CTI - PassBolt

Sistema para gerenciamento de senhas.

Considerações Gerais

Na Instalação realizada em 16/05/2025 foi utilizado o Sistema Operacional Ubuntu 24.04.2 LTS e a versão do PassBolt 5.0

A opção pelo S.O Ubuntu Server se deu devido ao seu longo suporte, até 2029, e pela característica da Canonical de manter seus pacotes em versões mais recentes, comparado ao Debian. O PassBolt passa por constantes atualizações de segurança sendo ideal que o S.O ofereça os pacotes mais recentes dos recursos necessários para sua execução como php, apache, mysql ou mariadb etc.

No Virtualizado Proxmox PVEP foi criado uma VM (137) chamada PassBolt com as configurações da imagem abaixo:

imagempassbolt.jpg

Também foi adicionado no processo de backup e redundância de backup em disco USB.
O IP de acesso da VM é 10.116.50.60 e nome da maquina passou a ser PassBolt com acesso também podendo ser realizado por pass.ti.srt.ifsp.edu.br

Portanto, em 16/05/2025, foi feita uma nova instalação do PassBolt e os passos para um futura nova instalação ou atualização podem ser consultados nas paginas desse livro.

Instalação

Abaixo segue o passo a passo a ser executado para concluir a instalação do PassBolt. Foram seguidas orientações do portal oficial do PassBolt que pode ser acessado no link: https://www.passbolt.com/docs/hosting/install/ce/ubuntu/https://glpi-install.readthedocs.io/pt/latest/

1. Atualizar o Sistema Operacional
sudo apt update && sudo apt dist-upgrade -y

2. Configurar e ativar o qemu-guest-agent do proxmox
apt install qemu-guest-agent
service qemu-guest-agent start
service qemu-guest-agent status

3. Configurar a placa de rede do ubuntu
Edite o arquivo /etc/netplan/50-cloud-init.yaml conforme imagem abaixo
configuracao da plcaca de rede.jpg

netplan apply

4. Reconfigurar o timezone
sudo dpkg-reconfigure tzdata

5. Reiniciar para aplicar as configurações
sudo shutdown -r now

6. Instalação de dependências do PassBolt

curl -LO https://download.passbolt.com/ce/installer/passbolt-repo-setup.ce.sh

7. Download do script de instalação SHA512SUM

curl -LO https://github.com/passbolt/passbolt-dep-scripts/releases/latest/download/passbolt-ce-SHA512SUM.txt

8. Verificação do script de instalação

sha512sum -c passbolt-ce-SHA512SUM.txt && sudo bash ./passbolt-repo-setup.ce.sh || echo "Bad checksum. Aborting" && rm -f passbolt-repo-setup.ce.sh

9. Instalar o PassBolt

sudo apt install passbolt-ce-server

Seguir os passos e orientações que surgirem na tela para instalação do banco de dados maria-db com especificações dos usuários e do nome do banco de dados. Anotar essas informações pois será necessário utilizar na configuração inicial via web.

Ao término da instalação será solicitado para configurar o servidor https nginx. Escolha para não fazer a configuração nesse momento.

10. Configurar nginx para server HTTPS
Para utilizar o Let1s Encrypt é necessário que o PassBolt possua um dominio publico. Por questão de segurança ele terá apenas acesso interno a rede do campus. Sendo assim, não será possivel o uso do Let's Encypt.
Será utilizado um certificado SSL auto assinado que será gerado via OpenSSL.

Como usuário root, insira o comando abaixo para gerar os dois arquivos necessários para configuração do HTTPS.

openssl req -x509 \
-newkey rsa:4096 \
-days 720 \
-subj "/C=BR/ST=São Paulo/L=Sertãozinho/O=IFSP/OU=CTI/CN=pass.ti.srt.ifsp.edu.br" \
-nodes \
-addext "subjectAltName = DNS:pass.ti.srt.ifsp.edu.br" \
-keyout key.pem \
-out cert.pem \

Anote o local onde foram salvos os dois arquivos key.pem e cert.pem pois será necessário para configuração.

Essa etapa acima pode ser realizada antes da instalação do PassBolt propriamente dita, mas seguindo as orientações do site oficial, foi realizado posteriormente.

Execute o comando abaixo para reconfigurar o PassBolt.

sudo dpkg-reconfigure passbolt-ce-server

Pule a opção do banco de dados respondendo Não para não reconfigura-lo.
Escola SIM para configurar o nginx
Escolha a opção "manual"
Insira o domínio da aplicação: pass.ti.srt.ifsp.edu.br
Insira o caminho completo do arquivo cert.pem
Insira o caminho completo do arquivo key.pem
Reinicie o serviço com o comando: systemctl reload nginx

11. Concluindo a configuração via Web
Acesso a pagina https:\\pass.ti.srt.ifsp.edu.br para iniciar a configuração.

Inicie a configuração clicando em Get Stared!
imagem1.jpg
Na proxima pagina verifique se todo os itens estão em cor verde indicando que tudo está ok para prosseguir.
imagem2.jpg
Em Database Configuration realize a configuração abaixo
mysql://: 127.0.0.1 - porta 3306
Username: passboltadmin
Password: senha
Database name: passboltdb

Create a new OpenPGP key for your sever
Server Name: pass
Server E-mail: cti.srt@ifsp.edu.br
Key Type: RSA and DSA (default)
Key Length: 3072

Options
Full base url: https://pass.ti.srt.ifsp.edu.br
Force SSL: Yes

Email configuration
Sender name: IFSP campus Sertãozinho Passbolt
Sender email: suporte.cti.srt@ifsp.edu.br

SMTP server configuration
SMTP host: smtp.gmail.com
Use TLS: Yes
Port: 587
Authentication method: Username & Password
Username: suporte.cti.srt@ifsp.edu.br
Password: senha

Create your user account
Crie a conta do administrador.

Apos esse passo sera realizado a conclusão da instalaçao.

Baixe o plugin do passbolt no navegador e siga as instruções para o primeiro acesso.

 

 

 

 




 

 

 

Atualização

Utilização

Um administrador fica responsavel por enviar um convite para ingresso ao sistema.
Ao receber o convite para ingressar no sistema de gerenciameto de senhas será necessário cadastrar uma senha e salvar o kit de recovery para realizar o acesso em outro sistema operacional, caso seja necessario.

Tambem é necessário instalar a extensao do passbolt no navegador utilizado.

O processo é bem simples. Ao entrar em um site que possua registro no sistema de senhas, o campu de login aparecera um indicador do passbolt onde é possivel escolhe qual credencial utilizar.

O Sistema permite o compartilhamento de senhas entre os membros e tambem a criação de senhas pessoais/privadas que são gerenciadas individualmente por cada usuário. Essas senhas não são acessessiveis por outros usuários.