如何在CentOS 7上安裝Passbolt自托管密碼管理器

Passbolt是一個免費的開源密碼管理器，適用于團隊。 它允許團隊成員安全地存儲和共享憑據/密碼。 Passbolt是使用PHP創建的，可以在LEMP堆棧下運行或作為docker容器運行。

在本教程中，我們將向您展示逐步安裝并在CentOS 7服務器上配置開源密碼管理器“Passbolt”。 Passbolt是一個用PHP開發的Web應用程序，我們將在LEMP（Linux，Nginx，MySQL/MariaDB和PHP-FPM）下運行它。

必要條件

• CentOS 7
• Root權限

我們將要做什么？

1. 安裝依賴項
2. 安裝和配置MariaDB數據庫
3. 安裝Nginx和PHP-FPM
4. 生成SSL Letsencrypt
5. 配置Nginx和PHP-FPM
6. 下載Passbolt并生成OpenPGP密鑰
7. 安裝Passbolt
8. Passbolt安裝后
9. 其他安全服務器設置

第1步 – 安裝依賴項

我們將為本指南做的第一件事是安裝Passbolt安裝所需的所有包依賴項，包括安裝EPEL和Remi PHP存儲庫，php composer，gcc等。

添加EPEL存儲庫。

sudo yum -y install yum-utils epel-release

添加并啟用Remi PHP存儲庫。

sudo yum -y install ‘http://rpms.remirepo.net/enterprise/remi-release-7.rpm’

sudo yum-config-manager –enable ‘remi-php72’

現在使用下面的yum命令安裝包依賴項composer，git gcc等。

sudo yum -y install unzip wget composer policycoreutils-Python git gcc

等待所有軟件包安裝。

第2步 – 安裝和配置MySQL / MariaDB

在此步驟中，我們將安裝MariaDB數據庫，然后為Passbolt安裝創建新的數據庫和用戶。

使用下面的yum命令安裝MariaDB服務器。

sudo yum -y install mariadb-server

安裝完成后，啟動MariaDB服務并使其在系統引導時每次啟動。

sudo systemctl start mariadb
sudo systemctl enable mariadb

現在我們需要為MariaDB配置“root”密碼。 運行下面的’mysql_secure_installation’命令。

mysql_secure_installation

輸入新的root密碼。

并且已配置MariaDB root密碼。

Remove anonymous users? [Y/n]  這里生產環境建議輸入y

Disallow root login remotely? [Y/n] 遠程登陸

Remove test database and access to it? [Y/n]  刪除測試數據庫并訪問它？[Y/ N]

Reload privilege tables now? [Y/n]  Y

All done!  If you’ve completed all of the above steps, your MariaDB
installation should now be secure.

Thanks for using MariaDB!

接下來，使用“root”用戶登錄MySQL shell。

mysql -u root -p

使用密碼’password-linuxidc’創建一個名為’linuxidccom’的新數據庫和用戶，在下面運行MySQL查詢。

create database passbolt;
grant all on passbolt.* to ‘linuxidccom’@’localhost’ identified by ‘password-linuxidc’;
flush privileges;
quit;

MariaDB服務器已安裝在CentOS 7服務器上，并且已創建用于“Passbolt”安裝的數據庫。

第3步 – 安裝Nginx和PHP-FPM

安裝MariaDB服務器后，我們將使用Remi存儲庫從EPEL存儲庫和PHP-FPM軟件包安裝Nginx。

安裝Nginx Web服務器。

sudo yum -y install nginx

安裝完成后，啟動Nginx服務并使其在系統引導時每次啟動。

sudo systemctl start nginx
sudo systemctl enable nginx

現在使用下面的yum命令安裝PHP-FPM以及所需的所有擴展。

sudo yum -y install php-fpm php-intl php-gd php-mysql php-mcrypt php-pear php-devel php-mbstring php-fpm gpgme-devel

如果安裝完成，請啟動PHP-FPM服務并在系統引導時每次啟動它。

sudo systemctl start php-fpm
sudo systemctl enable php-fpm

已安裝Nginx Web服務器和PHP-FPM。

第4步 – 生成SSL Letsencrypt

在系統上安裝certbot工具。

sudo yum -y install certbot

現在停止nginx服務。

sudo systemctl stop nginx

并為passbolt域名’linux.linuxidc.com’生成SSL Letsencrypt。

運行下面的certbot命令。

sudo certbot certonly –standalone –agree-tos –no-eff-email –email linuxidc@linuxidc.com -d linux.linuxidc.com

certbot工具將運行臨時Web服務器進行驗證。

完成后，您將在’/etc/letsencrypt/live/’目錄中獲取證書。

第5步 – 配置Nginx和PHP-FPM

在此步驟中，我們將通過為Passbolt創建新的虛擬主機配置來配置Nginx Web服務器，并配置PHP-FPM并安裝PHP GnuPG支持。

配置PHP-FPM

轉到’/etc/php-fpm.d’目錄并使用vim編輯器編輯默認池配置’www.conf’。

cd /etc/php-fpm.d/
sudo vim www.conf

將默認用戶和組更改為“nginx”用戶。

user = nginx
group = nginx

將端口偵聽PHP-FPM更改為sock文件，如下所示。

listen = /var/run/php-fpm/php-fpm.sock

取消注釋下面的這些行，并將sock文件的listen.owner和listen.group更改為’nginx’。

listen.owner = nginx
listen.group = nginx
listen.mode = 0660

Save and exit.

現在我們需要更改PHP會話目錄的所有者并安裝PHP GnuPG擴展支持。

更改php會話目錄的權限。

sudo chgrp nginx /var/lib/php/session

使用pecl命令安裝PHP GnuPG擴展并激活它。

sudo pecl install gnupg
echo “extension=gnupg.so” > /etc/php.d/gnupg.ini

配置Nginx和PHP-FPM

已安裝PHP GnuPG擴展。

配置Nginx虛擬主機

轉到’/etc/nginx/conf.d’目錄并創建一個新的虛擬主機文件’passbolt.conf’。

cd /etc/nginx/conf.d/
sudo vim passbolt.conf

粘貼配置如下。

server {
  listen 443;
  server_name linux.linuxidc.com;
  ssl on;
  ssl_certificate    /etc/letsencrypt/live/linux.linuxidc.com/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/live/linux.linuxidc.com/privkey.pem;
  ssl_protocols TLSv1.2;
  ssl_prefer_server_ciphers on;
  ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS;
  ssl_session_tickets off;
  root /var/www/passbolt;
 
  location / {
    try_files $uri $uri/ /index.php?$args;
    index index.php;
  }
 
  location ~ .php$ {
    fastcgi_index          index.php;
    fastcgi_pass            unix:/var/run/php-fpm/php-fpm.sock;
    fastcgi_split_path_info ^(.+.php)(.+)$;
    include                fastcgi_params;
    fastcgi_param          SCRIPT_FILENAME $document_root$fastcgi_script_name;
    fastcgi_param          SERVER_NAME $http_host;
  }
     
  location ~* .(jpe?g|woff|woff2|ttf|gif|png|bmp|ico|css|js|json|pdf|zip|htm|html|docx?|xlsx?|pptx?|txt|wav|swf|svg|avi|mpd)$ {
    access_log off;
    log_not_found off;
    try_files $uri /webroot/$uri /index.php?$args;
  }
}

保存并退出。

測試nginx配置并確保沒有錯誤。

sudo nginx -t

現在重啟Nginx和PHP-FPM服務。

sudo systemctl restart nginx
sudo systemctl restart php-fpm

配置Nginx虛擬主機

Nginx Web服務器和PHP-FPM的配置已成功完成。

第6步 – 下載Passbolt并生成OpenPGP密鑰

在此步驟中，我們將下載passbolt Web應用程序并生成將用于Passbolt API的新OpenPGP密鑰。

轉到’/var/www’目錄并克隆passbolt Web應用程序。

cd /var/www/
git clone https://github.com/passbolt/passbolt_api.git passbolt/

下載Passbolt并生成OpenPGP密鑰

現在安裝’hasged’包并啟動服務。

sudo yum -y install haveged
sudo systemctl start haveged

使用下面的gpg命令生成新的OpenPGP密鑰。

gpg –gen-key

輸入您的詳細信息，例如電子郵件，到期日等。

注意：

• PHP GnuPG擴展不支持OpenPGP密鑰密碼，因此讓密碼保持空白。

完成后，檢查所有可用密鑰并記下密鑰的“指紋”。

gpg –list-keys –fingerprint

列出gpg密鑰

現在將公鑰和私鑰導出到’/var/www/passbolt’目錄。

gpg –armor –export-secret-keys hakase@hakase.io > /var/www/passbolt/config/gpg/serverkey_private.asc
gpg –armor –export hakase@hakase.io > /var/www/passbolt/config/gpg/serverkey.asc

并更改’/var/www/passbolt’目錄的所有密鑰權限和所有者。

sudo chmod 640 /var/www/passbolt/config/gpg/serverkey*
sudo chown -R  nginx:nginx /var/www/passbolt

已知的gpg鍵

已下載Passbolt Web應用程序，并已創建OpenPGP密鑰。

第7步 – 安裝Passbolt

在安裝’Passbolt’的所有依賴項之前，我們需要為nginx用戶初始化gpg密鑰的密鑰環。

運行以下命令。

sudo su -s /bin/bash -c “gpg –list-keys” nginx

現在登錄’nginx’用戶并轉到’/var/www/passbolt’目錄。

su -s /bin/bash nginx
cd /var/www/passbolt/

安裝Passbolt

使用下面的composer命令安裝PassboltInstall所有passbolt依賴項。

composer install –no-dev

Composer install

完成后，復制應用程序的默認配置文件并使用vim進行編輯。

cp config/passbolt.default.php config/passbolt.php

vim config/passbolt.php

在“應用”部分，用你自己的域名改變域名。

    ‘App’ => [
        // A base URL to use for absolute links.
        // The url where the passbolt instance will be reachable to your end users.
        // This information is need to render images in emails for example
        ‘fullBaseUrl’ => ‘https://linux.linuxidc.com’,
    ],

在“數據源”配置中，鍵入詳細信息數據庫信息。

    // Database configuration.
    ‘Datasources’ => [
        ‘default’ => [
            ‘host’ => ‘localhost’,
            //’port’ => ‘non_standard_port_number’,
            ‘username’ => ‘linuxidccom’,
            ‘password’ => ‘password-linuxidc’,
            ‘database’ => ‘linuxidccom’,
        ],
    ],

在數據庫配置下，添加新的’ssl’配置以強制所有連接到安全https。

    ‘ssl’ => [
        ‘force’ => true,
    ],

對于SMTP郵件配置，請使用您的詳細信息更改所有內容。

    // Email configuration.
    ‘EmailTransport’ => [
        ‘default’ => [
            ‘host’ => ‘localhost’,
            ‘port’ => 25,
            ‘username’ => ‘user’,
            ‘password’ => ‘secret’,
            // Is this a secure connection? true if yes, null if no.
            ‘tls’ => null,
            //’timeout’ => 30,
            //’client’ => null,
            //’url’ => null,
        ],
    ],
    ‘Email’ => [
        ‘default’ => [
            // Defines the default name and email of the sender of the emails.
            ‘from’ => [‘passbolt@your_organization.com’ => ‘Passbolt’],
            //’charset’ => ‘utf-8’,
            //’headerCharset’ => ‘utf-8’,
        ],
    ],

最后，粘貼OpenPGP密鑰的“指紋”并取消注釋那些公共和私有配置行。

            ‘serverKey’ => [
                // Server private key fingerprint.
                ‘fingerprint’ => ’63BA4EBB65126A6BE334075DD210E985E2ED02E5′,
                ‘public’ => CONFIG . ‘gpg’ . DS . ‘serverkey.asc’,
                ‘private’ => CONFIG . ‘gpg’ . DS . ‘serverkey_private.asc’,
            ],

保存并退出。

Passbolt配置文件

現在使用以下命令安裝’Passbolt’。

./bin/cake passbolt install

系統將要求您創建新的管理員用戶和密碼 – 輸入您的詳細信息。

最后，您將獲得“注冊”鏈接，將其寫在您的筆記上。

第8步 – Passbolt安裝后

打開Web瀏覽器并安裝Web瀏覽器的“Passbolt”擴展。

以下是Chrome瀏覽器的passbolt擴展程序鏈接。 安裝擴展。

https://chrome.google.com/webstore/detail/passbolt-extension

現在打開一個新選項卡并粘貼給地址欄的“注冊”鏈接。 我的是：

https://linux.linuxidc.com/setup/install/b830ec28-1cc5-6f5f-95f8-9be56acrfefa/103991n4-3971-4bb8-886c-856ac0f8c76f

選中底部的框，然后點擊“下一步”按鈕。 現在，系統會要求您為用戶創建新密鑰。

單擊“下一步”按鈕。

設置“密碼短語”，輸入您的強密碼。

設置密碼

單擊“下一步”按鈕。 按“下載”按鈕備份您的密鑰，然后再次單擊“下一步”。

下載備份密鑰

對于安全令牌，請將其保留為默認值，然后單擊“下一步”。

設置安全令牌

您將被重定向到Passbolt登錄頁面。

Passbolt登錄頁面

輸入您的“密碼短語”，然后點擊“登錄”。 您將看到Passbolt用戶儀表板。

歡迎來到Passbolt

CentOS 7上的Passbolt開源密碼管理器安裝已成功完成。

步驟9 – 其他安全服務器設置

 – 設置Firewalld

在服務器上打開新的HTTP，HTTPS和SMTP端口。

sudo firewall-cmd –add-service=http –permanent
sudo firewall-cmd –add-service=https –permanent
sudo firewall-cmd –add-service=smtp –permanent

現在重新加載firewalld配置。

sudo firewall-cmd –reload

 – 設置Selinux許可

“Passbolt” webroot目錄的權限。

sudo semanage fcontext -a -t httpd_sys_content_t ‘/var/www(/.*)?’
sudo semanage fcontext -a -t httpd_sys_rw_content_t ‘/var/www/passbolt/tmp(/.*)?’
sudo semanage fcontext -a -t httpd_sys_rw_content_t ‘/var/www/passbolt/logs(/.*)?’
sudo restorecon -Rv /var/www

Nginx gnupg密鑰環目錄的權限。

sudo semanage fcontext -a -t httpd_sys_rw_content_t ‘/var/lib/nginx/.gnupg(/.*)?’
sudo restorecon -Rv /var/lib/nginx/.gnupg

參考：https://help.passbolt.com/hosting/install