Как установить Passbolt на Ubuntu 24.04

В этой статье мы рассмотрим процесс установки и первичной настройки Passbolt — open-source менеджера паролей, ориентированного на командную работу и использование в корпоративной среде. Passbolt позволяет централизованно хранить учётные данные, безопасно делиться паролями между сотрудниками и гибко управлять правами доступа.

В качестве операционной системы используется Ubuntu Server 24.04 LTS, уже установленная и готовая к работе. В рамках статьи мы обновим систему, установим все необходимые компоненты, развернём Passbolt, настроим веб-доступ и проверим корректность работы сервиса.

Предварительные требования

Для выполнения установки и настройки Passbolt потребуется:

• Установленный и минимально настроенный сервер Ubuntu 24.04 LTS.
• Доменное имя или hostname, указывающий на сервер, либо возможность доступа к серверу по статическому IP-адресу.
• Рабочий SMTP-сервер для отправки уведомлений и системных писем.
• Корректно настроенная служба NTP для синхронизации времени — это критично для корректной работы GPG и механизма аутентификации.

Рекомендуемые системные требования

• 2 CPU-ядра
• 2 ГБ оперативной памяти
• Не менее 20 ГБ свободного дискового пространства (HDD/SSD) для установки системы, хранения базы данных, ключей шифрования и логов Passbolt

Установка Passbolt

Перед добавлением репозитория Passbolt необходимо убедиться, что система обновлена и использует актуальные версии пакетов.

Шаг 1. Обновление системы

Обновляем список доступных пакетов и устанавливаем последние обновления для уже установленных компонентов:

sudo apt update -y
sudo apt upgrade -y

Для упрощения установки и последующего обновления Passbolt используется официальный пакетный репозиторий. Перед установкой Passbolt Community Edition необходимо добавить этот репозиторий в систему.

Шаг 2. Загрузка скрипта установки зависимостей

Скачиваем официальный скрипт, который добавляет репозиторий Passbolt и устанавливает необходимые зависимости:

curl -LO https://download.passbolt.com/ce/installer/passbolt-repo-setup.ce.sh

Шаг 3. Загрузка файла контрольных сумм

Далее загружаем файл с SHA512-хэшами для проверки целостности установочного скрипта:

curl -LO https://github.com/passbolt/passbolt-dep-scripts/releases/latest/download/passbolt-ce-SHA512SUM.txt

Шаг 4. Проверка целостности и запуск скрипта

Перед выполнением скрипта обязательно проверяем его контрольную сумму. В случае успешной проверки скрипт будет выполнен автоматически. Если проверка не пройдёт — установка будет прервана:

sha512sum -c passbolt-ce-SHA512SUM.txt && sudo bash ./passbolt-repo-setup.ce.sh || echo "Bad checksum. Aborting" && rm -f passbolt-repo-setup.ce.sh

На этом этапе в систему будет добавлен официальный репозиторий Passbolt, после чего можно переходить к установке самого приложения.

Шаг 5. Установка Passbolt из официального репозитория

После добавления репозитория Passbolt можно переходить к установке серверной части приложения.

Выполняем команду установки:

sudo apt install passbolt-ce-server

Во время выполнения команды пакетный менеджер apt проанализирует зависимости и выведет список пакетов, которые будут установлены. В него входят:

• сервер Passbolt Community Edition;
• веб-сервер и PHP-модули (PHP 8.3, php-fpm, расширения для работы с GPG, Redis, XML и т.д.);
• сервер базы данных MySQL 8.0 и клиентские утилиты;
• дополнительные системные и Perl-библиотеки, необходимые для корректной работы приложения.

В конце вывода apt отобразит сводную информацию:

• количество новых пакетов;
• объём загружаемых данных;
• дополнительное дисковое пространство, которое будет использовано после установки.

После этого система запросит подтверждение установки:

Do you want to continue? [Y/n]

На этом этапе необходимо ввести Y и нажать Enter, чтобы подтвердить установку и продолжить процесс. После подтверждения все необходимые пакеты будут автоматически загружены и установлены в систему.

Шаг 6. Настройка базы данных MySQL

В процессе установки пакета passbolt-ce-server запускается интерактивный мастер начальной настройки базы данных. Несмотря на то, что в официальной документации Passbolt часто упоминается MariaDB, в Ubuntu 24.04 по умолчанию устанавливается MySQL 8.0, и именно с ним выполняется дальнейшая настройка.

На этом этапе установочный скрипт сообщает, что он может автоматически:

• создать пустую базу данных для Passbolt;
• создать отдельного пользователя MySQL;
• выдать необходимые права доступа для работы приложения.

После этого отображается запрос:

Доступны два варианта ответа:

• Yes — автоматическое создание базы данных, пользователя и назначение прав доступа;
• No — ручная настройка базы данных (подходит для случаев, когда используется внешний сервер MySQL или требуется нестандартная конфигурация).

В рамках данной установки используется локальный MySQL-сервер, установленный вместе с Passbolt, поэтому на этом шаге выбираем Yes и продолжаем установку.

После подтверждения установочный скрипт самостоятельно выполнит все необходимые операции в MySQL, подготовив базу данных для дальнейшей работы Passbolt.

На следующем этапе мастер настройки Passbolt запрашивает учётные данные пользователя MySQL с достаточными правами для создания базы данных и управления пользователями.

На экране появляется запрос:

В большинстве стандартных установок MySQL в Ubuntu роль администратора выполняет пользователь root, поэтому в этом поле указываем:

После ввода имени пользователя подтверждаем выбор, нажав OK.

Далее мастер настройки запросит пароль пользователя MySQL. Если для пользователя root пароль не был задан (что возможно при локальной установке MySQL с аутентификацией через сокет), поле пароля можно оставить пустым и продолжить установку.

Указанные учётные данные будут использованы только для первоначальной инициализации: создания базы данных Passbolt, отдельного пользователя MySQL и назначения необходимых прав доступа. После завершения настройки эти данные больше не используются приложением.

После указания учётных данных администратора MySQL мастер установки предлагает создать отдельного пользователя базы данных, от имени которого Passbolt будет подключаться к MySQL.

На экране отображается запрос:

Здесь необходимо указать имя пользователя MySQL с ограниченными правами, предназначенного исключительно для работы Passbolt. В примере используется имя: passboltadmin

Рекомендуется использовать отдельного пользователя с минимально необходимыми привилегиями — это соответствует принципам безопасности и изоляции доступа.

Указанные имя пользователя и пароль будут использованы:

• для подключения Passbolt к базе данных;
• на этапе дальнейшей веб-настройки Passbolt через браузер.

Поэтому эти данные следует сохранить, так как они понадобятся на следующих шагах конфигурации.

После указания имени пользователя MySQL мастер установки предлагает задать пароль, который Passbolt будет использовать для подключения к базе данных.

На экране отображается запрос:

На этом шаге задаём пароль для пользователя базы данных. В примере используется следующий пароль: Qwerty123

После ввода пароля подтверждаем действие, нажав OK.

Далее мастер настройки запрашивает повторный ввод пароля для проверки корректности:

Необходимо ввести тот же самый пароль и подтвердить ввод. В случае несовпадения значений установка будет приостановлена до корректного ввода.

Указанный пароль будет использоваться Passbolt для подключения к MySQL и потребуется на этапе дальнейшей веб-настройки сервиса, поэтому его необходимо сохранить.

На завершающем этапе настройки базы данных мастер установки запрашивает имя базы данных, которую Passbolt будет использовать для хранения своих данных.

На экране отображается запрос:

В качестве имени базы данных указываем: passboltdb

После ввода имени подтверждаем выбор, нажав OK.

Указанная база данных будет автоматически создана на локальном MySQL-сервере, а ранее созданному пользователю будут назначены необходимые права доступа для работы Passbolt.

Шаг 7. Настройка веб-сервера Nginx

Для обработки HTTP- и HTTPS-запросов Passbolt требуется веб-сервер Nginx или Apache. В процессе установки мастер настройки предлагает автоматически сконфигурировать Nginx.

На экране отображается сообщение с предложением выполнить автоматическую настройку:

На данном этапе выбираем Yes, чтобы установочный скрипт самостоятельно подготовил конфигурацию Nginx для работы с Passbolt.

После подтверждения мастер переходит к настройке HTTPS. Для конфигурации TLS (SSL) предусмотрено несколько вариантов. В рамках данного шага используется автоматический режим настройки с получением сертификата от Let’s Encrypt, что позволяет быстро и безопасно включить HTTPS без ручной настройки сертификатов.

Этот вариант подходит для большинства стандартных установок и обеспечивает шифрование трафика между браузером и сервером Passbolt.

После подтверждения автоматической настройки Nginx мастер установки предлагает выбрать способ конфигурации SSL для сайта Passbolt.

На экране отображаются три варианта:

• none — отложить настройку SSL и выполнить её позже вручную;
• manual — использовать уже существующий SSL-сертификат и закрытый ключ;
• auto — автоматически выпустить сертификат через Let’s Encrypt.

В рамках данной установки используется готовый wildcard SSL-сертификат (сертификат, действующий сразу на поддомены вида *.example.com) и соответствующий ему закрытый ключ, поэтому выбираем вариант: manual

После подтверждения этого пункта мастер настройки предложит указать пути к файлам сертификата и приватного ключа, которые будут использованы в конфигурации Nginx для включения HTTPS.

На следующем этапе мастер настройки запрашивает доменное имя, по которому будет доступен веб-интерфейс Passbolt.

На экране отображается запрос:

В этом поле необходимо указать полное доменное имя (FQDN), которое будет использоваться для доступа к сервису. В рамках данной установки указываем: passbolt.itadminlab.ru

Доменное имя должно:

• указывать на IP-адрес сервера Passbolt;
• соответствовать используемому SSL-сертификату (в данном случае — wildcard-сертификату).

После ввода доменного имени подтверждаем выбор, нажав OK.

На следующем шаге мастер настройки запрашивает путь к SSL-сертификату, который будет использоваться Nginx для HTTPS.

На экране отображается запрос:

К этому моменту SSL-сертификат и закрытый ключ должны уже находиться на сервере. В данном примере сертификат заранее размещён в каталоге: /etc/ssl/certs/

Изначально доступны два файла:

• itadminlab.ru.crt — сертификат
• itadminlab.ru.key — закрытый ключ

Чтобы определить реальный формат сертификата (независимо от расширения файла), выполните команду:

file /etc/ssl/certs/itadminlab.ru.crt

Если вывод содержит:

PEM certificate

Значит сертификат уже в формате PEM и готов к использованию.

Если же сертификат окажется в формате DER, его необходимо сконвертировать в PEM следующим образом:

openssl x509 -inform DER \
-in /etc/ssl/certs/itadminlab.ru.crt \
-out /etc/ssl/certs/itadminlab.ru.pem

После этого в настройках Passbolt и Nginx следует указывать уже файл в формате PEM.

После проверки формата сертификата возвращаемся в окно мастера установки Passbolt и указываем путь к файлу SSL-сертификата.

В данном случае сертификат уже находится в формате PEM, несмотря на расширение .crt, поэтому никакой конвертации не требуется. В качестве файла fullchain указываем путь к существующему сертификату:

/etc/ssl/certs/itadminlab.ru.crt

После ввода пути подтверждаем действие, нажав OK.

На следующем этапе мастер настройки запрашивает путь к файлу закрытого ключа SSL-сертификата.

Отображается запрос:

В этом поле указываем путь к файлу закрытого ключа, соответствующего ранее выбранному сертификату: /etc/ssl/certs/itadminlab.ru.key

После ввода пути подтверждаем действие, нажав OK.

На этом этапе все необходимые параметры для настройки HTTPS заданы. Далее установочный скрипт автоматически продолжит процесс установки и конфигурации Passbolt. Остаётся дождаться завершения установки, после чего можно переходить к проверке работы сервиса и дальнейшей веб-настройке Passbolt.

После ввода всех необходимых параметров установочный скрипт автоматически завершает настройку Passbolt и его компонентов.

В процессе установки выполняются следующие действия:

• создаётся пара JWT-ключей, используемых Passbolt для аутентификации и работы API;
• формируется конфигурация веб-сервера Nginx с поддержкой HTTPS;
• завершается инициализация базы данных;
• автоматически перезапускаются необходимые системные службы.

При успешном завершении установки в консоли отображается сообщение:

Это означает, что серверная часть Passbolt установлена и настроена корректно.

На этом этапе установка на уровне операционной системы завершена. Далее необходимо перейти в браузер и открыть указанный URL для продолжения настройки Passbolt через веб-интерфейс.

Настройка Passbolt через веб-интерфейс

После завершения установки серверной части Passbolt необходимо выполнить первоначальную настройку приложения через веб-интерфейс.

Для этого в браузере открываем адрес сервера Passbolt: https://passbolt.itadminlab.ru

После перехода по указанному URL откроется стартовая страница Getting Started, с которой начинается веб-настройка Passbolt. На этом этапе выполняется инициализация приложения, создание первого администратора и завершение базовой конфигурации сервиса.

Шаг 1. Проверка окружения (Healthcheck)

После открытия веб-интерфейса Passbolt первым шагом запускается мастер первоначальной настройки. Начальная страница посвящена проверке готовности окружения (Healthcheck).

На этом этапе Passbolt автоматически проверяет:

• доступность и корректность конфигурации PHP;
• соединение с базой данных;
• настройки веб-сервера;
• работу GPG и JWT;
• корректность прав доступа к необходимым каталогам.

Если в ходе проверки будут обнаружены проблемы, они будут явно отображены на странице с пояснениями. Все выявленные ошибки необходимо устранить до продолжения настройки.

После того как все проверки пройдены успешно, нажимаем кнопку Start configuration для перехода к следующему шагу мастера настройки.

Шаг 2. Настройка подключения к базе данных

На следующем шаге мастера веб-настройки Passbolt необходимо указать параметры подключения к базе данных, которая была создана ранее в процессе установки.

На странице Database configuration заполняем следующие поля:

• Database connection URL - 127.0.0.1. Используется локальный MySQL-сервер, установленный на этом же сервере.
• Port - 3306. Стандартный порт MySQL.
• Username - passboltadmin
• Password - Qwerty123
• Database name - passboltdb

Все указанные значения должны полностью совпадать с параметрами, заданными ранее в консольном мастере установки Passbolt.

После заполнения всех полей нажимаем кнопку Next для продолжения настройки.

Шаг 3. Настройка GPG-ключа сервера (Server Keys)

На следующем этапе мастер настройки предлагает создать новый или импортировать существующий OpenPGP (GPG) ключ сервера. Данный ключ используется Passbolt API для аутентификации самого сервера во время процесса входа пользователей (login handshake) и является критически важным элементом безопасности.

Если ранее GPG-ключ для Passbolt не создавался, необходимо сгенерировать новый ключ.

На странице Create a new OpenPGP key for your server заполняем следующие поля:

• Server Name - Произвольное имя сервера, например: Passbolt Server
• Server Email - Email-адрес, который будет ассоциирован с GPG-ключом: Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в вашем браузере должен быть включен Javascript.
• Comment - Необязательное поле, можно оставить пустым.
• Key Type - Оставляем значение по умолчанию: RSA and DSA (default)
• Key Length - Рекомендуемая длина ключа: 3072

После заполнения всех параметров нажимаем кнопку Next.

Passbolt автоматически сгенерирует GPG-ключевую пару и сохранит её на сервере. Этот ключ будет использоваться для безопасного взаимодействия между клиентами и сервером Passbolt.

Если у вас уже существует ранее созданный GPG-ключ, на этом этапе можно выбрать вариант import и загрузить существующую ключевую пару.

Шаг 4. Основные параметры (Options)

На следующем этапе задаются базовые параметры работы Passbolt, связанные с адресом сервиса и использованием HTTPS.

На странице Options заполняем следующие поля:

• Full base URL - Указываем полный адрес, по которому Passbolt будет доступен пользователям: https://passbolt.itadminlab.ru

Этот URL используется Passbolt в тех случаях, когда адрес сервиса не может быть определён автоматически, например — в ссылках, отправляемых по электронной почте. Обратите внимание: адрес указывается без завершающего слэша.

• Force SSL - Выбираем значение: Yes
• Comment - Необязательное поле, можно оставить пустым.

Включение этого параметра означает, что Passbolt будет принимать соединения только по HTTPS и полностью блокировать доступ по незащищённому HTTP. Поскольку HTTPS уже настроен на уровне Nginx, включение этой опции является рекомендуемым и правильным решением с точки зрения безопасности.

После заполнения параметров нажимаем кнопку Next для перехода к следующему шагу настройки.

Шаг 5. Настройка почтового сервера (SMTP)

На данном этапе мастер настройки Passbolt запрашивает параметры SMTP-сервера для отправки служебных уведомлений и приглашений пользователям.

В рассматриваемом случае собственного почтового сервера нет, поэтому для отправки писем используется внешний почтовый сервис mail.ru.

На странице Email configuration заполняем следующие поля:

Основные параметры отправителя

• Sender name - Имя отправителя, которое будет отображаться в письмах: Admin Passbolt
• Sender email - Email-адрес отправителя: Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в вашем браузере должен быть включен Javascript.

Настройки SMTP-сервера

• SMTP host - Адрес SMTP-сервера: Admin
• Use TLS - Включаем защищённое соединение: Yes
• Port - Стандартный порт для SMTP с TLS: 587
• Authentication method - Метод аутентификации на почтовом сервере: Username & password
• Username - Учётная запись для аутентификации на SMTP-сервере: Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в вашем браузере должен быть включен Javascript.
• Password - Пароль от почтового ящика (вводится вручную).
• Client - Необязательное поле, можно оставить пустым.

Для mail.ru необходимо заранее создать отдельный пароль для SMTP по ссылке.

При создании пароля приложения нужно выбрать назначение: Только отправка писем в Почте (SMTP) и сгенерированный пароль указывается в поле Password.

В правой части страницы доступен блок Send test email, позволяющий проверить корректность SMTP-настроек.

Вводим email-адрес для тестовой отправки, например: Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в вашем браузере должен быть включен Javascript.

Нажимаем Send test email и убеждаемся, что письмо успешно доставлено.

После успешной проверки нажимаем Next для перехода к следующему шагу настройки.

Шаг 6. Создание первого пользователя (администратора)

На этом этапе выполняется создание первого пользователя Passbolt, который автоматически получает права администратора. Как правило, это учётная запись самого администратора системы.

На странице Create your user account заполняем данные администратора:

• First name - Pavel
• Last name - Lunin
• Username - Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в вашем браузере должен быть включен Javascript.

Указанный email будет использоваться для входа в систему, получения уведомлений и приглашений.

После заполнения всех полей нажимаем кнопку Next для продолжения настройки.

Шаг 7. Завершение установки

На этом этапе мастер настройки Passbolt сообщает об успешном завершении конфигурации.

Все необходимые параметры уже переданы системе, и Passbolt автоматически применяет настройки. Этот процесс занимает несколько секунд и не требует дополнительных действий со стороны пользователя.

После завершения конфигурации произойдёт автоматическое перенаправление на страницу дальнейшей настройки пользовательской учётной записи, где можно завершить инициализацию профиля и приступить к работе с Passbolt.

Настройка учётной записи администратора/h2>

Перед тем как продолжить работу с Passbolt, необходимо установить официальное браузерное расширение Passbolt. Оно используется для работы с шифрованием, хранения ключей и безопасного взаимодействия с сервером.

Шаг 1. Установка браузерного расширения

При первом входе в систему Passbolt отобразит страницу с предложением установить расширение браузера. В зависимости от используемого браузера будет предложена соответствующая версия расширения (например, для Google Chrome — через Chrome Web Store).

Если расширение уже установлено, можно сразу перейти к следующему шагу.

В противном случае нажимаем Скачать расширение, устанавливаем его в браузер и после установки обновляем страницу, чтобы Passbolt смог обнаружить расширение и продолжить настройку.

Шаг 2. Подтверждение установки браузерного расширения

После успешной установки браузерного расширения Passbolt система отобразит страницу с подтверждением.

На экране появится сообщение о том, что расширение Passbolt установлено и корректно обнаружено браузером. Это означает, что расширение готово к работе и может использоваться для дальнейшей настройки учётной записи администратора.

Для продолжения нажимаем кнопку Следующий, после чего Passbolt перейдёт к следующему этапу настройки пользователя.

Шаг 3. Создание пользовательского ключа

На этом этапе Passbolt предлагает создать или импортировать личный криптографический ключ пользователя, который будет использоваться для вашей идентификации и шифрования всех паролей.

Если у вас нет ранее созданного ключа, необходимо создать новый ключ.

Passbolt запросит установку парольной фразы для защиты вашего закрытого ключа. Эта парольная фраза является единственным паролем, который потребуется запомнить — она будет использоваться для расшифровки всех сохранённых в Passbolt данных.

Рекомендации при выборе парольной фразы:

• используйте длинную и сложную фразу;
• не применяйте пароли, используемые в других сервисах;
• храните парольную фразу в надёжном месте, так как восстановить её невозможно.

После ввода парольной фразы нажимаем кнопку Следующий для продолжения настройки.

Шаг 4. Загрузка набора восстановления (Recovery Kit)

На этом этапе Passbolt предлагает сохранить набор восстановления, содержащий ваш закрытый ключ. Этот шаг является обязательным и критически важным.

Набор восстановления используется для:

• восстановления доступа к учётной записи;
• переноса аккаунта на другое устройство;
• восстановления доступа в случае утери или поломки текущего компьютера.

Важно понимать, что:

• закрытый ключ — единственный способ расшифровать ваши пароли;
• если закрытый ключ будет утерян и при этом не сохранён набор восстановления, доступ к зашифрованным данным будет потерян навсегда, даже если парольная фраза известна.

Во время этого шага Passbolt автоматически загружает файл набора восстановления. Необходимо сохранить его в надёжном и безопасном месте (например, в защищённом хранилище или офлайн-носителе).

После сохранения файла устанавливаем флажок Я сохранил ключ в надёжном месте и нажимаем кнопку Следующий для продолжения настройки.

Шаг 5. Настройка токена безопасности

На этом шаге Passbolt предлагает задать токен безопасности — дополнительный механизм защиты, предназначенный для снижения риска фишинговых атак.

Токен безопасности состоит из:

• цвета, выбранного пользователем;
• трёх символов, которые задаются вручную или генерируются случайным образом.

Выбранный токен будет отображаться каждый раз при выполнении чувствительных операций, например при вводе парольной фразы. Это позволяет быстро убедиться, что форма ввода принадлежит именно вашему серверу Passbolt, а не поддельной странице.

На этом этапе:

• выбираем любой удобный цвет;
• вводим три символа (или используем вариант Случайно);
• после этого нажимаем кнопку Следующий для продолжения настройки.

Настройка токена безопасности завершает этап конфигурации пользовательской учётной записи администратора.

Шаг 6. Завершение настройки администратора

На этом этапе настройка учётной записи администратора Passbolt полностью завершена.

После выполнения всех предыдущих шагов происходит автоматический вход в систему, и открывается основной интерфейс Passbolt. Это означает, что:

• сервер Passbolt установлен и корректно настроен;
• учётная запись администратора создана;
• браузерное расширение подключено и работает;
• система готова к использованию.

В интерфейсе Passbolt можно приступать к созданию первых ресурсов (паролей), настройке рабочих пространств, добавлению пользователей и управлению доступом.

На этом установка и первичная настройка Passbolt завершены.

Заключение

В рамках этой статьи мы выполнили полную установку Passbolt на Ubuntu 24.04, настроили все необходимые компоненты, подключили HTTPS, базу данных и почтовые уведомления, а также создали и инициализировали учётную запись администратора.

На текущем этапе Passbolt полностью готов к работе: можно создавать первые ресурсы (пароли), настраивать рабочие пространства, добавлять пользователей и управлять доступами.

В следующих материалах мы подробно рассмотрим первичную настройку Passbolt в рабочей среде и повседневную работу с системой: создание ресурсов и папок, управление правами, работу с группами пользователей и лучшие практики использования Passbolt в команде.

Вам понравилась эта статья? Тогда вам, скорее всего, будет интересна другая полезная статья Passbolt: базовая настройка и начало работы.

Интересуешься IT и системным администрированием? Подпишись на SysAdminHub в телеграмм, чтобы узнавать обо всем первым — t.me/SysAdminHub