설치를 위한 기반을 제공합니다.
  • Debian 서버에 Passbolt를 설치하는 자세한 절차: 저장소 추가 및 설치
  • Passbolt Community Edition(CE)은 프로젝트 팀에서 제공하는 공식 저장소를 사용하여 매우 효율적으로 설치할 수 있습니다. 이를 통해 APT를 사용하여 업데이트 및 종속성을 관리하는 것이 크게 간소화됩니다. 설치 과정은 필요한 저장소를 Debian 패키지 소스 목록에 추가하는 특정 스크립트를 다운로드하는 것으로 시작됩니다.

`passbolt-repo-setup.ce.sh` 스크립트는 curl을 통해 접근할 수 있으며, 다운로드된 파일의 무결성과 보안을 검증하는 SHA512 체크섬 파일도 함께 제공됩니다. 특히 필수 패키지를 가져올 때 보안 침해를 방지하기 위해 이 체크섬을 사용하는 것이 매우 중요합니다.

두 파일을 다운로드하세요. `curl -LO https://download.passbolt.com/ce/installer/passbolt-repo-setup.ce.sh`

`curl -LO https://github.com/passbolt/passbolt-dep-scripts/releases/latest/download/passbolt-ce-SHA512SUM.txt` 무결성을 확인하고 저장소를 추가하세요. `sha512sum -c passbolt-ce-SHA512SUM.txt && bash ./passbolt-repo-setup.ce.sh ||` echo “잘못된 체크섬입니다. 중단합니다.” && rm -f passbolt-repo-setup.ce.sh 이 명령은 SHA512 해싱을 사용하여 스크립트 파일의 유효성을 검사한 후 모든 것이 올바른 경우에만 실행합니다. 이를 통해 악성 또는 손상된 패키지가 설치되는 것을 방지합니다. 저장소가 추가되면 패키지 목록이 자동으로 업데이트됩니다.

  • 다음으로 Passbolt Community Edition 패키지를 설치하세요.
  • `apt install passbolt-ce-server`
  • 설치 과정에서 대화형 마법사가 나타납니다. 이 마법사는 Passbolt를 MariaDB 데이터베이스에 연결하기 위한 설정을 요청합니다. 목표는 다음과 같습니다.
  • MariaDB에 Passbolt 전용 사용자를 생성합니다.

이 사용자에 대한 안전한 비밀번호를 설정합니다.

Passbolt 비밀번호와 메타데이터를 저장하는 데만 사용되는 데이터베이스를 생성합니다.

다음 단계는 Nginx 웹 서버를 구성하는 것입니다. Passbolt는 원하는 도메인 또는 IP 주소에 애플리케이션을 배포하기 쉽도록 이 구성을 자동화하는 옵션을 제공합니다.

  • 이 마법사에서 마지막으로 중요한 점은 TLS 인증서와 관련이 있습니다. 세 가지 옵션이 있습니다.
  • 없음

: TLS 구성을 건너뛰고 나중에 수행합니다.

수동

  • : 이전에 얻은 인증서와 개인 키를 제공합니다. 자동
  • : 시스템이 Let’s Encrypt를 통해 자동 생성을 시도하도록 합니다(공개 액세스 필요). 공개 인터넷에서 서버에 접근할 수 있는 경우 자동 옵션을 선택하는 것이 매우 효과적인 솔루션입니다. 내부적으로 사용하는 경우 회사 인증서를 수동으로 관리하는 것이 더 안전한 경우가 많습니다. 마지막으로, 내장 스크립트인
  • mysql_secure_installation 또는

mariadb-secure-installation 을 사용하여 MariaDB 데이터베이스를 보호하는 것을 잊지 마세요. 이 스크립트는 익명 사용자를 제거하고 루트 계정에 대한 액세스를 잠급니다. https://www.youtube.com/watch?v=6yT4597tjkYPassbolt에서 최적의 보안을 위한 TLS 인증서 관리 및 배포

비밀번호 관리자의 보안을 유지하는 것은 매우 중요합니다. TLS 인증서를 사용하면 클라이언트와 서버 간에 암호화된 연결이 설정될 뿐만 아니라, 통신이 실제로 합법적인 서버와 이루어졌는지 확인하여 중간자 공격(Man-in-the-Middle) 위험을 방지할 수 있습니다.

Passbolt를 내부 주소(예:

https://passbolt.it-connect.local

)에 설치하는 경우, 내부 인증 기관(CA)에서 발급한 TLS 인증서를 사용하는 것이 가장 좋습니다. 이 인증서는 기업 환경에서는 Active Directory 인증서 서비스(AD CS) 솔루션과 같은 내부 인증 기관에서 발급한 TLS 인증서를 사용하는 것이 좋습니다. 이 인증서는 완벽한 신뢰와 기존 인프라와의 원활한 통합을 보장합니다. TLS 인증서 관리를 위한 주요 단계는 다음과 같습니다.인증서 서명 요청(CSR)을 생성하거나 CA에서 기존 인증서를 검색합니다.

  • scp 또는 WinSCP와 같은 도구를 사용하여 인증서(.cer)와 개인 키(.key)를 Debian 서버로 안전하게 전송합니다.
  • scp 또는 WinSCP와 같은 도구를 사용합니다. 파일을 안전한 디렉터리(일반적으로
  • /etc/ssl/certs /etc/ssl/private)에 적절한 권한으로 저장합니다. 다음 파일을 사용하도록 Passbolt를 재구성합니다. `dpkg-reconfigure passbolt-ce-server`
  • 필요한 최소한의 재설치를 시작합니다.
  • 데이터베이스 구성을 건너뜁니다. 수동 TLS 구성을 선택합니다.
  • 인증서 및 키의 전체 경로를 지정합니다.
  • 변경 사항을 적용한 후, `systemctl reload nginx`를 사용하여 Nginx 구성을 다시 로드하기만 하면 TLS 보안을 활성화할 수 있습니다. 또한, WAF(웹 애플리케이션 방화벽)가 장착된 역방향 프록시나 Fail2ban 또는 CrowdSec과 같은 도구를 통합하여 Passbolt를 표적으로 하는 네트워크 공격에 대한 추가 보호 계층을 구축할 수도 있습니다.
  • 요약하면 TLS 인증서 관리는 단순한 설치에 그치지 않고 정기적인 인증서 교체, 취약점 모니터링, 보안 액세스 유지 관리를 포함하는 글로벌 접근 방식입니다. 오픈 소스 도구인 Passbolt는 까다로운 전문 환경에서 이러한 필수적인 유연성을 제공합니다.

https://www.youtube.com/watch?v=u9-DgZUe8Bs Passbolt 관리자 계정의 초기 구성 및 생성을 마무리합니다. 서버 설치 단계가 끝나면 웹 인터페이스에서 직접 Passbolt의 초기 구성이 계속됩니다. 이 단계는 특히 안전한 협업을 위해 비밀번호 관리자를 실제로 사용할 수 있도록 준비하는 데 필수적입니다.

이렇게 하려면 브라우저를 열고 Passbolt에 대해 구성된 주소로 이동하십시오. 예를 들어

https://passbolt.it-connect.local

. 다음 단계를 안내하는 웹 설정 마법사가 표시됩니다.

데이터베이스 연결:

호스트(일반적으로 127.0.0.1), 이전에 생성한 사용자 및 비밀번호, 데이터베이스 이름을 입력합니다.

OpenPGP 서버 키 쌍 생성: 이 키를 생성하려면 이름과 이메일 주소를 제공해야 합니다. 이 키는 서버에 저장된 비밀번호를 암호화하는 데 사용됩니다.액세스 URL 검증:

  • Passbolt 서버 주소는 자동으로 채워지지만 수정할 수 있습니다. SSL을 강제로 사용하는 것이 좋습니다. SMTP 설정:
  • 알림을 위한 이메일 전송을 구성합니다(SMTP 서버 이름, 식별자, 이메일 주소 전송). 인터페이스에서 전송 테스트가 가능합니다. 관리자 계정 생성:
  • 미래의 주 관리자의 이름, 성, 이메일을 완성하세요. 이 과정에서 중요한 요소는 관리자 계정의 개인 마스터 비밀번호를 생성하는 것입니다. 이 비밀번호는 비밀번호 데이터베이스의 잠금을 해제하는 개인 키입니다. 이 비밀번호 없이는 누구도 데이터를 복구할 수 없으므로, 비밀번호의 강도는 매우 중요합니다.
  • 또한 이 시스템은 클라이언트 측에서 OpenPGP 키를 생성하고 사용하는 데 필수적인 Passbolt 브라우저 확장 프로그램을 설치할 수 있는 옵션을 제공합니다. 복구 파일(
  • passbolt-recovery-kit.txt )은 신중하게 보관해야 합니다. 이 파일에는 암호화된 개인 키가 포함되어 있으며, 이를 잊어버렸을 경우 복구할 수 있는 유일한 방법입니다.

최초 로그인 시 브라우저를 시각적으로 식별할 수 있도록 색상과 3자리 코드가 표시되는 시각적 맞춤 설정 시스템이 매우 유용합니다. 이러한 조치는 피싱 시도를 방지합니다.

로그인 후 관리자는 개인 금고에 비밀번호를 추가하고, 사용자를 초대하고, 권한을 관리하여 전체 팀에게 안전하고 효율적인 협업 환경을 제공할 수 있습니다. 데비안에서 Passbolt 서버 보안 및 유지 관리를 위한 모범 사례 및 팁Passbolt 설치는 조직의 민감한 데이터를 보호하기 위한 지속적인 프로세스의 첫 단계일 뿐입니다. 2025년에는 사이버 공격이 점점 더 정교해질 것이므로, 이 비밀번호 관리자를 호스팅하는 데비안 서버에 대한 포괄적인 보안 전략을 도입하는 것이 필수적입니다.

다음은 배포 단계부터 따라야 할 몇 가지 필수 모범 사례입니다.

Debian과 Passbolt를 정기적으로 업데이트하세요.

업데이트는 새로운 기능뿐만 아니라, 더 중요한 것은 중요한 취약점에 대한 수정 사항을 제공합니다.

서버 접근 보안:

  • 기존 비밀번호 대신 공개 키를 통한 SSH 연결을 선호하고 직접 연결 시 루트 액세스를 비활성화합니다. 방화벽을 설치합니다.
  • UFW 또는 nftables는 Nginx의 경우 80 및 443, SSH의 경우 22를 포함한 필수 포트에 대한 연결을 제한할 수 있습니다. MariaDB 데이터베이스 강화:
  • 시작된 경화가 계속됩니다. mariadb-보안-설치
  • , 권한을 제한하고 강력한 비밀번호를 사용합니다. Fail2ban 또는 CrowdSec 구성: 이러한 도구는 SSH 및 Nginx에 대한 무차별 대입 공격으로부터 사전에 보호합니다.로그 모니터링:
  • 이벤트를 모니터링하고 이상 현상을 감지하려면 Logwatch 또는 Graylog와 같은 솔루션을 구현하세요. 정기 백업:
  • 테스트된 복원 전략을 사용하여 Passbolt 데이터베이스 및 Nginx 구성을 매일 백업합니다. 관리자 사용자 제한:
  • 꼭 필요한 계정에만 관리 권한을 부여하세요. 예를 들어, 회사
  • 시큐어코프 공공 프로젝트 관리를 전문으로 하는 는 2024년부터 Debian 13에서 호스팅되는 Passbolt 서버를 유지관리해 왔습니다. 이들의 일상에는 로그에 대한 월간 검토와 TLS 인증서의 분기별 교체가 포함됩니다. 또한 Fail2ban을 통합하여 3번의 로그인 실패 후 의심스러운 IP를 신속하게 차단합니다.

마지막으로, 공식 Passbolt 문서와 커뮤니티는 새로운 릴리스와 보안 패치에 대한 최신 정보를 얻는 데 필수적인 리소스입니다. 제로데이 취약점에 대한 경계와 사용자 보안 교육은 Passbolt를 성공적으로 활용하는 데 필수적인 열쇠입니다.