Dans ce tutoriel, nous allons vous montrer comment installer Passbolt sur AlmaLinux 8. Pour ceux qui ne le savaient pas, Passbolt est un gestionnaire de mots de passe gratuit et open-source basé sur PHP, MySQL et OpenPGP qui vous permettent de stocker et de partager en toute sécurité les identifiants de connexion du site Web, le mot de passe du routeur, le mot de passe Wi-Fi, etc. Il est auto-hébergé et disponible dans les éditions communautaires et par abonnement.
Cet article suppose que vous avez au moins des connaissances de base sur Linux, que vous savez utiliser le shell et, plus important encore, que vous hébergez votre site sur votre propre VPS. L'installation est assez simple et suppose que vous s'exécutent dans le compte root, sinon vous devrez peut-être ajouter 'sudo ‘ aux commandes pour obtenir les privilèges root. Je vais vous montrer étape par étape l'installation du gestionnaire de mots de passe Passbolt sur un AlmaLinux 8. Vous pouvez suivre les mêmes instructions pour les distributions Fedora, RHEL, CentOS et Rocky Linux.
Prérequis
- Un serveur exécutant l'un des systèmes d'exploitation suivants :AlmaLinux 8, CentOS et Rocky Linux 8.
- Il est recommandé d'utiliser une nouvelle installation du système d'exploitation pour éviter tout problème potentiel
- Un
non-root sudo userou l'accès à l'root user. Nous vous recommandons d'agir en tant qu'non-root sudo user, cependant, car vous pouvez endommager votre système si vous ne faites pas attention lorsque vous agissez en tant que root.
Installer Passbolt sur AlmaLinux 8
Étape 1. Tout d'abord, commençons par nous assurer que votre système est à jour.
sudo dnf clean allsudo dnf update
Étape 2. Installation d'un serveur LEMP.
Avant d'installer Passbolt, un serveur Fedora LEMP est requis. Si vous n'avez pas installé LAMP, vous pouvez suivre notre guide ici.
Étape 3. Installation du compositeur PHP.
Exécutez la commande suivante pour télécharger le script d'installation du compositeur PHP :
php -r "copy('https://getcomposer.org/installer', 'composer-setup.php');"php -r "if (hash_file('sha384', 'composer-setup.php' ) ==='906a84df04cea2aa72f40b5f787e49f22d4c2f19492ac310e8cba5b96ac8b64115ac402c8cd292b8a03482574915d1a8') { echo 'Installateur vérifié'; } else { echo 'Installateur corrompu'; unlink('compreneur.php' Après cela, exécutez à nouveau la commande suivante pour installer le composeur PHP :
php composer-setup.phpsudo mv composer.phar /usr/bin/composer
Vérifiez le compositeur PHP :
sudo -u nginx composer --version
Ensuite, installez les extensions PHP GnuPG à partir du référentiel PHP Extension Community Library (PECL) :
pecl install gnupgecho "extension=gnupg.so"> /etc/php.d/gnupg.ini
Étape 4. Installer Passbolt sur AlmaLinux 8.
Par défaut, Passbolt n'est pas disponible sur le référentiel de base AlmaLinux 8. Maintenant, nous exécutons la commande suivante pour cloner la dernière version de Passbolt à partir de la page GitHub :
cd /var/www/git clone https://github.com/passbolt/passbolt_api.git passbolt
Nous devrons modifier certaines autorisations de dossiers :
sudo chown -R nginx:nginx /var/www/passbolt
Ensuite, accédez au répertoire d'installation de Passbolt et installez les dépendances PHP à l'aide de la commande PHP composer :
cd /var/www/passboltsudo -u nginx composer install --no-dev
Étape 5. Générer la clé GPG pour le serveur.
Nous générons maintenant une nouvelle clé GPG pour le serveur Passbolt :
gpg --gen-key
Sortie :
gpg (GnuPG) 2.2.20 ; Copyright (C) 2020 Free Software Foundation, Inc. Il s'agit d'un logiciel gratuit :vous êtes libre de le modifier et de le redistribuer. Il n'y a AUCUNE GARANTIE, dans la mesure permise par la loi. pour une boîte de dialogue de génération de clé complète.GnuPG doit créer un ID utilisateur pour identifier votre clé.Nom réel :godetAdresse e-mail :[email protected] avez sélectionné cet ID UTILISATEUR : "godet "Modifier (N )ame, (E)mail, ou (O)kay/(Q)uit ? ONous devons générer beaucoup d'octets aléatoires. C'est une bonne idée d'effectuer une autre action (taper au clavier, déplacer la souris, utiliser les disques) pendant la génération principale; cela donne au générateur de nombres aléatoires une meilleure chance de gagner suffisamment d'entropie. Nous devons générer beaucoup d'octets aléatoires. C'est une bonne idée d'effectuer une autre action (taper au clavier, déplacer la souris, utiliser les disques) pendant la génération principale; cela donne au générateur de nombres aléatoires une meilleure chance d'obtenir suffisamment d'entropie.gpg :clé 14F31ED1FBEBAD9A marquée comme ultimement fiablegpg :certificat de révocation stocké sous '/root/.gnupg/openpgp-revocs.d/BCD52DF829FF8F9408A2F1B214F31ED1FBEBAD9A.rev'clé publique et secrète créées et signées .Pub RSA2048 2022-03-26 [SC] [Expire:2024-03-26] GDT52DF829FF8F9408A2F1B214F31ED1FBEBABTCUID GODET SUB RSA2048 2022-03-26 [E] pré> Après cela, exportez la clé GPG vers le répertoire d'installation de Passbolt '/var/www/passbolt/config/gpg/ ' :
gpg --armor --export-secret-keys [email protected]> /var/www/passbolt/config/gpg/serverkey_private.ascgpg --armor --export [email protected]> /var/www /passbolt/config/gpg/serverkey.asc
*Remarque concernant vos informations clés GPG :
- Empreinte digitale : GDT52DF829FF8F9408A2F1B214F31ED1FBEBABTC
- E-mail :[email protected]
- Clé publique :serverkey.asc
- Clé privée :serverkey_private.asc
Ensuite, générez le répertoire GNUPG pour l'utilisateur Nginx à l'aide de la commande suivante :
sudo su -s /bin/bash -c "gpg --list-keys" nginx
Étape 6. Configuration de MariaDB.
Par défaut, MariaDB n'est pas renforcée. Vous pouvez sécuriser MariaDB à l'aide de mysql_secure_installation scénario. vous devez lire attentivement et en dessous de chaque étape qui définira un mot de passe root, supprimera les utilisateurs anonymes, interdira la connexion root à distance et supprimera la base de données de test et l'accès à MariaDB sécurisé :
mysql_secure_installation
Configurez-le comme ceci :
- Définir le mot de passe root ? [O/n] y- Supprimer les utilisateurs anonymes ? [O/n] y- Interdire la connexion root à distance ? [O/n] y- Supprimer la base de données de test et y accéder ? [O/n] y- Recharger les tables de privilèges maintenant ? [O/n] oui
Ensuite, nous devrons nous connecter à la console MariaDB et créer une base de données pour Passbolt. Exécutez la commande suivante :
mysql -u root -p
Cela vous demandera un mot de passe, alors entrez votre mot de passe root MariaDB et appuyez sur Entrée. Une fois que vous êtes connecté à votre serveur de base de données, vous devez créer une base de données pour Installation du verrou :
MariaDB [(none)]> CREATE DATABASE passbolt_db;MariaDB [(none)]> CREATE USER 'passbolt'@'localhost' IDENTIFIED BY 'your-strong-password';MariaDB [(none)]> ATTRIBUER TOUS LES PRIVILEGES ON passbolt_db.* TO 'passbolt'@'localhost' IDENTIFIED BY 'your-strong-password' WITH GRANT OPTION;MariaDB [(none)]> ALTER DATABASE passbolt_db charset=utf8;MariaDB [(none)]> FLUSH PRIVILEGES;MariaDB [(aucun)]> QUITTER ;
Étape 7. Configurez Nginx pour Passbolt.
Nous créons maintenant un fichier de configuration Nginx pour Passbolt :
export PASSBOLT=/var/www/passbolt/cd $PASSBOLTcp config/passbolt.default.php config/passbolt.phpnano config/passbolt.php
Modifiez le 'fullBaseUrl ‘ avec votre nom de domaine Passbolt :
'App' => [ // commentaire 'fullBaseUrl' => 'https://pass.votre-domaine.com', // commentaire.. ],
Ensuite, modifiez la configuration de la base de données :
// Configuration de la base de données. 'Datasources' => [ 'default' => [ 'host' => 'localhost', //'port' => 'non_standard_port_number', 'username' => 'passbolt', 'password' => 'votre-fort -password', 'database' => 'passbolt_db', ], ],
Après cela, copiez et collez votre empreinte digitale GPG et décommentez les options "public" et "privé" :
gpg' => [ // // COMMENTAIRE SUPPRIMÉ // 'serverKey' => [ // Empreinte de la clé privée du serveur. 'fingerprint' => '38E3736DD02860F8CBA57BB99C8B82A2C3A69BMW', 'public' => CONFIG . 'gpg' . DS. 'serverkey.asc', 'privé' => CONFIG . 'gpg' . DS. 'serverkey_private.asc', ],
Enregistrez et fermez le fichier, puis créez une nouvelle configuration de blocs de serveur Nginx :
nano /etc/nginx/conf.d/passbolt.conf
Ajoutez le fichier suivant :
serveur { écouter 80 ; nom_serveur pass.votre-domaine.com ; renvoie 302 https://$server_name$request_uri;}serveur { écoute 443 ssl http2 ; nom_serveur pass.votre-domaine.com ; racine /var/www/passbolt ; certificat_ssl /etc/letsencrypt/live/pass.votre-domaine.com/fullchain.pem ; clé_certificat_ssl /etc/letsencrypt/live/pass.votre-domaine.com/privkey.pem ; ssl_protocols TLSv1.2 ; ssl_prefer_server_ciphers activé ; ssl_ciphers ECDHE-RSA-AES256-GCM-SHA512:DHE-RSA-AES256-GCM-SHA512:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384 ; ssl_ecdh_curve secp384r1 ; # Nécessite nginx>=1.1.0 ssl_session_timeout 10 m ; ssl_session_cache partagé : SSL :10 m ; ssl_session_tickets désactivé ; # Nécessite nginx>=1.5.9 # ssl_stapling activé ; # Nécessite nginx>=1.3.7 # ssl_stapling_verify activé ; # Nécessite nginx => 1.3.7 résolveur 8.8.8.8 8.8.4.4 valid=300s ; résolveur_timeout 5s ; add_header X-Frame-Options DENY ; add_header X-Content-Type-Options nosniff ; add_header X-XSS-Protection "1 ; mode=bloc" ; emplacement / { try_files $uri $uri/ /index.php?$args ; index index.php; } emplacement ~ \.php$ { fastcgi_index index.php ; fastcgi_pass unix:/var/run/php-fpm/www.sock ; fastcgi_split_path_info ^(.+\.php)(.+)$; inclure fastcgi_params ; fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name ; fastcgi_param SERVER_NAME $http_host ; } emplacement ~* \.(jpe?g|woff|woff2|ttf|gif|png|bmp|ico|css|js|json|pdf|zip|htm|html|docx?|xlsx?|pptx?|txt| wav|swf|svg|avi|mp\d)$ { access_log off ; log_not_found désactivé ; try_files $uri /webroot/$uri /index.php?$args; }} Enregistrez et fermez le fichier, puis redémarrez le service Nginx pour que les modifications prennent effet :
nginx -tsudo systemctl redémarrer nginx
Enfin, démarrez l'installation de Passbolt à l'aide de la commande ci-dessous :
cd /var/www/passboltsudo su -s /bin/bash -c "./bin/cake passbolt install" nginx
Vous devriez obtenir le résultat suivant :
------------------------------------------------------------ ----------------Utilisateur enregistré avec succès. Pour commencer l'enregistrement, suivez le lien fourni dans votre boîte aux lettres ou ici :https://pass.votre-domaine.com/setup/install/f82227bc -b0b6-bmw-99a7-6b490a4ba262/5a112de0-e46-4e1b-97c8-26453ef120
Étape 8. Configurez le pare-feu.
Autorisez le pare-feu à HTTP et HTTPS et rechargez-le avec les commandes suivantes :
sudo firewall-cmd --permanent --zone=public --add-service=httpsudo firewall-cmd --permanent --zone=public --add-service=httpssudo firewall-cmd --reload
Étape 9. Accéder à l'interface Web de Passbolt.
Une fois l'installation réussie, ouvrez votre navigateur Web et accédez au Passbolt à l'aide de l'URL https://pass.your-domain.com/setup/install/f82227bc-b0b6-bmw-99a7-6b490a4ba262/5a112de0-e46-4e1b-97c8-26453ef120 . Vous serez redirigé vers la page suivante :
Félicitations ! Vous avez installé Passbolt avec succès. Merci d'avoir utilisé ce didacticiel pour installer le gestionnaire de mots de passe Passbolt sur votre système AlmaLinux 8. Pour obtenir de l'aide supplémentaire ou des informations utiles, nous vous recommandons de consulter le site Web officiel de Drupal .