У меня пара сотен аккаунтов на разных сайтах, и я хочу, чтобы они хранились в безопасном месте. Запомнить все пары логинов и паролей не вариант, хранить все в телефоне рискованно тем, что если я потеряю аппарат, то вместе с ним потеряю и все доступы.

На работе мы пользуемся корпоративным менеджером паролей. Это реально удобно: надо запомнить всего один логин и один пароль. Я подумал развернуть для себя нечто подобное для личных доступов. Решил попробовать Passbolt, его функций мне вполне достаточно, и положить его на виртуальную машину в облаке, чтобы иметь доступ к паролям, где бы я ни находился.

В статье собрал пошаговую инструкцию, как я это делал и сколько мне это стоило. Будет интересно тем, кто начинает погружаться в облако: на моем примере можно и сервисы изучить, и решить вполне прагматичную задачу.

Три важные вводные. Я не буду использовать функционал, позволяющий делиться паролями из хранилища, поэтому эту часть не затрагиваю. Еще я не сравнивал разные сервисы, в базе они одинаковые, просто остановился на Passbolt. И еще: я работаю в Cloud.ru, поэтому виртуальную машину разворачиваю здесь. Все можно повторить в любом другом облаке, сервисы и порядок шагов будет такой же, а вот цена скорей всего будет отличаться.

Другие менеджеры паролей тоже можно развернуть на виртуальной машине в облаке, но у них будет другой процесс установки — надо смотреть документацию. У Passbolt большая дока, правда, на английском — пригодится, если захотите прям кастомизировать настройки менеджера под себя.

Что я буду делать и какие сервисы подключать

Разверну виртуальную машину в облаке — ту, что с free tier. Это виртуалка c 2 vCPU, 4 ГБ RAM и 30 ГБ SSD NVMe, которая стоит 0 рублей. Машина бесплатная, но с ограничением: поменять конфигурацию я не смогу, но в моем сценарии этого и не нужно делать.

Подключу к виртуальной машине публичный IP-адрес, чтобы у меня был доступ к менеджеру паролей через интернет и я мог зайти в него откуда угодно, где есть связь. Free tier у этого сервиса нет, за него придется платить в любом случае, но там всего 147 рублей в месяц.

Подключу бесплатный сервис nip.io, чтобы получить публичное доменное имя для моей виртуальной машины и сертификат, потому что своего доменного имени и SSL-сертификата у меня нет.

Установлю Passbolt в бесплатной версии на виртуальную машину и настрою к нему доступ.

Шаг 1. Зарегистрироваться в облаке

Я вхожу в личный кабинет Cloud.ru под моей учетной записью, новому пользователю сначала придется зарегистрироваться.

Шаг 2. Создать виртуальную машину

Мне нужна бесплатная виртуальная машина, чтобы она создалась, баланс в личном кабинете должен быть положительный.

Неочевидный и, честно говоря, неудобный момент в том, что в личном кабинете нет кнопки Создать виртуальную машину с free tier. Нужно начать создавать обычную ВМ и там кликнуть на кнопку Получить ВМ бесплатно, после этого уже попадаешь в интерфейс создания виртуальной машины с free tier (об этом написано в заголовке).

В разделе цены, кстати, будет не 0, а 146,88 рублей, потому что публичный IP по умолчанию включен и у него нет free tier.

Какие я задаю параметры:

• В поле Название пишу имя виртуальной машины.

• В разделе Образ выбираю Ubuntu 22.04.

• Конфигурация виртуальной машины уже задана, поменять вычислительные ресурсы не получится, только если создать новую ВМ, но уже без free tier.

• Опцию Подключить публичный IP оставляю включенной. Для своей ВМ я арендую и назначу прямой публичный IP.

• В разделе Авторизация пользователя пишу свой логин и выбираю метод аутентификации Пароль.

• В разделе Дополнительные параметры системы пишу имя виртуальной машины, по которому ее можно идентифицировать в сети.

Иду на страницу сервиса Виртуальные машины и проверяю список:

• моя ВМ passbolt-server отображается,

• она в статусе Запущена,

• ей назначен публичный IP-адрес.

Шаг 3. Настроить группу безопасности

Иду в главное меню и выбираю сервис Группы безопасности. Мне нужно настроить правила фильтрации трафика: разрешить весь входящий трафик по порту 443 (HTTPS) и весь исходящий трафик. Кликаю на Создать группу безопасности и задаю параметры:

• Выбираю ту же зону доступности, в которой размещена моя виртуальная машина passbolt-server. Посмотреть, в какой зоне доступности находится виртуальная машина, можно на общей странице, где отображается весь список ВМ:

  

• Пишу название группы безопасности.

• Добавляю правила входящего и исходящего трафика

Правила входящего трафика:

1. Правило 1:
   a.     Протокол — TCP
   b.     Порт — 443
   c.     Тип источника — IP-адрес
   d.     Источник — 0.0.0.0/0

2. Правило 2:
   a.     Протокол — TCP
   b.     Порт — 80
   c.     Тип источника — IP-адрес
   d.     Источник — 0.0.0.0/0

Правила исходящего трафика:

a. Протокол — любой
b. Порт — оставьте пустым
c. Тип адресата — IP-адрес
d. Адресат — 0.0.0.0/0

Теперь мне надо назначить эту группу безопасности моей виртуальной машине с free tier:

• Иду в главное меню и кликаю на Виртуальные машины.

• Нажимаю на ВМ passbolt-server и перехожу на вкладку Сетевые параметры.

• В правом верхнем углу нажимаю на три точки и выбираю Инфраструктура → Виртуальные машины.

• В поле Группы безопасности выбираю нужную в списке и нажимаю Сохранить.

• Возвращаюсь на страницу Виртуальные машины в раздел Сетевые параметры — группа безопасности passbolt-server отображается, хорошо.

Шаг 4. Установить Passbolt

Я буду настраивать виртуальную машину через серийную консоль в браузере, мне так удобно:

• Подключаюсь к ВМ passbolt-server.

• Обновляю индекс пакетов ОС и устанавливаю обновления:

sudo apt update -y
sudo apt upgrade -y

• Скачиваю и запускаю скрипт настройки репозиториев Passbolt:

wget "https://download.passbolt.com/ce/installer/passbolt-repo-setup.ce.sh"
wget https://github.com/passbolt/passbolt-dep-scripts/releases/latest/download/passbolt-ce-SHA512SUM.txt
sha512sum -c passbolt-ce-SHA512SUM.txt && sudo bash ./passbolt-repo-setup.ce.sh  || echo \"Bad checksum. Aborting\" && rm -f passbolt-repo-setup.ce.sh

Мне вышло сообщение, что настройка репозиториев завершена успешно, идем дальше.

Устанавливаю Passbolt:

• Я создал доменное имя вида {Публичный_IP-адрес_виртуальной_машины_passbolt-server}.nip.io. Если у вас есть собственный домен, можете самостоятельно создать доменное имя, выпустить SSL-сертификат и использовать его. У меня такого нет, поэтому я пользуюсь сервисом nip.io.

• Конфигурирую параметры установки:

echo passbolt-ce-server passbolt/mysql-configuration boolean true | sudo debconf-set-selections
  echo passbolt-ce-server passbolt/mysql-passbolt-username string pb_user | sudo debconf-set-selections
  echo passbolt-ce-server passbolt/mysql-passbolt-password password P@ssw0rd | sudo debconf-set-selections
  echo passbolt-ce-server passbolt/mysql-passbolt-password-repeat password P@ssw0rd | sudo debconf-set-selections
  echo passbolt-ce-server passbolt/mysql-passbolt-dbname string passbolt | sudo debconf-set-selections
  echo passbolt-ce-server passbolt/nginx-configuration boolean true | sudo debconf-set-selections
  echo passbolt-ce-server passbolt/nginx-configuration-three-choices select auto | sudo debconf-set-selections
  echo passbolt-ce-server passbolt/nginx-domain string 176.109.108.146.nip.io | sudo debconf-set-selections

В ``P@ssw0rd`` задайте пароль.

• Устанавливаю Passbolt:

sudo DEBIAN_FRONTEND=noninteractive apt-get install passbolt-ce-server -y

Перехожу по домену в браузере, там отображается мастер настройки Passbolt.

Шаг 5. Настройка Passbolt

• Открываю в браузере {Публичный_IP-адрес_виртуальной_машины_passbolt-server}.nip.io.

• Нажимаю Get started.

• Проверяю поля в открывшемся окне и нажимаю Start configuration.

• Заполняю параметры базы данных:

Database connection url — localhost.
Username — pb_user.
Password — пароль, который указал, когда создавал виртуальную машину.
Database name — passbolt.

• Нажимаю Next.

• Заполняю поля на странице Create a new OpenPGP key for your server:

Server Name — пишу произвольное имя сервера.
Server Email— здесь будет моя почта.

• Перехожу на вкладку Emails и указываю параметры почтового сервера (их я посмотрел в документации почтового провайдера).

• Нажимаю Next.

• Заполняю обязательные поля на странице Admin user details: First name, Last name, Username.

• Нажимаю Next.

• Дожидаюсь завершения настройки Passbolt.

Теперь настрою административный аккаунт:

• Когда настройка завершится, появится окно с предложением установить расширение для браузера — скачиваю и устанавливаю его.

• Создаю новый ключ. Passbolt просит создать или импортировать ключ, который я буду потом использовать для идентификации и шифрования паролей. Ключ должен быть защищен паролем.

• Загружаю комплект восстановления. Это необходимый шаг, потому что мой ключ — единственный способ получить доступ к учетной записи и паролям. Если я его потеряю, то с ним потеряю и доступ к моим данным, парольная фраза здесь уже не поможет.

• Определяю токен безопасности. Выбор цвета и трех символов — вторичный механизм безопасности, он поможет митигировать фишинговые атаки. Каждый раз, когда я буду выполнять критичные операции, например, при запросе парольной фразы, я буду видеть этот токен.

Все, моя учетная запись администратора настроена, система перенаправляет меня на страницу входа в Passbolt. Проверяю, что я могу:

• создать пароль в браузере,

• при переходе на сайты заполнить внесенные пароли через расширение браузера,

• подключить приложение на мобильном телефоне к моему серверу Passbolt.

Что в итоге

Я установил и настроил собственный безопасный менеджер паролей на виртуальной машине в облаке, у меня это заняло полчаса на все. У тех, кто будет делать это впервые, времени уйдет, конечно, побольше, где-то час-полтора. По идее трудностей в процессе быть не должно, но, если что, в инструкции есть ссылки на документацию.

Честно, я не пробовал развертывать менеджер паролей в других облаках, но сервисы и порядок шагов там будет такой же. А вот цена за само облако может быть другая. В облаке Cloud.ru такое решение стоит 147 рублей в месяц — оплата только за публичный IP. Бесплатных виртуальных машин в других облаках, насколько я знаю, нет. Но там могут быть другие бонусы.