Einzelne Passwortmanager auf jedem Arbeitsplatzrechner sind im Team wenig sinnvoll. Mit Passbolt verwalten und nutzen Sie Authentifizierungsdaten zentral auf einem Raspberry Pi.
Aufgrund von immer mehr zugangsgeschützten Diensten in lokalen Netzwerken wie auch im Internet haben Passwortmanager stark an Bedeutung gewonnen. Auch Unternehmen müssen die Zugangsdaten der Mitarbeiter zentral aufbewahren und verwalten, damit beispielsweise nach einem möglichen Ausscheiden von Angestellten Zugriff auf deren betriebliche Online-Konten bestehen bleibt. Mit einem Raspberry Pi und dem Passbolt-Server sichern Sie Authentifizierungsdaten zu Hause oder in der Firma zentral und erleichtern den Familienmitgliedern oder Mitarbeitern so den Zugang zu ihren Konten.
Der Passwortmanager Passbolt [1] konzentriert sich anders als die meisten Vertreter der Gattung nicht auf einzelne Personen, sondern auf den Einsatz mit mehreren Anwendern. Sie installieren das Programm problemlos auf einem Raspberry Pi oder auf einem herkömmlichen Server und stellen seine Ressourcen daraufhin allen Nutzern im lokalen Netz zur Verfügung. Auf den Clients erfordert Passbolt keine native zusätzliche Installation, da es eine Webschnittstelle mitbringt.
Der Passwortmanager kann Daten aus anderen Applikationen im- und exportieren sowie verschlüsseln. Den Passwort-Safe, in dem die Authentifizierungsdaten liegen, hosten Sie dabei inhouse, was gesonderte Sicherheitsmaßnahmen wie es bei Cloud-basierten Passwortmanagern überflüssig macht. Passbolt ermöglicht zudem durch Browser-Addons das bequeme Einloggen bei Webdiensten, ohne zuvor native Client-Software installieren zu müssen.
Durch ausgeklügelte Mechanismen wie das Bilden von Gruppen mit entsprechenden Zugriffsrechten lässt Passbolt sich hierarchisch konfigurieren, wenn beispielsweise im Unternehmen IT-Administratoren nur eine Abteilung betreuen. Überdies bietet die Software einen Passwortgenerator, wodurch leicht zu erratende und daher unsichere Authentifizierungsdaten der Vergangenheit angehören.
Einrichten
Der Passbolt-Server arbeitet äußerst ressourcenschonend. Als Basis genügt ein Raspberry Pi der vierten Generation vollkommen. In Sachen Hardwarevoraussetzungen [2] empfehlen die Entwickler einen Raspberry Pi mit einem Zweikernprozessor sowie 2 GByte RAM. Die minimalen Anforderungen liegen sogar noch darunter, sodass für kleinere Passbolt-Installationen ein RasPi 3 oder sogar 2 infrage kommt. Darüber hinaus benötigen Sie noch einen SMTP-Server, um E-Mail-Benachrichtigungen zu verschicken, und einen NTP-Dienst. Der Passbolt-Server für den Raspberry Pi braucht keinen zusätzlich installierten LAMP-Stack. Allerdings warten beim Installieren einige durch eine veraltete Dokumentation verursachte Stolpersteine. Die räumen Sie jedoch mit ein paar Kniffen aus dem Weg.
Zunächst transferieren Sie eine Variante des aktuellen Raspberry Pi OS auf eine MicroSD-Karte. Dabei können Sie auf die Version mit vollständiger Softwareausstattung verzichten, da Sie die Mehrzahl der mitgelieferten Programme für den Einsatz als Passwort-Server nicht benötigen. Nachdem Sie die MicroSD-Karte vorbereitet haben, starten Sie den RasPi und nehmen die Grundkonfiguration vor. Anschließend binden Sie den Passbolt-Server in das Betriebssystem ein. Die offizielle Dokumentation bringt Sie dabei allerdings nicht weiter, da sie veraltet ist und sich noch auf Debian 10 “Buster” bezieht.
Um den Passbolt-Server einzubinden, öffnen Sie im ersten Schritt die Datei /etc/apt/sources.list in einem Texteditor und fügen ihr den Eintrag aus der dritten Zeile von Listing 1 hinzu, um das Passbolt-Repository in die Paketverwaltung einzubinden. Das Repository ist zwar noch für Debian 10 vorgesehen, funktioniert aber genauso mit dem aktuellen Debian 12 “Bookworm”. Importieren Sie dann den Signaturschlüssel für das Repository mit dem Befehl aus Zeile 5 des Listings.
Listing 1
Schlüssel importieren und Pakete einbinden
$ sudo nano /etc/apt/sources.list [...] deb https:/download.passbolt.com/ce/debian buster stable [...] $ sudo apt-key adv --keyserver keys.gnupg.net --recv-keys 0xDE8B853FC155581D $ sudo apt update $ sudo apt install passbolt-ce-server
Als Nächstes aktualisieren Sie die Paketquellen (Zeile 6) und installieren alle benötigten Pakete (Zeile 7). Neben dem eigentlichen Server integriert die Routine auch diverse Abhängigkeiten ins System, wie eine lokale MariaDB-Datenbank und den Webserver Nginx. Zudem startet im Anschluss automatisch der Passbolt-Konfigurationsassistent. Dabei handelt es sich um eine Ncurses-Anwendung, die sämtliche erforderlichen Pakete in mehreren Schritten interaktiv vorkonfiguriert.
Dabei müssen Sie diverse Authentifizierungsdaten für die Datenbank definieren, die Sie für den Bedarfsfall notieren sollten. Zum Abschluss der Grundkonfiguration erscheinen eine entsprechende Statusmeldung und die URL zum Aufrufen des Passbolt-Servers. Letztere funktioniert nun von jeder Arbeitsstation im lokalen Netz aus. Der Passbolt-Server fordert Sie beim ersten Start erneut zum Konfigurieren auf (Abbildung 1).
Abbildung 1: Den Passbolt-Server konfigurieren Sie über eine webbasierte Routine.
Nach einem Klick auf den Schalter Get Started prüft die Routine die Einstellung der benötigten Komponenten. Ein Dashboard informiert Sie darüber, welche Komponenten noch nicht korrekt implementiert sind. Wenden Sie sich nach einem Mausklick auf Start Configuration den Details zu. Richten Sie zunächst den Zugang zur Datenbank ein und erzeugen Sie dann einen neuen OpenPGP-Schlüssel für den Server. Daraufhin geleitet Sie die Routine automatisch in den nächsten Dialog. Dort legen Sie die URL fest und geben an, ob zwingend eine SSL-Verbindung zum Server aufgebaut werden muss.
Des Weiteren hinterlegen Sie die E-Mail-Verbindungsdaten für den SMTP-Server und veranlassen dann das Senden einer Test-Mail, um sicherzugehen, dass die getroffenen Einstellungen funktionieren. E-Mails dienen unter anderem dazu, neue Benutzer auf den Passbolt-Server einzuladen und deren Konten zu aktivieren. Legen Sie nun einen neuen Benutzer an und verleihen Sie ihm Administratorrechte.
Danach integriert der Konfigurationsassistent die neuen Einstellungen in die Software und sendet Sie auf eine Webseite zum Herunterladen der benötigten Browser-Erweiterung. Die sorgt dafür, dass Sie beim Aufruf von Webseiten mit Authentifizierungsabfragen die entsprechenden Daten direkt aus Passbolt übernehmen und automatisiert in die entsprechenden Felder eintragen lassen können.
Schließen Sie den Reiter mit der Addon-Liste und laden Sie die Passbolt-Seite neu. Jetzt müssen Sie eine Passphrase zur Authentifizierung am Passbolt-Server auswählen. Die Routine legt anschließend ein Recovery-Kit an, das Sie als Datei an sicherer Stelle ablegen. Im Fall einer Havarie oder Neuinstallation des Systems benötigen Sie die Datei zum Wiederherstellen Ihres Passbolt-Kontos. Außerdem greifen Sie darauf zurück, wenn es gilt, neue Geräte mit Ihren Authentifizierungsdaten in die Passbolt-Infrastruktur zu integrieren.
