Site Oficial: https://www.passbolt.com/
Aqui temos um passo-a-passo para instalar e executar o Passbolt no seu NAS da Synology, um excelente gerenciador de senhas focado para equipes. Caso queira, pode pular diretamente para as etapas, senão, continue lendo para mais detalhes.
Introdução
O Passbolt é um gerenciador de senhas direcionado para empresas ou equipes mas que pode ser muito bem usado por indivíduos em busca de um gerenciador robusto e seguro. Do próprio site do Passbolt, ele descreve como “construído para colaboração. Seguro, flexível e pronto para automação”.
O sistema em si parece muito sólido, mas devido ao seu foco em ser usado para empresas e equipes facilitando o compartilhamento de senhas e garantindo um ecossistema seguro, em termos de recursos para o usuário comum ele está um pouco para trás com relação a competição. Para mim existem dois pontos cruciais que o Passbolt não faz:
- Não existe entrada de senhas ocasionais (OTP): para quem já usa um gerenciador de senhas, provavelmente tem configurado em suas contas o “autenticação em duas etapas”, onde um aplicativo gera um código/token de uso único para pode acessar o site desejado. Infelizmente com o Passbolt você não tem como salvar o OTP, ou seja, não poderá usar ele para gerar as senhas ocasionais.
- Não existe campos customizados: os gerenciadores de senhas hoje em dia estão fazendo muito mais que simplesmente guardando nossas senhas, estão guardando notas, documentos entre outras informações muito importantes que merecem serem guardadas em um cofre acessível. No caso do Passbolt, ele não tem como adicionar campos no formulário da geração de senha. Apenas o que está presente é o que pode ser inserido.
Esse dois pontos acima para mim são cruciais e o principal motivo para não usar no dia-a-dia o Passbolt. Eu uso meu gerenciador de senha para guardar números de documentos como CPF, Passaportes, habilitação, etc. Coloco também dados do meu banco, com agência, conta, número do banco, etc. No meu gerenciador, posso criar um item e inserir todas essas informações nele só. No caso do Passbolt isso não é possível, tendo que criar um item para cada um dos documentos citados acima, ou seja, ainda é possível usá-lo para isso, mas seria mais trabalhoso.
Apesar de ser trabalhoso não é um motivo real para não usar, correto? Afinal existe meios de fazer tudo isso que falei no Passbolt, mas no caso da senha ocasional, realmente não é possível. O Passbolt não tem suporte para isso e como uso sempre, ter a possibilidade de inserir direto no navegador sem ter que pegar o meu celular para ver o código já adianta muito o meu tempo.
Agora, para a instalação do Passbolt temos alguns pré-requisitos a cumprir – temos que instalar os seguintes componentes ou tê-los instalado para o funcionamento correto da imagem, visto que ele não possui um banco de dados próprio integrado:
- MariaDB 10
- phpMyAdmin
Vou incluir no processo abaixo para facilitar o fluxo do trabalho. Caso já os tenha instalado, pode pular para o Passo 3 – Configurando o banco de dados.
Instalação
Passo 1 – Instalando MariaDB
A instalação do MariaDB é muito simples e direto, sem necessidade de muitas explicações. Basta ir no “Centro de Pacotes”, procurar por MariaDB 10 e clicar no botão “Instalar”.
Depois é só seguir o processo de instalação, selecionando o “Criar um novo banco de dados”:
Em seguida, por questões de segurança, pode escolher uma nova senha para o banco de dados e uma porta também.
Passo 2 – Instalando phpMyAdmin
Uma vez concluída a instalação do MariaDB, procure no “Centro de Pacotes” por phpMyAdmin e clique em “Instalar”:
É possível que ao tentar instalar, o sistema o avise que irá precisar instalar outros pacotes (no meu caso o Web Station, mas no seu pode haver outros), mas, independente dos pacotes que ele peça clique em “Sim” e prossiga com a instalação de todos.
Passo 3 – Configurando o Banco de Dados
Uma vez concluída, clique em “Abrir” o phpMyAdmin, e em seguida faça o login com os dados usados ao instalar o MariaDB (Passo 1). Ao entrar no aplicativo, irá aparecer a seguinte página, clique em “Novo” para adicionar um novo banco de dados e em seguida coloque um nome para o novo banco de dados e clique em “Criar”:
Uma vez criado, clique nele na lista de BD à esquerda, depois selecione “Privilégios” e em seguida “Adicionar conta de utilizador”:
Crie o usuário escolhendo um nome, gerando uma senha e depois clicando em “Executar” no final da página:
Um aviso confirmando a criação do usuário aparecerá no topo da página:
Pronto, com o banco de dados configurado podemos agora prosseguir com o Passbolt.
Passo 4 – Criando as pastas
Crie uma pasta dentro da pasta compartilhada “Docker” e nomeie-a de “passbolt” (todo minúsculo mesmo) e em seguida uma pasta dentro de passbolt com o nome de “jwt” e outra “gpg”:
Passo 5 – Baixando a imagem
Abra o Docker e clique em “Registro”. Procure por “passbolt”, selecione a imagem “passbolt/passbolt” e clique para baixá-la, mas é importante selecionar a última versão com o final “-CE”, no caso de hoje seria o “3.5.0-CE”:
Passo 6 – Organizando os parâmetros
A instalação do Passbolt exige que alguns parâmetros sejam definidos, mas além do mínimo, vou acrescentar mais dois. Obtendo o script de instalação podemos organizar ele assim:
docker run --name passbolt \
-p 80:80 \
-p 443:443 \
-e DATASOURCES_DEFAULT_HOST=<mariadb_container_host> \
-e DATASOURCES_DEFAULT_PASSWORD=<mariadb_password> \
-e DATASOURCES_DEFAULT_USERNAME=<mariadb_user> \
-e DATASOURCES_DEFAULT_DATABASE=<mariadb_database> \
-e APP_FULL_BASE_URL=https://mydomain.com \
passbolt/passbolt:develop-debianComo pode ver, ele possui uma estrutura mínima para a instalação. Vamos organizar e complementar esse script para ter algo mais completo, altere os valores em azul com os do seu sistema:
docker run -d --name passbolt \
--restart=always \
-p 4000:80 \
-p 4001:443 \
-e DATASOURCES_DEFAULT_HOST=192.161.1.1 \
-e DATASOURCES_DEFAULT_PORT=3306 \
-e DATASOURCES_DEFAULT_PASSWORD=nJAISdh237dh(*&Dg \
-e DATASOURCES_DEFAULT_USERNAME=usuario_passbolt \
-e DATASOURCES_DEFAULT_DATABASE=passbolt \
-e APP_FULL_BASE_URL=https://passbolt.my.synology.me \
-v /volume1/docker/passbolt/gpg:/etc/passbolt/gpg \
-v /volume1/docker/passbolt/jwt:/etc/passbolt/jwt \
passbolt/passbolt:3.5.0-ce
sudo chown 33:33 /volume1/docker/passbolt/gpg
sudo chown 33:33 /volume1/docker/passbolt/jwtOs valores em azul são apenas demonstrativos e devem ser substituídos pelos valores reais do seu sistema.
Os dois comandos finais (SUDO) são para migrar a posse das pastas para o sistema do Passbolt. Sem essa migração, o aplicativo não irá conseguir criar as chaves de encriptação.
Existem mais parâmetros que permitem configurar muitos aspectos do Passbolt e os acima são o suficiente para a grande maioria, mas, caso queira se aventurar pode ir pro site oficial e verificar se não existe nenhum outro que possa te beneficiar.
Passo 7 – Criando e executando a tarefa de instalação
Com a imagem já baixada e as pastas criadas nos passos anteriores, podemos agora abrir o “Painel de Controle” e entrar em “Programador de Tarefas”:
Em seguida selecione para “Criar > Tarefa agendada > Script definido pelo usuário”, siga os passos das imagens abaixo e insira o script de migração de instalação (definido no passo anterior).
É importante marcar a opção de “Enviar detalhes” e colocar o seu email, pois é com essa notificação que você irá saber se tudo correu corretamente. Caso tenha algum erro, tente novamente as tarefas SUDO sozinhas, sem os comandos anteriores. Caso algum erro persista, tem que ver o que deu errado e tentar resolver, pois as permissões são importantes para o uso do aplicativo. O aviso abaixo irá aparecer antes de concluir a criação da tarefa. Apenas clique em “Ok” que estará tudo pronto.
Com a tarefa criada, podemos agora executá-la. Não esqueça que para que ela seja realmente processada ela tem que ser agendada para uma data futura, senão, não será executada visto que o tempo de sua ativação já passou.
Passo 8 – Crie o usuário
Agora temos que criar o usuário. O Passbolt faz de uma forma diferente, temos que fazê-lo por um script, novamente pelo programador de tarefas. Do site obtivemos o seguinte script:
docker exec passbolt su -m -c "bin/cake passbolt register_user -u your@email.com -f yourname -l surname -r admin" -s /bin/sh www-dataNele teremos que editar e configurar com os parâmetros do nosso sistema:
docker exec passbolt su -m -c "bin/cake passbolt register_user -u seu.email@aqui.com -f Nome -l Sobrenome -r admin" -s /bin/sh www-dataInsira o código acima com os seus dados no programador como descrito abaixo:
É importante marcar a opção de “Enviar detalhes” e colocar o seu email, pois é com essa notificação que você irá receber o link para a conclusão da criação do usuário:
Clique no link fornecido e comesse a configuração do seu primeiro acesso. Primeiro vai pedir para instalar a extensão de Passbolt para o seu navegador, em seguida vai solicitar criação de senha e segurança e pronto. Abaixo está o fluxo do procedimento:
Configurando acesso externo
Passo 9 – Pré-requisitos
Para os passos seguintes, de modo a não divergir muito do foco aqui deste post, vou assumir que:
- Já tenha feito/configurado o DDNS do seu Synology.
- Já tenha feito/configurado o roteamento de portas para o seu Synology.
Configurar o DDNS é simples e direto e também obrigatório para seguir os passos adiante. Já o roteamento de portas pode ser feito depois (não terá o acesso externo, mas ao menos já terá feito 70% do necessário e depois só precisará rotear as portas).
Passo 10 – Configurando o Proxy-Reverso
Abra o “Painel de Controle” e clique em “Portal de login”:
Selecione a aba “Avançado” e em seguida clique em “Proxy reverso”:
Depois clique em “Criar”:
Para a etapa seguinte vou assumir alguns valores para facilitar a compreensão do passo:
- DDNS = my.synology.me
- IP do Synology = 192.161.1.1
- Porta do Passbolt = 4000
Com os parâmetros acima como exemplo, podemos preencher os campos do proxy reverso assim:
Note que coloquei “passbolt” antes do DDNS. Esse vai ser o endereço ao qual você usará para acessar o Passbolt. A “Porta” da seção “Origem” com valor 443 deve ser mantido, pois será pelo roteamento dessa porta que você terá acesso ao Passbolt pela internet. Fique atento a todos os campos acima. Volto a dizer que os valores são meramente demonstrativos (exceto a porta 443) para que facilite o input com os valores reais do seu sistema. As outras abas não são necessárias alterar, mas pode fazê-lo ao seu critério. Agora clique em “Salvar” e vamos adiante.
Passo 11 – Obtendo o certificado para HTTPS
Agora no “Painel de Controle”, clique em “Segurança” e siga para a aba “Certificado”. Nela clique em “Adicionar”:
Depois selecione “Adicionar um novo certificado” e clique em “Avançar”:
Selecione “Obter um certificado do Let’s Encrypt” e clique em “Avançar”:
Insira agora o “nome do host” que você escolheu (Passo 10) e coloque-o no “nome de domínio” e clique em “Concluído”:
Continuando na aba “Certificados”, você poderá verificar que terá pelo menos dois certificados presentes:
- Certificado do DDNS do seu sistema.
- Certificado recém criado para o Passbolt (como exemplo: passbolt.my.synology.me)
Agora clique em “Configurações”. Aparecerá uma janela com serviços aos quais usam o DDNS. Vá para o serviço com o endereço do Passbolt e selecione o certificado correspondente e clique em “OK”:
Pronto, seu Passbolt já está instalado e configurado para ser acessado externamente. Divirta-se!
Observações
Segue algumas observações que acho interessante compartilhar sobre esse processo:
- O procedimento de instalação do Passbolt pode ser todo através do GUI do pacote de Docker no Synology, ele não tem nenhuma restrição ou limitação quanto a isso, mas o procedimento de migração de “posse” das pastas tem que ser através do script. Se tiver demanda para o passo-a-passo pelo GUI, entre em contato que farei um só nesse formato.
- Qualquer ajuda para a manutenção desse site é muito bem vinda: Contribuições.
TN Tech Page 