Die Anzahl der Passwörter im Tagesalltag nimmt stetig zu. Wer mit mehreren Endgeräten arbeitet, stößt mit Lösungen wie Keepass schnell an seine Grenzen. Passbolt ist eine ideale Lösung für Raspberry & Co.
Die Entwickler von Passbolt vertreiben ihre Lösung als AGPL-Lizenz. Damit besteht selbst bei den kommerziellen Varianten voller Einblick in den Sourcecode und die Option, diesen weiterzuentwickeln oder in eigenen Lösungen zu verwenden. Durch diesen Ansatz ist es gelungen, eine vertrauenerweckende Anwendung zu schaffen, die im kommerziellen Umfeld in mehr als 15 000 Unternehmen im Einsatz ist.
Die kostenfreie Community-Edition (CE) ist zu hundert Prozent Open Source. Die Entwickler bieten sie vorkonfiguriert für zahlreiche Linux-basierte Plattformen an, unter anderem für Ubuntu, Debian oder Fedora. Wir haben uns für die Raspberry-Variante entschieden, da diese sehr einfach im Netzwerk zu betreiben ist.
Passbolt bietet für Einzelnutzer oder eine kleine Gruppe eine interessante Alternative zu lokalen Lösungen wie Keepass an. Planen Sie, einen heimischen Passbolt-Server auch über das Internet zu nutzen, sollten Sie für sichere Datenübertragung die Absicherung mittels Zertifikats implementieren.
Voraussetzungen und Installation
Die Hardwareanforderungen sind minimalistisch: Es werden lediglich zwei GB RAM sowie ein Prozessor mit zwei Kernen benötigt. Damit kommen fast alle Raspberry-Modelle in Frage. Wir nutzen hier einen Raspberry Pi 4, hatten die Installation und den Betrieb im Vorfeld jedoch auch mit einem Modell 3 problemlos ausführen können.
Für die Installation von Passbolt sind zahlreiche Pakete notwendig. Damit Sie sich nicht zu sehr um Abhängigkeiten kümmern müssen, stellen die Entwickler verschiedene Scripts zur Verfügung, welche diese Aufgaben vereinfachen. Mit den folgenden Befehlen installieren Sie Passbolt CE auf Ihrem Raspberry Pi. Sie können diese Befehle auch von der Website www.passbolt.com/ce/ubuntu kopieren:
curl -LO https://download.passbolt.com/ce/installer/passbolt-repo-setup.ce.sh
curl -LO https://github.com/passbolt/passbolt-dep-scripts/releases/latest/download/passbolt-ce-SHA512SUM.txt
sha512sum -c passbolt-ce-SHA512SUM.txt && sudo bash ./passbolt-repo-setup.ce.sh || echo "Bad checksum. Aborting" && rm -f passbolt-repo-setup.ce.sh
sudo apt install passbolt-ce-serverDanach beginnt das Installationsprogramm eigenständig, die noch fehlenden Komponenten einzurichten. Als Erstes benötigen Sie eine Datenbank – Passbolt setzt dafür Maria DB ein. Der Assistent installiert für Sie Maria DB, legt eine leere Datenbank an und fragt Sie nach dem Namen und dem Passwort für das Administratorkonto.
Im nächsten Schritt benötigen Sie ein Konto mit normalen Benutzerrechten, welches Passbolt für die Lese- und Schreibzugriffe auf die Datenbank benötigt. Dieses wird im späteren Verlauf noch einmal benötigt, weshalb Sie sich den gewählten Benutzernamen und das zugehörige Passwort gut merken sollten. Zum Abschluss legen Sie mit Hilfe des Assistenten noch den Namen der Datenbank fest, in der Ihre Zugangsdaten abgelegt werden – auch diese kommt noch einmal im späteren Verlauf zum Einsatz.
Für die Verwaltung der gespeicherten Benutzer- und Passwortkombinationen nutzt Passbolt eine Weboberfläche, für den Zugriff wird somit noch ein Webserver benötigt. An dieser Stelle setzen die Entwickler auf Nginx, der ebenfalls über das Script konfiguriert wird. Falls Sie den Passwortsafe nach außen hin verfügbar machen, empfehlen wir Ihnen den Einsatz einer sicheren Verbindung. Hierfür können Sie sich mittels Assistenten direkt ein Let’s-Encrypt-Zertifikat anlegen lassen. Dafür benötigen Sie während der Installation bereits die Ziel-URL, unter welcher Ihr Passwortsafe erreichbar sein soll. Alternativ lässt sich das Zertifikat auch jederzeit nachträglich auf dem Webserver installieren. Eine detaillierte Anleitung finden Sie in der Onlinehilfe von Passbolt (https://tinyurl.com/yn9yrm4f).
Haben Sie die Konfiguration von Passbolt über die Kommandozeile abgeschlossen, erhalten Sie eine Erfolgsmeldung und können die Installation im Browser über die Weboberfläche unter der IP-Adresse des Raspberry Pi abschließen.
Konfiguration über die Weboberfläche
Beim ersten Aufruf der URL durchlaufen Sie insgesamt acht Schritte, bis der Passwortmanager endgültig einsatzbereit ist. Beim „System check“ sehen Sie, ob Ihre vorherigen Aktivitäten erfolgreich waren. Falls Sie bei Nginx kein SSL-Zertifikat angelegt haben, erscheint der entsprechende Punkt jetzt gelb hinterlegt.
In Schritt 2 geben Sie die Verbindung zur Datenbank an – die IP-Adresse ist 127.0.0.1 (sofern Sie lokal am Raspberry arbeiten), bei Benutzer, Passwort und Datenbankname tragen Sie die Werte ein, die Sie bei der Installation festgelegt haben. Für die Verschlüsselung auf dem Server benötigen Sie einen GPG-Key für die Verschlüsselung.
Geben Sie noch eine Kontakt-E-Mail an und legen Sie den Servernamen fest. Zum Senden von E-Mails benötigen Sie noch ein SMTP-fähiges Postfach, dessen Daten Sie in Schritt 5 eintragen. Ob alles korrekt eingetragen ist, lässt sich mit einer Testmail prüfen. Für den Zugriff auf die Weboberfläche benötigen Sie ein Benutzerkonto, das Sie an dieser Stelle anlegen. Danach werden alle Einstellungen umgesetzt und die Datenbank angelegt.
Browser-Plug-in und Passwortverwaltung
Die Integration von Passbolt in Chromium und Firefox geschieht mittels Plug-in. Dieses finden Sie in den Erweiterungen (Add-ons) mit der Suche nach „Passbolt“. Installieren Sie es im Browser Ihrer Wahl und legen Sie ein Kennwort fest, mit dem Sie im weiteren Verlauf Zugriff auf Ihr Postfach haben. In diesem Schritt wird auch ein Recovery-Kit generiert, welches die einzige Möglichkeit darstellt, Ihr Konto wiederherzustellen, falls Sie Ihr Passwort einmal vergessen sollten. Bewahren Sie dieses also an einem sicheren Ort auf. Danach legen Sie noch ein Symbol fest, welches angezeigt wird, wenn Sie das Kennwort eingeben müssen. Dies soll Ihr Konto vor einem Phishing-Angriff schützen.
Damit haben Sie die Kontoeinrichtung abgeschlossen und sehen die Oberfläche von Passbolt. Als Administrator haben Sie neben dem Menü zur Verwaltung der Passwörter noch zwei weitere, in denen Sie neue Benutzer oder Gruppen anlegen und die Installation von Passbolt verwalten.
Die Anlage einer neuen Benutzer- und Passwortkombination erledigen Sie entweder direkt im Browser über das zuvor installierte Plug-in oder auf der Passbolt-Webseite im Menü „Passwörter“. Haben Sie eine Website aufgerufen, zu der es bereits einen hinterlegten Benutzer gibt, lässt sich dieser direkt samt Passwort in die dafür vorgesehenen Felder einfügen.