Nainstalujte a nakonfigurujte Passbolt Team Password Manager na Ubuntu 20.04

Passbolt je bezplatný, open source, samostatně hostovaný a rozšiřitelný správce hesel, který vám pomáhá bezpečně sdílet a ukládat přihlašovací údaje, jako je heslo routeru, webové stránky, Wi -Fi a další. Liší se od ostatních správců hesel. je zaměřen spíše na týmové využití než na jednotlivce. Je k dispozici v komunitní i placené verzi. Nabízí mnoho funkcí, některé z nich jsou uvedeny níže:

• Poskytuje rozšíření pro Firefox a Google Chrome.
• K zašifrování hesla použijte OpenPGP.
• Jednoduché a uživatelsky přívětivé webové rozhraní.
• Umožňuje import a export hesel.
• Umožňuje ruční přidání přihlašovacích údajů.

V tomto tutoriálu vysvětlíme, jak nainstalovat Passbolt Password Manager s Apache a Let's Encrypt na Ubuntu 20.04.

Předpoklady

• Server se systémem Ubuntu 20.04.
• Platný název domény s adresou IP vašeho serveru.
• Na serveru je nakonfigurováno heslo uživatele root.

Instalovat LAMP Server

Nejprve budete muset do svého systému nainstalovat server Apache a MariaDB. Můžete je nainstalovat pomocí následujícího příkazu:

apt-get install apache2 mariadb-server -y

Po instalaci výše uvedených balíčků budete také muset nainstalovat PHP a další požadované balíčky do vašeho systému.

Ve výchozím nastavení Ubuntu 20.04 přichází s PHP7.4 ve svém výchozím úložišti. Passbolt však nepodporuje PHP7.4. Budete tedy muset do svého systému přidat úložiště PHP.

Nejprve nainstalujte požadované balíčky pomocí následujícího příkazu:

apt-get install software-properties-common gnupg -y

Dále přidejte úložiště PHP pomocí následujícího příkazu:

add-apt-repository ppa:ondrej/php --yes

Dále nainstalujte PHP verze 7.3 s Composer a další požadovaná rozšíření pomocí následujícího příkazu:

apt-get install php7.3 php7.3-mysql libapache2-mod-php7.3 php7.3-intl php7.3-mbstring php7.3-gd php7.3-imagick php7.3-xml php7.3 -common php7.3-curl php7.3-json php7.3-ldap php7.3-gnupg zlib1g rozbalit git skladatel curl -y

Jakmile jsou všechny balíčky nainstalovány, můžete přejít k dalšímu kroku.

Konfigurace databáze MariaDB

Nejprve budete muset zabezpečit instalaci MariaDB a nastavit root heslo MariaDB. Můžete to udělat pomocí následujícího příkazu:

mysql_secure_installation

Tento skript nastaví root heslo MariaDB, odstraní anonymní uživatele, zakáže vzdálené přihlášení root a odstraní testovací databázi a přístup k ní, jak je uvedeno níže:

Zadejte aktuální heslo pro root (zadejte pro žádné):OK, úspěšně použité heslo, pokračujem...Nastavit heslo root? [A/n] YOdebrat anonymní uživatele? [A/n] YZakázat vzdálené přihlášení root? [A/N] YOdebrat testovací databázi a získat k ní přístup? [A/n] YNačíst nyní tabulky oprávnění? [A/n] A

Jakmile je MariaDB zabezpečená, přihlaste se do prostředí MariaDB pomocí následujícího příkazu:

mysql -u root -p

Po zobrazení výzvy zadejte heslo uživatele root a poté vytvořte databázi a uživatele pro Passbolt pomocí následujícího příkazu:

MariaDB [(none)]> VYTVOŘIT DATABÁZI passboltdb SADA ZNAKŮ utf8mb4 COLLATE utf8mb4_unicode_ci;
MariaDB [(none)]> UDĚLEJTE VŠECHNO na passboltdb.* uživateli [e-mail chráněno] identifikovanému pomocí „hesla“; 

 Dále vyprázdněte oprávnění a ukončete MariaDB pomocí následujícího příkazu:
 
MariaDB [(none)]> FLUSH PRIVILEGES;
MariaDB [(none)]> EXIT;
 

 Jakmile budete hotovi, můžete přejít k dalšímu kroku.
 
Stáhnout a konfigurovat Passbolt
 

 V této části se naučíme, jak stáhnout a nakonfigurovat passbolt:
 
Stáhnout Passbolt
 

 Nejprve si stáhněte nejnovější verzi Passboltu do webového kořenového adresáře Apache pomocí následujícího příkazu:
 
mkdir /var/www/passbolt
klon git https://github.com/passbolt/passbolt_api.git /var/www/passbolt
 

 Po stažení změňte vlastnictví passboltu na www-data pomocí následujícího příkazu:
 
chown -R www-data:www-data /var/www/
 

 Dále změňte adresář na passbolt a nainstalujte požadované závislosti pomocí následujícího příkazu:
 
cd /var/www/passbolt
sudo -u instalace skladatele www-dat --no-dev
 

 Měli byste získat následující výstup:
 
> Cake\Composer\Installer\PluginInstaller::postAutoloadDump9 balíčky, které používáte, hledají finance. Použijte příkaz `composer fund` a zjistěte více!thadafinser/package-info:Generování třídy...thadafinser/package- info:...generování třídy> App\Console\Installer::postInstallVytvořen soubor `config/app.php`Vytvořen adresář `/var/www/passbolt/logs`Vytvořen adresář `/var/www/passbolt/tmp/cache/models`Vytvořen Adresář `/var/www/passbolt/tmp/cache/persistent`Vytvořen adresář `/var/www/passbolt/tmp/cache/views`Vytvořen adresář `/var/www/passbolt/tmp/sessions`Vytvořen `/var/www/passbolt /tmp/tests` directorySet Oprávnění složky ? (Výchozí nastavení Y) [Y,n]? Y
 

 Zadejte Y a stiskněte Enter pro nastavení oprávnění složky.
 
Vygenerovat klíč OpenPGP
 

 Dále budete muset vygenerovat klíč OpenPGP k ověření a podepsání odchozích požadavků JSON. Můžete jej vygenerovat pomocí následujícího příkazu:
 
cd /var/www/passbolt
gpg --full-generate-key
 

 Během procesu budete požádáni o heslo, jednoduše stiskněte klávesu Tab a vyberte OK a potvrďte, že jej nechcete nastavit., protože modul php-gnupg v tuto chvíli nepodporuje použití přístupové fráze.
 
gpg (GnuPG) 2.2.19; Copyright (C) 2019 Free Software Foundation, Inc. Toto je svobodný software:můžete jej měnit a redistribuovat. NEEXISTUJE ŽÁDNÁ ZÁRUKA v rozsahu povoleném zákonem.gpg:adresář '/root/.gnupg' createdgpg:keybox '/root/.gnupg/pubring.kbx' createdVyberte prosím, jaký druh klíče chcete:(1) RSA a RSA (výchozí) (2) DSA a Elgamal (3) DSA (pouze podepsat) (4) RSA (pouze podepsat ) (14) Stávající klíč z kartyVáš výběr? 1Klíče RSA mohou mít délku 1024 až 4096 bitů. Jakou velikost klíčů chcete? (3072) 4096Požadovaná velikost klíče je 4096 bitůUveďte prosím, jak dlouho má být klíč platný. 0 =platnost klíče nevyprší  =platnost klíče vyprší za n dní w =platnost klíče vyprší za n týdnů m =platnost klíče vyprší za n měsíců y =platnost klíče vyprší za n letKlíč je platný? (0) 0 Platnost klíče vůbec nevyprší Je to správné? (y/N) yGnuPG potřebuje vytvořit uživatelské ID k identifikaci vašeho klíče.Skutečné jméno:HiteshE-mailová adresa:[email protected]Komentář:AhojVybrali jste toto USER-ID:"Hitesh (Ahoj) <[email protected]>"Změnit ( N)jméno, (C)komentář, (E)mail nebo (O)dobrý/(Q)uit? Potřebujeme vygenerovat spoustu náhodných bajtů. Během primární generace je dobré provést nějakou jinou akci (psát na klávesnici, pohybovat myší, používat disky); to dává generátoru náhodných čísel větší šanci získat dostatek entropie. Potřebujeme vygenerovat spoustu náhodných bajtů. Během primární generace je dobré provést nějakou jinou akci (psát na klávesnici, pohybovat myší, používat disky); to dává generátoru náhodných čísel větší šanci získat dostatek entropie.gpg:/root/.gnupg/trustdb.gpg:trustdb createdgpg:klíč 2DA8E7FB8E23B2FD označený jako nakonec důvěryhodnýgpg:adresář '/root/.gnupg/openpgp' createdgpgd. :Oznámení o zrušení uložen jako ‚/root/.gnupg/openpgp-revocs.d/9622291A72D99A4EC78ABCB92DA8E7FB8E23B2FD.rev'public a tajný klíč vytvořen a signed.pub rsa4096 2020-07-25 [SC] D2394A45B7CBBAB7F00CC79B23D4750486780854uid Hitesh (Hi) sub rsa4096 2020-07-25 [E]    
 

 Zapamatujte si výše uvedený otisk veřejného klíče, protože jej budete potřebovat později při nastavení.
 

 Dále exportujte veřejný a soukromý klíč do adresáře '/var/www/passbolt' pomocí následujících příkazů:
 
gpg --armor --export-secret-keys [chráněno e-mailem]> /var/www/passbolt/config/gpg/serverkey_private.asc
gpg --armor --export [chráněno e-mailem]> / var/www/passbolt/config/gpg/serverkey.asc
 

 Dále budete muset inicializovat svazek klíčů gpg klíče pro uživatele Apache. Můžete to udělat pomocí následujícího příkazu:
 
sudo su -s /bin/bash -c "gpg --list-keys" www-data
 

 Měli byste získat následující výstup:
 
gpg:adresář '/var/www/.gnupg' createdgpg:keybox '/var/www/.gnupg/pubring.kbx' createdgpg:/var/www/.gnupg/trustdb.gpg:trustdb vytvořen
 
Konfigurovat Passbolt
 

  
 

 Nejprve zkopírujte ukázkový konfigurační soubor Passbolt pomocí následujícího příkazu:
 
cp /var/www/passbolt/config/passbolt{.default,}.php
 

 Dále upravte konfigurační soubor Passbolt pomocí následujícího příkazu::
 
nano /var/www/passbolt/config/passbolt.php
 

 Definujte svou fullbaseurl, databázi a otisk veřejného klíče, jak je znázorněno níže:
 
 'fullBaseUrl' => 'https://passbolt.linuxbuz.com', // Konfigurace databáze. 'Zdroje dat' => [ 'default' => [ 'host' => 'localhost', //'port' => 'non_standard_port_number', 'username' => 'passbolt', 'password' => 'password', 'database' => 'passboltdb', 'serverKey' => [ // Otisk soukromého klíče serveru. 'otisk' => 'D2394A45B7CBBAB7F00CC79B23D4750486780854', 'veřejné' => KONFIG. 'gpg'. DS. 'serverkey.asc', 'private' => CONFIG . 'gpg'. DS. 'serverkey_private.asc',
 

 Po dokončení uložte a zavřete soubor.
 

 Pokud si nepamatujete otisk svého veřejného klíče, můžete jej načíst pomocí následujícího příkazu:
 
gpg --list-keys --fingerprint | grep -i -B 2 [chráněno e-mailem]
 

 Měli byste získat následující výstup:
 
gpg:kontrola trustdbgpg:potřeba okrajů:potřeba 3 dokončení:1 model důvěryhodnosti:pgpgpg:hloubka:0 platný:1 podepsaný:0 důvěryhodnost:0-, 0q, 0n, 0m, 0f, 1upub rsa4096 2020-07- 25 [SC] D239 4A45 B7CB BAB7 F00C C79B 23D4 7504 8678 0854uid [ultimátní] Hitesh (Ahoj) <[email protected]>
 
Konfigurovat Apache pro Passbolt
 

 Dále budete muset vytvořit konfigurační soubor virtuálního hostitele Apache pro Passbolt. Můžete jej vytvořit pomocí následujícího příkazu:
 
nano /etc/apache2/sites-available/passbolt.conf
 

 Přidejte následující řádky:
 
 ServerName passbolt.linuxbuz.com DocumentRoot /var/www/passbolt ErrorLog ${APACHE_LOG_DIR}/passbolt_error.log CustomLog ${APACHE_LOG_DIR}/passbolt_access.log kombinovaný  Možnosti FollowSymLinks MultiViews AllowOverride All Vyžadovat uděleno vše 
 

 Uložte a zavřete soubor, poté aktivujte soubor virtuálního hostitele a restartujte službu Apache pomocí následujícího příkazu:
 
a2ensite passbolt
systemctl restart apache2
 

 Až budete hotovi, můžete přejít k dalšímu kroku.
 
Bezpečný Passbolt s Let's Encrypt
 

 Chcete-li zabezpečit svůj web pomocí Let's Encrypt SSL, budete si muset do systému nainstalovat klientský nástroj Certbot pro správu certifikátu SSL.
 

 Můžete jej nainstalovat pomocí následujícího příkazu:
 
apt-get install python3-certbot-apache -y
 

 Po instalaci spusťte následující příkaz k zabezpečení webu pomocí Let's Encrypt SSL:
 
certbot --apache -d passbolt.linuxbuz.com
 

 Budete požádáni, abyste poskytli svůj e-mail a přijali podmínky služby, jak je uvedeno níže:
 
Ukládání protokolu ladění do /var/log/letsencrypt/letsencrypt.log Vybrané pluginy:Samostatný Authenticator, Instalační program ŽádnýZadejte e-mailovou adresu (používá se pro naléhavá upozornění na obnovení a zabezpečení) (Zadejte „c“ pro zrušení):[email protected]- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Přečtěte si podmínky služby na https://letsencrypt.org /documents/LE-SA-v1.2-November-15-2017.pdf. Chcete-li se zaregistrovat na serveru ACME na adrese https://acme-v02.api.letsencrypt.org/directory- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -(A)gree/(C)ancel:A- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -Byli byste ochotni sdílet svou e-mailovou adresu s Electronic FrontierFoundation, zakládajícím partnerem projektu Let's Encrypt a neziskovou organizací, která vyvíjí Certbot? Rádi bychom vám zaslali e-mail o naší práci na šifrování webu, novinkách EFF, kampaních a způsobech podpory digitální svobody.- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -(Y)es/(N)ne:YPluginy jsou vybrány:Authenticator apache, Installer apacheZískání nového certifikátu Provedení následujících výzev:http-01 výzva pro passbolt.linuxbuz. comEnabled Apache přepisovací modul Čeká na ověření...Vyčištění výzevVytvořen SSL vhost na /etc/apache2/sites-available/passbolt-le-ssl.confEnabled Apache socache_shmcb moduleEnabled Apache ssl moduleNasazení certifikátu/ Virtualap-Host /siteilava passbolt-le-ssl.conf Dostupné stránky pro povolení:/etc/apache2/sites-available/passbolt-le-ssl.conf
 

 Dále vyberte, zda chcete přesměrovat provoz HTTP na HTTPS, jak je uvedeno níže:
 
Zvolte prosím, zda chcete přesměrovat provoz HTTP na HTTPS a odebrat přístup HTTP.- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -1:Žádné přesměrování - Nedělejte žádné další změny v konfiguraci webového serveru.2:Přesměrování - Proveďte přesměrování všech požadavků na zabezpečený přístup HTTPS. Vyberte toto pro nové weby, nebo pokud jste si jisti, že váš web funguje na HTTPS. Tuto změnu můžete vrátit zpět úpravou konfigurace vašeho webového serveru.- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -Vyberte příslušné číslo [1-2] a poté [enter] (zrušte stisknutím 'c'):2
 

 Zadejte 2 a stiskněte Enter k instalaci Let's Encrypt SSL pro váš web:
 
Povolený modul pro přepis ApachePřesměrování vhost v /etc/apache2/sites-enabled/passbolt.conf na ssl vhost v /etc/apache2/sites-available/passbolt-le-ssl.conf- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -Gratulujeme! Úspěšně jste povolili https://passbolt.linuxbuz.com Měli byste otestovat svou konfiguraci na:https://www.ssllabs.com/ssltest/analyze.html?d=passbolt.linuxbuz.com- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - DŮLEŽITÉ POZNÁMKY:- Gratulujeme! Váš certifikát a řetězec byly uloženy na:/etc/letsencrypt/live/passbolt.linuxbuz.com/fullchain.pem Váš soubor klíče byl uložen na:/etc/letsencrypt/live/passbolt.linuxbuz.com/privkey.pem Váš platnost certifikátu vyprší 23. 10. 2020. Chcete-li v budoucnu získat novou nebo vylepšenou verzi tohoto certifikátu, jednoduše znovu spusťte certbot s možností „určitě“. Chcete-li neinteraktivně obnovit *všechny* své certifikáty, spusťte "certbot renew" - Pokud se vám Certbot líbí, zvažte prosím podporu naší práce:Darováním ISRG / Let's Encrypt:https://letsencrypt.org/donate Darováním EFF:https://eff.org/donate-le
 

 V tuto chvíli je váš web zabezpečen pomocí Let's Encrypt SSL.
 
Instalovat Passbolt
 

 Dále můžete nainstalovat Passbolt spuštěním instalačního skriptu Passbolt.
 

 Nejprve změňte adresář na /var/www/passbolt:
 
cd /var/www/passbolt
 

 Dále spusťte instalační skript Passbolt pomocí následujícího příkazu:
 
sudo su -s /bin/bash -c "./bin/cake passbolt install --no-admin" www-data
 

 Po úspěšném dokončení instalace ahs byste měli získat následující výstup:
 
Vše hotovo. Trvalo 1,6533sImportujte soukromý klíč serveru do svazku klíčů----------------------------------------- -----------------------Import /var/www/passbolt/config/gpg/serverkey_private.ascKeyring init OKPassbolt instalace úspěšná! Užívat si! ?
 

 Dále budete muset dokončit nastavení Passbolt z prohlížeče. Otevřete webový prohlížeč a navštivte URL https://passbolt.linuxbuz.com. Měli byste vidět následující obrazovku:
 

 
 

 Zde si budete muset stáhnout a nainstalovat plugin pro váš prohlížeč. Klikněte na Stáhnout plugin stáhnout a nainstalovat plugin Passbolt. Po instalaci můžete přejít k dalšímu kroku.
 
Přístup k webovému rozhraní Passbolt
 

 Před spuštěním budete muset vytvořit administrátora a nastavit heslo pro Passbolt. Můžete to udělat pomocí následujícího příkazu:
 
cd /var/www/passbolt
sudo su -s /bin/bash -c "./bin/cake passbolt register_user -u [e-mail chráněný] -f howtoforge -l Demo -r admin" www- údaje
 

 Měli byste získat následující výstup:
 
 ____ __ ____ / __ \____ _____ ____/ /_ ____ / / /_ / /_/ / __ `/ ___/ ___/ __ \/ __ \/ / __/ / ____/ /_/ (_ | __ ) /_/ / /_/ / / / /_/ \__,_/____/____/_.___/\____/_/\__/ Správce hesel s otevřeným zdrojovým kódem pro týmy-------- -------------------------------------------------- -----Uživatel byl úspěšně uložen. Chcete-li zahájit registraci, klikněte na odkaz uvedený ve vaší poštovní schránce nebo zde:https://passbolt.linuxbuz.com/setup/install/5bcfb186-3d9f-448f-8388-f705abd855c8/a2ba80dc-5ef2- 433a-9138-11282747b377
 

 Nyní zkopírujte odkaz z výše uvedeného výstupu a použijte jej k dokončení nastavení Passboltu v prohlížeči. Měli byste vidět následující obrazovku:
 

 
 

 Potvrďte, že adresa URL a otisk klíče GPG jsou v pořádku, a klikněte na Další knoflík. Měli byste vidět následující obrazovku:
 

 
 

 Zadejte jméno vlastníka, e-mail a klikněte na Další knoflík. Měli byste vidět následující obrazovku:
 

 
 

 Nastavte si heslo a klikněte na Další knoflík. Měli byste vidět následující obrazovku:
 

 
 

 Stáhněte si svůj tajný klíč a klikněte na Další knoflík. Měli byste vidět následující obrazovku:
 

 
 

 Nastavte bezpečnostní token a klikněte na Další knoflík. Měli byste vidět následující obrazovku:
 

 
 

 Zadejte své uživatelské jméno, heslo a klikněte na přihlásit se knoflík. Na následující obrazovce byste měli vidět řídicí panel Passbolt:
 

 
 
Závěr
 
Blahopřejeme! úspěšně jste nainstalovali správce hesel Passbolt s Let's Encrypt SSL na serveru Ubuntu 20.04. Nyní můžete ukládat a sdílet svá hesla se svými týmy a jednotlivými uživateli. Pokud máte nějaké dotazy, neváhejte se mě zeptat.