Der Raspberry Pi als Passwort-Server

Aus LinuxUser 04/2024

Der Raspberry Pi als Passwort-Server

© Ilia Shcherbakov / 123RF.com

Schlüsselkasten

Einzelne Passwortmanager auf jedem Arbeitsplatzrechner sind im Team wenig sinnvoll. Mit Passbolt verwalten und nutzen Sie Authentifizierungsdaten zentral auf einem Raspberry Pi.

Aufgrund von immer mehr zugangsgeschützten Diensten in lokalen Netzwerken wie auch im Internet haben Passwortmanager stark an Bedeutung gewonnen. Auch Unternehmen müssen die Zugangsdaten der Mitarbeiter zentral aufbewahren und verwalten, damit beispielsweise nach einem möglichen Ausscheiden von Angestellten Zugriff auf deren betriebliche Online-Konten bestehen bleibt. Mit einem Raspberry Pi und dem Passbolt-Server sichern Sie Authentifizierungsdaten zu Hause oder in der Firma zentral und erleichtern den Familienmitgliedern oder Mitarbeitern so den Zugang zu ihren Konten.

Der Passwortmanager Passbolt [1] konzentriert sich anders als die meisten Vertreter der Gattung nicht auf einzelne Personen, sondern auf den Einsatz mit mehreren Anwendern. Sie installieren das Programm problemlos auf einem Raspberry Pi oder auf einem herkömmlichen Server und stellen seine Ressourcen daraufhin allen Nutzern im lokalen Netz zur Verfügung. Auf den Clients erfordert Passbolt keine native zusätzliche Installation, da es eine Webschnittstelle mitbringt.

Der Passwortmanager kann Daten aus anderen Applikationen im- und exportieren sowie verschlüsseln. Den Passwort-Safe, in dem die Authentifizierungsdaten liegen, hosten Sie dabei inhouse, was gesonderte Sicherheitsmaßnahmen wie es bei Cloud-basierten Passwortmanagern überflüssig macht. Passbolt ermöglicht zudem durch Browser-Addons das bequeme Einloggen bei Webdiensten, ohne zuvor native Client-Software installieren zu müssen.

Durch ausgeklügelte Mechanismen wie das Bilden von Gruppen mit entsprechenden Zugriffsrechten lässt Passbolt sich hierarchisch konfigurieren, wenn beispielsweise im Unternehmen IT-Administratoren nur eine Abteilung betreuen. Überdies bietet die Software einen Passwortgenerator, wodurch leicht zu erratende und daher unsichere Authentifizierungsdaten der Vergangenheit angehören.

Einrichten

Der Passbolt-Server arbeitet äußerst ressourcenschonend. Als Basis genügt ein Raspberry Pi der vierten Generation vollkommen. In Sachen Hardwarevoraussetzungen [2] empfehlen die Entwickler einen Raspberry Pi mit einem Zweikernprozessor sowie 2 GByte RAM. Die minimalen Anforderungen liegen sogar noch darunter, sodass für kleinere Passbolt-Installationen ein RasPi 3 oder sogar 2 infrage kommt. Darüber hinaus benötigen Sie noch einen SMTP-Server, um E-Mail-Benachrichtigungen zu verschicken, und einen NTP-Dienst. Der Passbolt-Server für den Raspberry Pi braucht keinen zusätzlich installierten LAMP-Stack. Allerdings warten beim Installieren einige durch eine veraltete Dokumentation verursachte Stolpersteine. Die räumen Sie jedoch mit ein paar Kniffen aus dem Weg.

Zunächst transferieren Sie eine Variante des aktuellen Raspberry Pi OS auf eine MicroSD-Karte. Dabei können Sie auf die Version mit vollständiger Softwareausstattung verzichten, da Sie die Mehrzahl der mitgelieferten Programme für den Einsatz als Passwort-Server nicht benötigen. Nachdem Sie die MicroSD-Karte vorbereitet haben, starten Sie den RasPi und nehmen die Grundkonfiguration vor. Anschließend binden Sie den Passbolt-Server in das Betriebssystem ein. Die offizielle Dokumentation bringt Sie dabei allerdings nicht weiter, da sie veraltet ist und sich noch auf Debian 10 “Buster” bezieht.

Um den Passbolt-Server einzubinden, öffnen Sie im ersten Schritt die Datei /etc/apt/sources.list in einem Texteditor und fügen ihr den Eintrag aus der dritten Zeile von Listing 1 hinzu, um das Passbolt-Repository in die Paketverwaltung einzubinden. Das Repository ist zwar noch für Debian 10 vorgesehen, funktioniert aber genauso mit dem aktuellen Debian 12 “Bookworm”. Importieren Sie dann den Signaturschlüssel für das Repository mit dem Befehl aus Zeile 5 des Listings.

Listing 1

Schlüssel importieren und Pakete einbinden

$ sudo nano /etc/apt/sources.list
[...]
deb https:/download.passbolt.com/ce/debian buster stable
[...]
$ sudo apt-key adv --keyserver keys.gnupg.net --recv-keys 0xDE8B853FC155581D
$ sudo apt update
$ sudo apt install passbolt-ce-server

Als Nächstes aktualisieren Sie die Paketquellen (Zeile 6) und installieren alle benötigten Pakete (Zeile 7). Neben dem eigentlichen Server integriert die Routine auch diverse Abhängigkeiten ins System, wie eine lokale MariaDB-Datenbank und den Webserver Nginx. Zudem startet im Anschluss automatisch der Passbolt-Konfigurationsassistent. Dabei handelt es sich um eine Ncurses-Anwendung, die sämtliche erforderlichen Pakete in mehreren Schritten interaktiv vorkonfiguriert.

Dabei müssen Sie diverse Authentifizierungsdaten für die Datenbank definieren, die Sie für den Bedarfsfall notieren sollten. Zum Abschluss der Grundkonfiguration erscheinen eine entsprechende Statusmeldung und die URL zum Aufrufen des Passbolt-Servers. Letztere funktioniert nun von jeder Arbeitsstation im lokalen Netz aus. Der Passbolt-Server fordert Sie beim ersten Start erneut zum Konfigurieren auf (Abbildung 1).

Abbildung 1: Den Passbolt-Server konfigurieren Sie über eine webbasierte Routine.

Abbildung 1: Den Passbolt-Server konfigurieren Sie über eine webbasierte Routine.

Nach einem Klick auf den Schalter Get Started prüft die Routine die Einstellung der benötigten Komponenten. Ein Dashboard informiert Sie darüber, welche Komponenten noch nicht korrekt implementiert sind. Wenden Sie sich nach einem Mausklick auf Start Configuration den Details zu. Richten Sie zunächst den Zugang zur Datenbank ein und erzeugen Sie dann einen neuen OpenPGP-Schlüssel für den Server. Daraufhin geleitet Sie die Routine automatisch in den nächsten Dialog. Dort legen Sie die URL fest und geben an, ob zwingend eine SSL-Verbindung zum Server aufgebaut werden muss.

Des Weiteren hinterlegen Sie die E-Mail-Verbindungsdaten für den SMTP-Server und veranlassen dann das Senden einer Test-Mail, um sicherzugehen, dass die getroffenen Einstellungen funktionieren. E-Mails dienen unter anderem dazu, neue Benutzer auf den Passbolt-Server einzuladen und deren Konten zu aktivieren. Legen Sie nun einen neuen Benutzer an und verleihen Sie ihm Administratorrechte.

Danach integriert der Konfigurationsassistent die neuen Einstellungen in die Software und sendet Sie auf eine Webseite zum Herunterladen der benötigten Browser-Erweiterung. Die sorgt dafür, dass Sie beim Aufruf von Webseiten mit Authentifizierungsabfragen die entsprechenden Daten direkt aus Passbolt übernehmen und automatisiert in die entsprechenden Felder eintragen lassen können.

Schließen Sie den Reiter mit der Addon-Liste und laden Sie die Passbolt-Seite neu. Jetzt müssen Sie eine Passphrase zur Authentifizierung am Passbolt-Server auswählen. Die Routine legt anschließend ein Recovery-Kit an, das Sie als Datei an sicherer Stelle ablegen. Im Fall einer Havarie oder Neuinstallation des Systems benötigen Sie die Datei zum Wiederherstellen Ihres Passbolt-Kontos. Außerdem greifen Sie darauf zurück, wenn es gilt, neue Geräte mit Ihren Authentifizierungsdaten in die Passbolt-Infrastruktur zu integrieren.

Im letzten Schritt legen Sie ein Sicherheits-Token zum Schutz gegen Phishing-Attacken an. Nun haben Sie die Konfiguration abgeschlossen und können sich jetzt mit der zuvor vergebenen Passphrase bei Ihrem Passbolt-Server anmelden. Als Administrator landen Sie daraufhin in einer Verwaltungsoberfläche (Abbildung 2). Dort schalten Sie als Erstes unter Administration | Internationalisation | Language die Lokalisierung auf Deutsch um und speichern die neue Einstellung.

Abbildung 2: Die Administrationsoberfläche des Servers ist weitgehend selbsterklärend strukturiert.

Abbildung 2: Die Administrationsoberfläche des Servers ist weitgehend selbsterklärend strukturiert.

Gruppen und Benutzer

Passbolt ermöglicht, die Benutzer in Gruppen zu organisieren. Der Schalter Neu öffnet das Kontextmenü, in dem Sie eine Neue Gruppe anlegen. Danach definieren Sie in einem gesonderten Dialog den Gruppennamen und bestimmen den Gruppenmanager. Voreingestellt sind Sie als bislang einziger Nutzer der Gruppenmanager. Speichern Sie die neue Gruppe, erscheint sie links im Browserfenster in der vertikalen Leiste.

Benutzer fügen Sie analog hinzu und tragen Vor- und Nachnamen sowie die E-Mail-Adresse im dazugehörigen Dialog ein. Voreingestellt erhalten neue User lediglich Benutzerrechte; mithilfe eines Schiebereglers weisen Sie ihnen bei Bedarf administrative Rechte zu. Sobald Sie Speichern, integriert die Software den neuen Benutzer in das System und er erscheint im primären Fenster in der Anwenderliste. Damit der Nutzer Daten in Passbolt speichern kann, muss er allerdings zunächst mithilfe der beim Anlegen gesendeten Aktivierungs-E-Mail sein Konto freischalten (Abbildung 3).

Abbildung 3: Neue Benutzer erhalten eine Einladung zum Freischalten in der Passbolt-Instanz.

Abbildung 3: Neue Benutzer erhalten eine Einladung zum Freischalten in der Passbolt-Instanz.

Um die Anwender den Gruppen zuzuordnen, klicken Sie mit der rechten Maustaste auf die gewünschte Gruppe und wählen aus dem Kontextmenü den Eintrag Gruppe bearbeiten. Im folgenden Dialog tragen Sie im Feld Jemanden hinzufügen die Namen erfasster Benutzer ein. Das klappt aber nur, wenn die zu integrierenden Benutzer zuvor ihr Passbolt-Konto mithilfe der Aktivierungsnachricht freigeschaltet haben.

Nach dem Speichern der Änderungen an der Gruppe übernimmt Passbolt die neuen Benutzer in die Listenansicht des Dialogs. Neben dem Administrator, der die Gruppe angelegt hat, lassen sich weitere Mitglieder als Gruppenmanager angeben. Die Liste der aktiven Gruppenmitglieder sehen Sie nach einem Linksklick auf die jeweilige Gruppe (Abbildung 4).

Abbildung 4: Einzelne Anwender und Gruppenmitglieder listet Passbolt in Tabellenform auf.

Abbildung 4: Einzelne Anwender und Gruppenmitglieder listet Passbolt in Tabellenform auf.

Konfigurieren

Unter Verwaltung statten Sie einzelne Benutzer mit Zugriffsrechten aus. In der dazugehörigen Oberfläche finden Sie dazu verschiedene Konfigurationsoptionen. Öffnen Sie zunächst den Dialog Rollenbasierte Zugriffskontrolle unten in der vertikalen Leiste. Anschließend können Sie rechts in zwei Spalten Administratoren und Benutzern getrennt zahlreiche Rechte gewähren oder entziehen. Ein weiterer wichtiger Konfigurationsdialog verbirgt sich hinter der Kategorie E-Mail-Benachrichtigungen. Dort (de-)aktivieren Sie per Schieberegler zahlreiche Benachrichtigungen (Abbildung 5).

Abbildung 5: Auslöser für den Versand von E-Mails schalten Sie per Schieberegler ein oder aus.

Abbildung 5: Auslöser für den Versand von E-Mails schalten Sie per Schieberegler ein oder aus.

Benutzeroberfläche

Benutzer ohne Administratorrechte landen nach dem Einloggen in einer etwas veränderten Bedienoberfläche: Der Menüeintrag Verwaltung entfällt, und über Neu lassen sich ausschließlich neue Passwörter und Ordner anlegen. Mithilfe des Dialogs Neues Passwort | Ein Passwort erstellen legt ein User Authentifizierungsdaten für eine beliebige Webseite fest, ergänzt optional eine Beschreibung und sichert seine Aktionen. Dazu muss er oder sie das Nutzerpasswort eintippen. Erst danach erscheint der neue Authentifizierungseintrag in der Listenansicht des primären Fensters.

Anwender können darüber hinaus Passwörter untereinander freigeben (Abbildung 6). Dazu klicken sie auf den gleichnamigen Schalter und wählen in einem gesonderten Dialog die betreffenden Nutzer oder Gruppen. Voreingestellt können andere Anwender nur lesen, der Eigentümer des Passworts muss das Modifizieren explizit zulassen. Die Freigabe funktioniert allerdings erst, nachdem der Benutzer seine Passphrase erneut eingegeben hat.

Abbildung 6: Passwörter lassen sich für andere Nutzer oder Gruppen zugänglich machen.

Abbildung 6: Passwörter lassen sich für andere Nutzer oder Gruppen zugänglich machen.

Darüber hinaus können Anwender Passwörter in der Listenansicht exportieren. Nach einem Mausklick auf den passenden Schalter fragt die Software nach dem Dateinamen der zu exportierenden Passwörter. Passbolt exportiert die Daten anschließend in das KeePassXC-Format, sodass sie sich in anderen Anwendungen einlesen und weiterverarbeiten lassen. Die Funktion zum Löschen von Passwörtern aus der Liste findet sich untere Weitere. Sie stehen jedoch lediglich Eigentümern zur Verfügung, nicht aber lediglich leseberechtigten Anwendern.

Erweiterung

Damit Sie jederzeit ohne umständliche Dialoge in der Verwaltungsoberfläche von Passbolt Authentifizierungsdaten in das System einpflegen können, bieten die Entwickler zwei Browser-Erweiterungen an. Sie lassen sich in Firefox [3] oder Chromium [4] und deren Derivaten integrieren und gestatten ein bequemes Verwalten und Anlegen von Authentifizierungsdaten für einzelne Webseiten.

Um neue Authentifizierungsdaten mithilfe der Erweiterung in das Passbolt-System einzupflegen, erscheint beim Aufruf einer geschützten Website rechts im Eingabefeld für den Benutzernamen ein rotes Quadrat mit einem weißen Schlüssel. Nach einem Klick darauf öffnet sich ein kleines Fenster, in dem Sie die Option Neue Zugangsdaten erstellen auswählen.

Im nächsten Dialog geben Sie Ihre Zugangsdaten ein. Während die URL bereits korrekt voreingestellt ist, müssen Sie die übrigen Authentifizierungsdaten sowie den Namen der betreffenden Seite manuell ergänzen. Sobald Sie Speichern, schließt sich das Fenster, und Sie sehen einen kleineren Dialog mit den Zugangsdaten in verkürzter Form. Um die zuvor gespeicherten Daten zur Authentifizierung zu nutzen, bestätigen Sie mittels auf dieser Seite verwenden. Passbolt übernimmt die Credentials gleichzeitig in die Listenansicht der Verwaltungsoberfläche.

Rufen Sie später diese zugangsgeschützte Seite erneut auf, öffnet sich nach einem Klick auf das rote Quadrat mit dem weißen Schlüssel ein Fenster mit dem Namen der Seite. Ein weiterer Mausklick darauf überträgt die auf dem Passbolt-Server gespeicherten Authentifizierungsdaten in die entsprechenden Felder der Webseite, und Sie können sich Anmelden.

Fazit

Mit dem Passbolt-Server gehört im heimischen Netzwerk oder in Teams in der Firma die Zettelwirtschaft mit Authentifizierungsdaten endgültig der Vergangenheit an. Dabei legt Passbolt besonderes Augenmerk auf die Sicherheit des Servers: So fragt die Anwendung beispielsweise regelmäßig bei der manuellen Eingabe von Authentifizierungsdaten das Nutzerpasswort ab, dasselbe gilt für Freigaben. Versucht jemand, sich mit einem bereits von einer anderen Person genutzten Webbrowser beim Passbolt-Server anzumelden, erfordert die Freischaltung dessen persönlichen Schlüssel, der beim Anlegen jedes neuen Benutzers generiert und in einer Datei abgelegt wird. Besitzt die Person ihn nicht, schlägt das Anmelden fehl. (csi)

DIESEN ARTIKEL ALS PDF KAUFEN
EXPRESS-KAUF ALS PDF
LinuxUser 04/2024 KAUFEN
EINZELNE AUSGABE
ABONNEMENTS
TABLET & SMARTPHONE APPS
E-Mail Benachrichtigung
Benachrichtige mich zu:

Hinweis: Dieser Artikel ist älter als ein Jahr, enthaltene Informationen sind möglicherweise veraltet.

0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben