Kompletny przewodnik: Instalacja Passbolt na Debianie krok po kroku

przez

Wymagania wstępne i przygotowanie do instalacji Passbolt na serwerze Debian 13

Instalacja Passbolt na serwerze Debian 13 wymaga starannego przygotowania i znajomości niezbędnych komponentów, aby zapewnić pomyślną konfigurację. Passbolt to rozwiązanie open source dedykowane bezpiecznemu zarządzaniu hasłami zespołowymi, oparte na OpenPGP, zapewniające solidne szyfrowanie. Przed rozpoczęciem należy upewnić się, że system Debian jest aktualny i gotowy do obsługi tej wymagającej aplikacji.

Najpierw połącz się z komputerem z Debianem 13 za pomocą wiersza poleceń, używając konta z uprawnieniami sudo lub uprawnieniami roota. Znajomość wiersza poleceń jest niezbędna do wykonania tego samouczka i prawidłowego wykonania każdego kroku.

Kluczowym elementem tej instalacji jest narzędzie `curl`, służące do pobierania plików z internetu. Debian nie instaluje curl automatycznie, dlatego należy je zainstalować: `apt-get update`: aktualizuje listę dostępnych pakietów. `apt-get install curl`: instaluje curl w systemie.

  • Passbolt wymaga również instalacji MariaDB, która będzie służyć jako lokalna baza danych, oraz Nginx jako serwera WWW.
  • Kolejnym niezbędnym krokiem wstępnym jest weryfikacja obsługi bezpiecznych połączeń TLS przez system, ponieważ bezpieczeństwo jest kluczowe dla korzystania z Passbolt. Chociaż możliwe jest późniejsze dodanie certyfikatu, zarządzanie certyfikatem TLS zapewnia zaufanie i zapobiega przechwytywaniu komunikacji między użytkownikami a serwerem.

Ponadto środowisko Debian 13 powinno mieć co najmniej 2 GB pamięci RAM, aby zapewnić płynne działanie, zwłaszcza jeśli wielu użytkowników będzie jednocześnie korzystać z menedżera. Jeśli chodzi o przestrzeń dyskową, zaleca się około 10 gigabajtów na przechowywanie baz danych i kopii zapasowych.

Na koniec, oto lista wymagań wstępnych dla bezproblemowej instalacji:

Aktualna wersja Debian 13 dostępna przez SSH.

Konto root lub użytkownik z uprawnieniami sudo.

  • Zainstalowany Curl.
  • Dostępne serwery WWW MariaDB i Nginx.
  • Nazwa domeny lub publiczny/prywatny adres IP skonfigurowany do dostępu do serwera.
  • Dostęp do terminala i podstawowa wiedza z zakresu administrowania serwerami Linux.
  • Zaplanuj strategię tworzenia kopii zapasowych danych.
  • Ta lista stanowi podstawę kompletnej instalacji Passbolt, kroku w kierunku większej autonomii dzięki oprogramowaniu open source i pełnej kontroli nad bezpieczeństwem haseł.
  • Szczegółowa procedura instalacji Passbolt na serwerze Debian: dodawanie repozytoriów i instalacja

Passbolt Community Edition (CE) można bardzo sprawnie zainstalować, korzystając z oficjalnych repozytoriów udostępnianych przez zespół projektu. Znacznie upraszcza to zarządzanie aktualizacjami i zależnościami za pomocą APT. Proces rozpoczyna się od pobrania specjalnego skryptu, który dodaje niezbędne repozytorium do listy źródeł pakietów Debiana.

Skrypt `passbolt-repo-setup.ce.sh` jest dostępny za pośrednictwem curl, wraz z plikiem sumy kontrolnej SHA512, który weryfikuje integralność i bezpieczeństwo pobranych plików. Korzystanie z tego sprawdzenia jest kluczowe, zwłaszcza w celu uniknięcia naruszeń podczas pobierania niezbędnych pakietów.

Pobierz dwa pliki: `curl -LO https://download.passbolt.com/ce/installer/passbolt-repo-setup.ce.sh` `curl -LO https://github.com/passbolt/passbolt-dep-scripts/releases/latest/download/passbolt-ce-SHA512SUM.txt` Sprawdź integralność i dodaj repozytorium: `sha512sum -c passbolt-ce-SHA512SUM.txt && bash ./passbolt-repo-setup.ce.sh ||` echo „Nieprawidłowa suma kontrolna. Przerywanie” && rm -f passbolt-repo-setup.ce.sh

  • To polecenie weryfikuje plik skryptu za pomocą funkcji skrótu SHA512, a następnie uruchamia go tylko wtedy, gdy wszystko jest poprawne. Zapobiega to instalacji złośliwych lub uszkodzonych pakietów. Po dodaniu repozytorium lista pakietów jest automatycznie aktualizowana.
  • Następnie wystarczy zainstalować pakiet Passbolt Community Edition:
  • `apt install passbolt-ce-server`
  • Podczas instalacji zostanie wyświetlony interaktywny kreator. Kreator poprosi o podanie ustawień połączenia Passbolt z bazą danych MariaDB. Celem jest:

Utworzenie dedykowanego użytkownika Passbolt w MariaDB.

Ustawienie bezpiecznego hasła dla tego użytkownika.

  • Utworzenie bazy danych używanej wyłącznie do przechowywania haseł i metadanych Passbolt.

  • Następnym krokiem jest konfiguracja serwera WWW Nginx. Passbolt oferuje możliwość zautomatyzowania tej konfiguracji, aby ułatwić wdrożenie aplikacji w żądanej domenie lub na żądanym adresie IP.
  • Ostatnia ważna kwestia w tym kreatorze dotyczy certyfikatu TLS: masz trzy opcje:

brak

: pomiń konfigurację TLS; zrób to później.

  • manual : podaj wcześniej uzyskany certyfikat i klucz prywatny.
  • auto : pozwól systemowi na podjęcie próby automatycznej generacji za pośrednictwem Let’s Encrypt (wymaga dostępu publicznego).
  • Wybór opcji automatycznej to doskonałe rozwiązanie, jeśli serwer jest dostępny z publicznego internetu. Do użytku wewnętrznego ręczne zarządzanie certyfikatem firmowym jest często bezpieczniejsze. Na koniec nie zapomnij zabezpieczyć bazy danych MariaDB za pomocą wbudowanego skryptu mysql_secure_installation

lub mariadb-secure-installation , który usuwa anonimowych użytkowników i blokuje dostęp do konta root. https://www.youtube.com/watch?v=6yT4597tjkY

Zarządzanie i wdrażanie certyfikatów TLS w celu zapewnienia optymalnego bezpieczeństwa w Passbolt

Zapewnienie bezpieczeństwa menedżera haseł jest kwestią fundamentalną. Użycie certyfikatu TLS nie tylko ustanawia szyfrowane połączenie między klientem a serwerem, ale także weryfikuje, czy komunikacja rzeczywiście odbywa się z legalnym serwerem, zapobiegając w ten sposób ryzyku ataku typu Man-in-the-Middle.

W przypadku instalacji Passbolt na adresie wewnętrznym, na przykład

https://passbolt.it-connect.local , najlepiej jest użyć certyfikatu TLS wydanego przez wewnętrzny Urząd Certyfikacji (CA) – często rozwiązanie Active Directory Certificate Services (AD CS) w środowisku korporacyjnym. Ten certyfikat gwarantuje pełne zaufanie i bezproblemową integrację z istniejącą infrastrukturą.Kluczowe kroki zarządzania certyfikatem TLS obejmują:

Generowanie żądania podpisania certyfikatu (CSR) lub pobranie istniejącego certyfikatu z urzędu certyfikacji.

  • Bezpieczne przesłanie certyfikatu (.cer) i klucza prywatnego (.key) na serwer Debian za pomocą scp lub narzędzia takiego jak WinSCP.
  • Umieść pliki w bezpiecznym katalogu, zazwyczaj w /etc/ssl/certs i /etc/ssl/private z odpowiednimi uprawnieniami.
  • Skonfiguruj ponownie Passbolt, aby korzystał z tych plików:
  • `dpkg-reconfigure passbolt-ce-server` uruchamia minimalną wymaganą reinstalację.
  • Pomiń konfigurację bazy danych.
  • Wybierz ręczną konfigurację TLS.
  • Podaj pełne ścieżki do certyfikatu i klucza.

Po zastosowaniu zmian, wystarczy przeładować konfigurację Nginx za pomocą `systemctl reload nginx` aby włączyć zabezpieczenia TLS. Możliwe jest również uzupełnienie tego podejścia integracją odwrotnego proxy wyposażonego w WAF (Web Application Firewall) lub narzędzia takie jak Fail2ban lub CrowdSec, aby dodać dodatkową warstwę ochrony przed atakami sieciowymi wymierzonymi w Passbolt.

Podsumowując, zarządzanie certyfikatem TLS nie kończy się na prostej instalacji: to kompleksowy proces obejmujący regularną rotację certyfikatów, monitorowanie podatności na ataki i utrzymanie bezpiecznego dostępu. Passbolt, jako narzędzie open source, zapewnia tę niezbędną elastyczność w wymagających środowiskach profesjonalnych.

Zakończenie konfiguracji początkowej i utworzenie konta administratora Passbolt

Po fazie instalacji serwera, początkowa konfiguracja Passbolt jest kontynuowana bezpośrednio z poziomu interfejsu internetowego. Ten krok jest niezbędny do przygotowania menedżera haseł do użytku w praktyce, szczególnie w celu bezpiecznej współpracy.

Aby to zrobić, otwórz przeglądarkę i przejdź do adresu skonfigurowanego dla Passbolt, na przykład:https://passbolt.it-connect.local

  • . Powinien wyświetlić się internetowy kreator konfiguracji, który poprowadzi Cię przez następujące kroki:
  • Połączenie z bazą danych: Wprowadź nazwę hosta (zazwyczaj 127.0.0.1), wcześniej utworzoną nazwę użytkownika i hasło oraz nazwę bazy danych.
  • Utwórz parę kluczy serwera OpenPGP: Aby wygenerować ten klucz, należy podać nazwę i adres e-mail. Ten klucz służy do szyfrowania haseł przechowywanych na serwerze.
  • Sprawdź poprawność adresu URL dostępu: Adres serwera Passbolt jest wypełniany automatycznie, ale można go zmodyfikować. Zaleca się wymuszenie użycia protokołu SSL.
  • Ustawienia SMTP: Skonfiguruj powiadomienia e-mail (nazwa serwera SMTP, dane uwierzytelniające, adres e-mail nadawcy). W interfejsie można wysłać wiadomość testową.

Utwórz konto administratora:

Wprowadź imię, nazwisko i adres e-mail przyszłego administratora głównego. Podczas tego procesu pojawia się zasadniczy element: utworzenie osobistego hasła głównego dla konta administratora. Będzie to klucz prywatny umożliwiający odblokowanie bazy haseł. Siła tego hasła jest konieczna, ponieważ bez niego nikt nie będzie w stanie odzyskać danych.System oferuje również instalację rozszerzenia Passbolt w przeglądarce, niezbędnego do generowania i używania kluczy OpenPGP po stronie klienta. Plik odzyskiwania, tzw

zestaw do odzyskiwania hasła.txt

, należy starannie przechowywać: jest to Twój zaszyfrowany klucz prywatny, jedyny klucz do przywrócenia dostępu w przypadku zapomnienia.

Doceniamy system personalizacji wizualnej przy pierwszym wejściu, za pomocą koloru i trzyliterowego kodu, który wizualnie identyfikuje Twoją przeglądarkę. Środek ten chroni przed próbami phishingu.

Po zalogowaniu administrator może dodawać hasła do swojego osobistego skarbca, zapraszać użytkowników i zarządzać uprawnieniami, zapewniając bezpieczne i wydajne środowisko współpracy dla całego zespołu.

Najlepsze praktyki i wskazówki dotyczące zabezpieczania i utrzymywania serwera Passbolt w Debianie

  • Zainstalowanie rozwiązania Passbolt to dopiero pierwszy krok na drodze do najlepszej ochrony wrażliwych danych Twojej organizacji. W roku 2025, wraz ze wzrostem wyrafinowania ataków komputerowych, konieczne jest przyjęcie kompleksowej strategii bezpieczeństwa dla serwera Debiana obsługującego tego menedżera haseł. Oto kilka najważniejszych najlepszych praktyk, których należy przestrzegać podczas wdrażania:
  • Regularnie aktualizuj Debiana i Passbolt: aktualizacje nie tylko wprowadzają nowe funkcje, ale przede wszystkim poprawiają krytyczne błędy.
  • Bezpieczny dostęp do serwera: Priorytetyzuj połączenia SSH, używając kluczy publicznych zamiast tradycyjnych haseł, i wyłącz dostęp root dla połączeń bezpośrednich.
  • Zainstaluj zaporę sieciową: UFW lub nftables mogą ograniczać połączenia do niezbędnych portów, zwłaszcza 80 i 443 dla Nginx oraz 22 dla SSH.Wzmocnij bazę danych MariaDB:
  • Kontynuuj proces wzmacniania zabezpieczeń rozpoczęty od mariadb-secure-installation
  • , ograniczając uprawnienia i używając silnych haseł. Skonfiguruj Fail2ban lub CrowdSec:
  • Te narzędzia proaktywnie chronią przed atakami siłowymi na SSH i Nginx. Monitorowanie logów:
  • Wdróż rozwiązanie takie jak Logwatch lub Graylog, aby monitorować zdarzenia i wykrywać anomalie. Regularne kopie zapasowe:

Codziennie twórz kopie zapasowe baz danych Passbolt i konfiguracji Nginx, korzystając ze sprawdzonej strategii przywracania. Ogranicz liczbę użytkowników administracyjnych:Przyznawaj uprawnienia administracyjne tylko niezbędnym kontom. Na przykład SecureCorp, firma specjalizująca się w zarządzaniu projektami w sektorze publicznym, utrzymuje serwer Passbolt hostowany na Debianie 13 od 2024 roku. Ich rutynowe działania obejmują comiesięczny przegląd logów i kwartalną rotację certyfikatów TLS. Firma integruje również funkcję Fail2ban, aby szybko zablokować każdy podejrzany adres IP po trzech nieudanych próbach połączenia.