Passbolt je bezplatný a open-source správce hesel založený na PHP, MySQL a OpenPGP. Jedná se o samostatně hostovaný aplikační server, můžete si jej nainstalovat na svůj server. Passbolt je primárně určen pro týmy, ale můžete jej použít také jako osobní správce hesel.
Passbolt je postaven na OpenPGP a má rozšiřitelné API. Na straně klienta můžete použít rozšíření prohlížeče Passbolt, které staví na OpenPGP.js pro funkci šifrování. Na straně serveru používá Passbolt rozšíření GnuPG PHP a openpgp-php k provádění ověření klíče a ověření uživatele. Passbolt používá k ověření uživatele protokol GPGAuth.
Předpoklady
V tomto článku se dozvíte, jak nainstalovat správce hesel Passbolt na serveru Rocky Linux. Budete instalovat Passbolt s PHP 7.4, server MariaDB a webový server Nginx.
V tomto příkladu použijeme následující podrobnosti o serveru:
- Operační systém:Rocky Linux 8.4 (zelený obsidián)
- IP adresa:192.168.1.10
- Název domény, v tomto příkladu použiji:https://pass.example.io
Nyní zahájíme instalaci Passbolt.
Závislosti instalačních balíčků
Za prvé, budete přidávat nové repozitáře a instalovat některé závislosti balíčků do systému Rocky Linux.
1. Provedením následujícího příkazu povolte úložiště 'PowerTools' a nainstalujte úložiště Extra Packages for Enterprise Linux (EPEL).
sudo dnf config-manager --set-enabled powertools
sudo dnf install epel-release -y
2. Provedením následujícího příkazu povolte úložiště PHP 7.4.
modul sudo dnf povolí php:7.4 -y
3. Dále nainstalujte PHP-FPM, MariaDB, Nginx a některé další balíčky pomocí příkazu DNF níže.
instalace sudo dnf -y nginx mariadb-server mariadb php php-intl php-gd php-mysqlnd php-pear php-devel php-mbstring php-fpm php-json php-ldap gcc gpgme gpgme-devel git policycoreutils- -utils unzip haveged make gcc
4. Po dokončení veškeré instalace spusťte následující příkaz ke stažení instalačního skriptu PHP skladatele.
php -r "copy('https://getcomposer.org/installer', 'composer-setup.php');"
php -r "if (hash_file('sha384', 'composer- setup.php ') ==='906a84df04cea2aa72f40b5f787e49f22d4c2f19492ac310e8cba5b96ac8b64115ac402c8cd292b8a03482574915d1a8') {echo 'instalační ověřena';} else {echo 'instalační poškozen'; unlink (' skladatel-setup.php ');} echo PHP_EOL; " Nyní znovu spusťte následující příkaz pro instalaci PHP skladatele v systémovém prostředí.
php creator-setup.php
sudo mv creator.phar /usr/bin/composer
Zkontrolujte příkaz PHP skladatel, jak je uvedeno níže.
sudo -u nginx skladatel --version
Získáte podobný výstup jako níže.
Verze skladatele 2.1.12 2021-11-09 16:02:04
5. Dále nainstalujte rozšíření GnuPG PHP Extensions z úložiště PHP Extension Community Library (PECL).
pecl install gnupg
Poté povolte GnuPG PHP Extension pomocí následujícího příkazu.
echo "extension=gnupg.so"> /etc/php.d/gnupg.ini
6. Nyní spusťte a povolte některé služby pomocí příkazu systemctl níže.
povolení sudo systemctl --now nginx
povolení sudo systemctl --now mariadb
povolení sudo systemctl --nyní php-fpm
povolení sudo systemctl --now hasged
Nyní jste dokončili instalaci závislostí balíčků pro Passbolt.
Konfigurace MariaDB a PHP-FPM
V tomto kroku nastavíte root heslo MariaDB a službu PHP-FPM.
1. Provedením následujícího příkazu nastavte heslo root MariaDB.
mysql_secure_installation
Zadejte nové silné heslo pro uživatele root MariaDB a opakujte jej, poté zadejte „Y“ souhlasit se všemi konfiguracemi MariaDB.
2. Dále upravte soubor '/etc/php.ini ' konfigurační soubor pomocí nano editoru.
nano /etc/php.ini
Odkomentujte možnost 'date.timezone' a změňte hodnotu podle časového pásma vašeho serveru.
date.timezone =Evropa/Paříž
Uložte konfiguraci a ukončete.
3. Upravte konfiguraci PHP-FPM '/etc/php-fpm.d/www.conf pomocí nano editoru.
nano /etc/php-fpm.d/www.conf
Změňte výchozího uživatele a skupinu pro PHP-FPM na 'nginx '.
user =nginx
skupina =nginx
Odkomentujte 'listen.owner a 'listen.group ' a změňte hodnotu na user 'nginx '.
listen.owner =nginx
listen.group =nginx
Uložte konfiguraci a ukončete.
Nyní použijte novou konfiguraci PHP-FPM restartováním služby PHP-FPM pomocí příkazu systemctl níže.
sudo systemctl restart php-fpm
Dokončili jste základní konfiguraci PHP-FPM a vytvořili nové heslo pro uživatele root MariaDB.
Vytvořit novou databázi pro Passbolt
Chcete-li vytvořit novou databázi pro instalaci Passbolt, přihlaste se do prostředí MariaDB pomocí 'mysql ' níže.
mysql -u root -p
1. Vytvořte novou databázi 'passdb' pomocí následujícího dotazu.
CREATE DATABASE passdb;
2. Udělte všechna oprávnění k databázi 'passdb ' novému uživateli. Následující dotaz automaticky vytvoří nového uživatele MariaDB 'passbolt '.
UDĚLEJTE VŠE NA passdb.* uživateli [email protected] IDENTIFIKOVANÝ OD „PassboltdbPass“;
3. Znovu načtěte oprávnění všech tabulek.
FLUSH PRIVILEGES;
Nyní zadejte „EXIT “ a stiskněte „Enter ' pro odhlášení z prostředí MariaDB.
Přejděte k dalšímu kroku a spusťte instalaci Passbolt.
Stáhnout Passbolt a nainstalovat závislosti PHP
V tomto kroku si stáhnete zdrojový kód Passbolt na váš server a nainstalujete PHP závislosti pomocí PHP skladatele.
1. Změňte aktuální pracovní adresář na '/var/www' a naklonujte zdroj Passbolt pomocí příkazu, jak je uvedeno níže.
cd /var/www/
klon git https://github.com/passbolt/passbolt_api.git passbolt
Instalace passbolt je '/var/www/passbolt'
2. Změňte vlastnictví instalačního adresáře Passbolt na uživatele 'nginx '.
sudo chown -R nginx:nginx /var/www/passbolt
3. Přejděte do instalačního adresáře Passbolt a nainstalujte závislosti PHP pomocí příkazu PHP Composer. A ujistěte se, že příkaz PHP skladatel spouštíte jako uživatel 'nginx '.
cd /var/www/passbolt
instalace skladatele sudo -u nginx --no-dev
Pokud se dokončí instalace všech závislostí PHP, přejděte k dalšímu kroku a vygenerujte klíč GPG.
Generovat klíč GPG pro server
V tomto kroku vygenerujete nový klíč GPG pro server Passbolt.
Aktuální rozšíření PHP openpgp-php a GnuPG PHP stále nepodporují přístupové fráze, takže budete vytvářet nový klíč GPG bez přístupové fráze.
1. Chcete-li vygenerovat klíč GPG, spusťte níže uvedený příkaz gpg.
gpg --gen-key
Zadejte své jméno a e-mailovou adresu a nepoužívejte přístupové heslo.
gpg (GnuPG) 2.2.20; Copyright (C) 2020 Free Software Foundation, Inc.
Toto je svobodný software:můžete jej měnit a redistribuovat.
V rozsahu povoleném zákonem NEEXISTUJE ŽÁDNÁ ZÁRUKA.
Poznámka:Použijte "gpg --full-generate-key" pro plně funkční dialog pro generování klíče.
GnuPG potřebuje vytvořit uživatelské ID k identifikaci vašeho klíče.
Skutečné jméno:johndoe
E-mailová adresa:[e-mail chráněný]
Vybrali jste toto USER-ID:
"johndoe <[email protected]>"
Změnit (N)jméno, (E)mail nebo (O)dobrý/(Q)uit? O
Potřebujeme vygenerovat spoustu náhodných bajtů. Během primární generace je dobré provést
nějaké další akce (psát na klávesnici, pohybovat myší, používat
disky); to dává generátoru náhodných čísel
větší šanci získat dostatek entropie.
Potřebujeme vygenerovat spoustu náhodných bajtů. Během primární generace je dobré provést
nějaké další akce (psát na klávesnici, pohybovat myší, používat
disky); to dává generátoru náhodných čísel
větší šanci získat dostatek entropie.
gpg:klíč 14F31ED1FBEBAD9A označen jako zcela důvěryhodný
gpg:certifikát zneplatnění uložený jako '/root/.gnupg/openpgp-revocs .d/BCD52DF829FF8F9408A2F1B214F31ED1FBEBAD9A.rev'
vytvořen a podepsán veřejný a tajný klíč.
pub rsa2048 2021-11-16 [SC]>vyprší:3-1 11-16 BCD52DF829FF8F9408A2F1B214F31ED1FBEBAD9A
uid johndoe <[e-mail chráněný]>
sub rsa2048 2021-11-16 [] 321-11-16Poznamenejte si také otisk vašeho nového klíče. V tomto příkladu je otisk klíče 'BCD52DF829FF8F9408A2F1B214F31ED1FBEBAD9A '.
2. Dále exportujte klíč GPG do instalačního adresáře passbolt '/var/www/passbolt/config/gpg/ '.
gpg --armor --export-secret-keys [chráněno e-mailem]> /var/www/passbolt/config/gpg/serverkey_private.asc
gpg --armor --export [chráněno e-mailem]> / var/www/passbolt/config/gpg/serverkey.ascV tuto chvíli si musíte poznamenat své klíčové informace GPG, jak je uvedeno níže.
- Otisk prstu:BCD52DF829FF8F9408A2F1B214F31ED1FBEBAD9A
- E-mail:[e-mail chráněn]
- Veřejný klíč: serverkey.asc
- Soukromý klíč: serverkey_private.asc
3. Dále musíte vygenerovat adresář GNUPG pro uživatele nginx pomocí následujícího příkazu.
sudo su -s /bin/bash -c "gpg --list-keys" nginx
Uvidíte podobný výstup jako níže.
gpg:adresář '/var/lib/nginx/.gnupg' vytvořen
gpg:keybox '/var/lib/nginx/.gnupg/pubring.kbx' vytvořen
gpg:/var/ lib/nginx/.gnupg/trustdb.gpg:trustdb vytvořen
Nyní jste dokončili konfiguraci klíče GPG pro Passbolt. Přejděte k dalšímu kroku pro konfiguraci Passbolt.
Konfigurace Passbolt a bloků serveru Nginx
V tomto kroku budete konfigurovat název instalační domény Passbolt, databázi a klíč GPG.
Než začnete, změňte svůj pracovní adresář na '/var/www/passbolt' adresář.
export PASSBOLT=/var/www/passbolt/
cd $PASSBOLT
1. Zkopírujte výchozí konfiguraci do souboru 'passbolt.php' a poté ji upravte pomocí editoru nano.
cp config/passbolt.default.php config/passbolt.php
nano config/passbolt.php
Změňte 'fullBaseUrl ' s instalací názvu domény Passbolt. Pro tento příklad je 'https://pass.example.io'
'App' => [
// komentář
'fullBaseUrl' => 'https://pass.example.io',
/ / komentář...
],
Změňte konfiguraci databáze pomocí svého uživatele a hesla MariaDB níže.
// Konfigurace databáze.
'Zdroje dat' => [
'výchozí' => [
'hostitel' => 'localhost',
//'port' => 'non_standard_port_number',
'username' => 'passbolt',
'password' => 'PassboltdbPass',
,
, ' databáze ,
],
Zkopírujte a vložte svůj otisk GPG a zrušte komentář u možností „veřejné“ a „soukromé“.
'gpg' => [
//
// KOMENTÁŘ ODSTRANĚN
//
soukromý otisk serveru / > server soukromý klíč
'fingerprint' => '38E3736DD02860F8CBA57BB99C8B82A2C3A6959F',
'public' => CONFIG. 'gpg'. DS . 'serverkey.asc',
'private' => CONFIG . 'gpg'. DS . 'serverkey_private.asc',
],
Uložte konfiguraci a ukončete.
2. Dále vytvořte novou konfiguraci bloků serveru Nginx '/etc/nginx/conf.d/passbolt.conf pomocí nano editoru.
nano /etc/nginx/conf.d/passbolt.conf
Zkopírujte a vložte následující konfiguraci a nezapomeňte změnit název domény a cestu certifikátů SSL.
server {
listen 80;
server_name pass.example.io;
return 302 https://$server_name$request_uri;
}
server {
listen 443 ssl http2;
název_serveru pass.example.io;
root /var/www/passbolt;
ssl_certificate /etc/letsencrypt/live/pass.example.io/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/pass.example.io/privkey.pem;
ssl_protocols TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers ECDHE-RSA-AES256-GCM-SHA512:DHE-RSA-AES256-GCM-SHA512-2512-GGESD4 DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384;
ssl_ecdh_curve secp384r1; # Vyžaduje nginx>=1.1.0
ssl_session_timeout 10 m;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off; # Vyžaduje nginx>=1.5.9
# ssl_stapling on; # Vyžaduje nginx>=1.3.7
# ssl_stapling_verify on; # Vyžaduje nginx => 1.3.7
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;
add_header X-Frame-Options DENY;
add_header X-Content -Type-Options nosniff;
add_header X-XSS-Protection "1; mode=block";
umístění / {
try_files $uri $uri/ /index.php? $args;
index index.php;
}
umístění ~ \.php$ {
fastcgi_index index.php;
fastcgi_pass unix:/var /run/php-fpm/www.sock;
fastcgi_split_path_info ^(.+\.php)(.+)$;
zahrnout fastcgi_params;
název skriptu fastcgi_param doc SCRI NAME; $gu_script fastcgi_param doc SC /> fastcgi_param SERVER_NAME $http_host;
}
umístění ~* \.(jpe?g|woff|woff2|ttf|gif|png|bmp|ico|css|js|json| pdf|zip|htm|html|docx?|xlsx?|pptx?|txt|wav|swf|svg|avi|mp\d)$ {
access_log off;
log_not_found off;
try_files $uri /webroot/$uri /index.php?$args;
} Uložte konfiguraci a ukončete.
Nyní ověřte konfiguraci Nginx a ujistěte se, že se nezobrazuje žádná chyba, poté restartujte službu Nginx.
nginx -t
sudo systemctl restartujte nginx
3. Dále změňte pracovní adresář na '/var/www/passbolt ' a spusťte instalaci Passbolt pomocí níže uvedeného příkazu.
cd /var/www/passbolt
sudo su -s /bin/bash -c "./bin/cake passbolt install" nginx
Na konci instalačního procesu Passbolt vytvoříte nového administrátora pro Passbolt.
Zadejte svou e-mailovou adresu, jméno a příjmení. Poté zkopírujte svůj instalační odkaz Passbolt.
Přístup k Passbolt z webového prohlížeče
Otevřete webový prohlížeč a do adresního řádku vložte instalační odkaz Passbolt vygenerovaný instalačním programem Passbolt.
https://pass.example.io/setup/install/8383584c-2eca-496a-a0ca-4fe35a157d24/fc5ad911-9409-416a-8175-a18cd19dcb20
1. Passbolt automaticky rozpozná váš webový prohlížeč a zobrazí instalační odkaz rozšíření prohlížeče Passbolt.
Klikněte na tlačítko Stáhnout rozšíření “ a nainstalujte rozšíření prohlížeče Passbolt.
2. Zadejte novou silnou přístupovou frázi a klikněte na tlačítko Další '.
3. Stáhněte si sadu pro obnovu do místního počítače a klikněte na tlačítko Další ' knoflík. K resetování přístupové fráze Passbolt můžete použít sadu pro obnovení.
4. Vyberte barvu svého bezpečnostního tokenu Passbolt a nezapomeňte si tato tři písmena zapamatovat. Klikněte na tlačítko Další znovu tlačítko '.
5. Nyní budete přesměrováni na ovládací panel uživatele Passbolt, jak je uvedeno níže.
6. Seznam uživatelů hesel.
A máte dokončenou instalaci správce hesel Passbolt.
Závěr
gratuluji! Úspěšně jste nainstalovali správce hesel Passbolt s PHP-FPM, serverem MariaDB a webovým serverem Nginx na Rocky Linux.
V dalším kroku můžete pro svůj tým vytvořit nové uživatele passbolt.