Passbolt è un gestore di password self-hosted open source, che ti consente di archiviare e condividere in modo sicuro le credenziali di accesso del sito Web, la password del router, la password Wi-Fi, ecc. Questo tutorial ti mostrerà come installare Passbolt Community Edition (CE) su Ubuntu 20.04 con server web Apache o Nginx.
Caratteristiche Passbolt
- Gratuito e open source
- Le password sono crittografate con OpenPGP, uno standard crittografico collaudato.
- Le estensioni del browser sono disponibili per Firefox e Google Chrome.
- Condividi facilmente le credenziali di accesso con il tuo team senza compromettere la sicurezza.
- Interfaccia pulita e intuitiva.
- Importa ed esporta password. Puoi esportare le tue password in
.kdbx
o.csv
formato di file da utilizzare con KeepassX, LastPass o 1password. - Puoi aggiungere manualmente le credenziali di accesso.
Prerequisiti per l'installazione di Passbolt su Ubuntu 20.04 Server
Passbolt è scritto in PHP e si basa sul server di database MySQL/MariaDB. Quindi è necessario configurare uno stack LAMP o uno stack LEMP prima di installare Passbolt. Se preferisci il server web Apache, configura lo stack LAMP.
- Come installare lo stack LAMP su Ubuntu 20.04
Se preferisci il server web Nginx, configura lo stack LEMP.
- Come installare lo stack LEMP su Ubuntu 20.04
Hai anche bisogno di un nome di dominio, così sarai in grado di accedere in modo sicuro a Passbolt da qualsiasi luogo con un browser web. Ho registrato il mio nome di dominio da NameCheap perché il prezzo è basso e offrono protezione della privacy a Whois gratuita per tutta la vita.
Dopo aver soddisfatto i requisiti di cui sopra, segui le istruzioni seguenti per installare Passbolt.
Passaggio 1:scarica Passbolt sul tuo server Ubuntu 20.04
Se vai sul sito ufficiale per scaricare Passbolt, devi inserire il tuo nome e indirizzo email. Se non è quello che ti piace, scarica l'ultima versione stabile da Github eseguendo i seguenti comandi sul tuo server.
sudo apt install git cd /var/www/ sudo git clone https://github.com/passbolt/passbolt_api.git
I file verranno salvati in passbolt_api
directory. Lo rinominiamo in passbolt
.
sudo mv passbolt_api passbolt
Quindi imposta l'utente del server web (www-data
) come proprietario di questa directory.
sudo chown -R www-data:www-data /var/www/passbolt
Esegui il comando seguente per installare i moduli PHP richiesti o consigliati da Passbolt
sudo apt install php-imagick php-gnupg php7.4-common php7.4-mysql php7.4-fpm php7.4-ldap php7.4-gd php7.4-imap php7.4-json php7.4-curl php7.4-zip php7.4-xml php7.4-mbstring php7.4-bz2 php7.4-intl php7.4-gmp php7.4-xsl
Quindi riavvia Apache. (Se usi Nginx, non è necessario riavviare Nginx.)
sudo systemctl restart apache2
Cambia directory.
cd /var/www/passbolt/
Installa Composer:il gestore delle dipendenze PHP.
sudo apt install composer
Crea directory cache per Composer.
sudo mkdir /var/www/.composer
Crea www-data
come proprietario.
sudo chown -R www-data:www-data /var/www/.composer
Usa Composer per installare le dipendenze.
sudo -u www-data composer install --no-dev
Se ti chiede di impostare i permessi della cartella, scegli Y
.
Passaggio 2:crea un database MariaDB e un utente per Passbolt
Accedi alla console di MariaDB.
sudo mysql -u root
Quindi, crea un nuovo database per Passbolt usando il comando seguente. Questo tutorial lo chiama passbolt
, puoi usare il nome che preferisci per il database. Specifichiamo anche utf8mb4
come set di caratteri per supportare caratteri ed emoji non latini.
CREATE DATABASE passbolt DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
Il comando seguente creerà un utente e una password del database e allo stesso tempo concederà tutte le autorizzazioni del nuovo database al nuovo utente in modo che in seguito Passbolt possa scrivere nel database. Sostituisci i testi rossi con il nome del database, il nome utente e la password preferiti.
GRANT ALL ON passbolt.* TO 'passboltuser'@'localhost' IDENTIFIED BY 'password';
Svuota la tabella dei privilegi ed esci dalla console MariaDB.
FLUSH PRIVILEGES; EXIT;
Fase 3:genera la chiave OpenPGP
Se stai utilizzando un VPS (Virtual Private Server), ti consigliamo di installare haveged pacchetto per generare abbastanza entropia.
sudo apt install haveged
Il haveged.service
si avvierà automaticamente dopo l'installazione. Puoi verificarne lo stato con:
sudo systemctl status haveged
Quindi esegui il comando seguente per generare una nuova coppia di chiavi.
gpg --gen-key
Ti verrà chiesto di inserire il tuo nome e indirizzo email. Se ti viene chiesto di impostare una passphrase, saltala premendo il tasto Tab e selezionando OK, perché il modulo php-gnupg non supporta l'utilizzo della passphrase al momento.
Copia la chiave privata nel percorso di configurazione del passbolt. Sostituisci [email protected]
con l'indirizzo email durante la generazione della chiave PGP.
gpg --armor --export-secret-keys [email protected] | sudo tee /var/www/passbolt/config/gpg/serverkey_private.asc > /dev/null
E copia anche la chiave pubblica.
gpg --armor --export [email protected] | sudo tee /var/www/passbolt/config/gpg/serverkey.asc > /dev/null
Inizializza i www-data
portachiavi dell'utente.
sudo su -s /bin/bash -c "gpg --list-keys" www-data
Fase 4:Configura Passbolt
Assicurati di essere in /var/www/passbolt/
directory.
cd /var/www/passbolt/
Copia il file di configurazione di esempio in un file di configurazione di produzione.
sudo cp config/passbolt.default.php config/passbolt.php
Modifica il file di configurazione con un editor di testo a riga di comando, come Nano.
sudo nano config/passbolt.php
Innanzitutto, trova la riga seguente.
'fullBaseUrl' => 'https://www.passbolt.test',
Sostituisci l'URL con il tuo URL, ad esempio https://passbolt.yourdomain.com
. Non dimenticare di creare un record DNS A per questo sottodominio nel tuo gestore di record DNS.
Nella database configuration
sezione, inserisci il nome del database, il nome utente e la password del database che hai creato nel passaggio 2.
// Database configuration. 'Datasources' => [ 'default' => [ 'host' => 'localhost', //'port' => 'non_standard_port_number', 'username' => 'user', 'password' => 'secret', 'database' => 'passbolt', ], ],
Nella email configuration
sezione,
- Specifica il nome host SMTP, il numero di porta, le credenziali di accesso, in modo che il tuo passbolt possa inviare e-mail. Di solito è necessario utilizzare la porta 587 per sommare le e-mail al server SMTP remoto. Assicurati di impostare
tls
sutrue
, quindi la transazione SMTP sarà crittografata. - Imposta anche il
From:
indirizzo email e Nome del mittente.
// Email configuration. 'EmailTransport' => [ 'default' => [ 'host' => 'mail.yourdomain.com', 'port' => 587, 'username' => '[email protected]', 'password' => 'secret', // Is this a secure connection? true if yes, null if no. 'tls' => true, //'timeout' => 30, //'client' => null, //'url' => null, ], ], 'Email' => [ 'default' => [ // Defines the default name and email of the sender of the emails. 'from' => ['[email protected]_organization.com' => 'Passbolt'], //'charset' => 'utf-8', //'headerCharset' => 'utf-8', ], ],
Per configurare facilmente il tuo server di posta elettronica, dai un'occhiata al seguente tutorial.
- Come configurare facilmente il tuo server di posta su Ubuntu 20.04 con iRedMail
Nota :Se passbolt è installato nella stessa casella del tuo server di posta, non è necessario specificare il nome utente e la password in EmailTransport
. Usa semplicemente //
per commentare queste due righe. Lo screenshot seguente mostra una configurazione di esempio per questo scenario.
Nella sezione gpg, inserisci l'impronta digitale della chiave GPG come di seguito. Devi eliminare tutti gli spazi bianchi nell'impronta digitale.
'fingerprint' => '2FC8945833C51946E937F9FED47B0811573EE67E',
Puoi ottenere l'impronta digitale della tua chiave con il seguente comando. Sostituisci [email protected]
con il tuo indirizzo email durante la generazione della coppia di chiavi PGP.
gpg --list-keys --fingerprint | grep -i -B 2 '[email protected]'
Dopo aver inserito l'impronta digitale, decommenta le due righe seguenti.
'public' => CONFIG . 'gpg' . DS . 'serverkey.asc', 'private' => CONFIG . 'gpg' . DS . 'serverkey_private.asc',
Salva e chiudi il file.
Fase 5:esegui lo script di installazione
Esegui lo script di installazione come www-data
utente.
sudo su -s /bin/bash -c "./bin/cake passbolt install --force" www-data
Durante l'installazione, ti verrà chiesto di creare un account amministratore.
Dopo aver creato un account, ti verrà fornito un URL per completare l'installazione nel browser web . Prima di farlo, dobbiamo configurare il server web usando Apache o Nginx.
Fase 6:crea un host virtuale Apache o un file di configurazione Nginx per Passbolt
Apache
Se utilizzi il server Web Apache, crea un host virtuale per Passbolt.
sudo nano /etc/apache2/sites-available/passbolt.conf
Inserisci il seguente testo nel file. Sostituisci passbolt.example.com
con il tuo vero nome di dominio e non dimenticare di impostare un record DNS A per esso. Tieni inoltre presente che la radice web per Passbolt è /var/www/passbolt/webroot/
, non /var/www/passbolt/
.
<VirtualHost *:80> ServerName passbolt.exmaple.com DocumentRoot /var/www/passbolt/webroot/ ErrorLog ${APACHE_LOG_DIR}/error.log CustomLog ${APACHE_LOG_DIR}/access.log combined <Directory /> Options FollowSymLinks AllowOverride All </Directory> <Directory /var/www/passbolt/> Options FollowSymLinks MultiViews AllowOverride All Order allow,deny allow from all </Directory> </VirtualHost>
Salva e chiudi il file. Quindi abilita questo host virtuale con:
sudo a2ensite passbolt.conf
Ricarica Apache per rendere effettive le modifiche.
sudo systemctl reload apache2
Nginx
Se utilizzi il server web Nginx, crea un host virtuale per Passbolt.
sudo nano /etc/nginx/conf.d/passbolt.conf
Inserisci il seguente testo nel file. Sostituisci passbolt.example.com
con il tuo vero nome di dominio e non dimenticare di impostare un record DNS A per esso. Tieni inoltre presente che la radice web per Passbolt è /var/www/passbolt/webroot/
, non /var/www/passbolt/
.
server { listen 80; listen [::]:80; server_name passbolt.example.com; root /var/www/passbolt/webroot/; error_log /var/log/nginx/passbolt.error; access_log /var/log/nginx/passbolt.access; index index.php index.html index.htm index.nginx-debian.html; location / { try_files $uri $uri/ /index.php?$query_string; } location ~ \.php$ { # try_files $uri =404; fastcgi_split_path_info ^(.+\.php)(/.+)$; # NOTE: You should have "cgi.fix_pathinfo = 0;" in php.ini fastcgi_pass unix:/var/run/php/php7.4-fpm.sock; fastcgi_index index.php; fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; include fastcgi_params; fastcgi_buffer_size 128k; fastcgi_buffers 256 16k; fastcgi_busy_buffers_size 256k; fastcgi_temp_file_write_size 256k; } # Don't log favicon location = /favicon.ico { log_not_found off; access_log off; } # Don't log robots location = /robots.txt { access_log off; log_not_found off; } # Deny all attempts to access hidden files/folders such as .htaccess, .htpasswd, .DS_Store (Mac), etc... location ~ /\. { deny all; access_log off; log_not_found off; } # Deny all grunt, composer files location ~* (Gruntfile|package|composer)\.(js|json)$ { deny all; access_log off; log_not_found off; } # A long browser cache lifetime can speed up repeat visits to your page location ~* \.(jpg|jpeg|gif|png|webp|svg|woff|woff2|ttf|css|js|ico|xml)$ { access_log off; log_not_found off; expires 360d; } }
Salva e chiudi il file. Quindi testa la configurazione di Nginx.
sudo nginx -t
Se il test ha esito positivo, ricarica Nginx per rendere effettive le modifiche.
sudo systemctl reload nginx
Passaggio 7:abilitazione di HTTPS
Per crittografare il traffico HTTP, possiamo abilitare HTTPS installando un certificato TLS gratuito emesso da Let's Encrypt. Esegui il comando seguente per installare il client Let's Encrypt (certbot) sul server Ubuntu 20.04.
sudo apt install certbot
Se usi Nginx, devi anche installare il plugin Certbot Nginx.
sudo apt install python3-certbot-nginx
Quindi, esegui il comando seguente per ottenere e installare il certificato TLS.
sudo certbot --nginx --agree-tos --redirect --hsts --staple-ocsp --email [email protected] -d passbolt.example.com
Se usi Apache, installa il plugin Certbot Apache.
sudo apt install python3-certbot-apache
Ed esegui questo comando per ottenere e installare il certificato TLS.
sudo certbot --apache --agree-tos --redirect --hsts --staple-ocsp --email [email protected] -d passbolt.example.com
Dove
--nginx
:usa il plugin nginx.--apache
:usa il plugin Apache.--agree-tos
:Accetta i termini di servizio.--redirect
:Forza HTTPS tramite reindirizzamento 301.--hsts
:aggiungi l'intestazione Strict-Transport-Security a ogni risposta HTTP. Forzare il browser a utilizzare sempre TLS per il dominio. Difende dallo stripping SSL/TLS.--staple-ocsp
:Abilita la pinzatura OCSP. Una risposta OCSP valida viene pinzata al certificato offerto dal server durante TLS.
Il certificato dovrebbe ora essere ottenuto e installato automaticamente.
Fase 8:termina l'installazione di Passbolt nel browser Web
Innanzitutto, devi installare l'estensione Passbolt sul tuo browser Firefox o Google Chrome.
- Estensione Passbolt per Firefox
- Estensione Passbot per Google Chrome
Ora copia l'URL che hai ottenuto dopo aver eseguito lo script di installazione e incollalo nella barra degli indirizzi del tuo browser. Verrà visualizzata la procedura guidata di configurazione basata sul Web. Il primo passaggio consiste nell'assicurarsi che l'impronta digitale del dominio e della chiave del server sia corretta.
Nel secondo passaggio, fai semplicemente clic sul pulsante Avanti per creare una nuova chiave.
Nel terzo passaggio, crea una passphrase.
Quindi scarica la chiave segreta crittografata e conservala in un luogo sicuro. Questa chiave può essere decifrata solo utilizzando la tua passphrase.
Nel 4° passaggio, imposta un token di sicurezza.
Infine, puoi accedere con la tua passphrase.
Ora puoi creare password, importare password da file csv o kdbx.
Passaggio 8:imposta Cron Job per l'invio automatico di e-mail
Per inviare e-mail di sistema, esegui il comando seguente.
sudo -u www-data /var/www/passbolt/bin/cake EmailQueue.sender
Puoi aggiungere il comando nel file Crontab dell'utente www-data per elaborare automaticamente le email.
sudo crontab -u www-data -e
Aggiungi la seguente riga nel file per elaborare le email ogni minuto.
* * * * * /var/www/passbolt/bin/cake EmailQueue.sender
Salva e chiudi il file.
(Facoltativo) Configurazione di ModSecurity
Potresti anche voler impostare ModSecurity firewall per applicazioni web per proteggere le tue applicazioni web PHP dall'hacking. Se usi il server web Apache su Debian/Ubuntu, leggi il seguente tutorial.
- Come configurare ModSecurity con Apache su Debian/Ubuntu
Se usi il server web Nginx su Debian/Ubuntu, leggi il seguente tutorial:
- Come configurare ModSecurity con Nginx su Debian/Ubuntu
Risoluzione dei problemi
Se stai cercando di creare una password, ma sei bloccato sul "fai un respiro profondo e goditi il momento presente... ", è probabile che ci sia qualcosa che non va nel file di configurazione di Apache o Nginx. Se copi la configurazione di Apache/Nginx dall'articolo, non dovresti avere problemi durante la creazione della password.
Se hai abilitato il firewall dell'applicazione Web ModSecurity e viene visualizzato il messaggio Impossibile verificare la chiave del server errore.
quindi devi aggiungere la seguente esclusione di regole personalizzate in ModSecurity.
SecRule REQUEST_URI "@streq /auth/verify.json?api-version=v2" "id:1060,phase:2,ctl:ruleRemoveById=942100"
E riavvia il tuo server web.
sudo systemctl restart apache2
o
sudo systemctl restart nginx