Hướng Dẫn Tự Host Trình Quản Lý Mật Khẩu Passbolt Trên Raspberry Pi

Trong kỷ nguyên số, việc quản lý mật khẩu an toàn cho cả gia đình là một thách thức không nhỏ. Khi các mối đe dọa trực tuyến ngày càng tinh vi, việc sử dụng mật khẩu dễ đoán hoặc chia sẻ chúng một cách bất cẩn có thể dẫn đến những hậu quả nghiêm trọng. Đây là lý do tại sao một trình quản lý mật khẩu mã nguồn mở trở nên thiết yếu. Bài viết này sẽ hướng dẫn bạn cách tự host Passbolt trên Raspberry Pi, một giải pháp mạnh mẽ và an toàn, giúp bạn kiểm soát hoàn toàn dữ liệu mật khẩu trong mạng gia đình.

Passbolt là một lựa chọn lý tưởng cho những ai muốn tự quản lý mật khẩu, đặc biệt là khi muốn khuyến khích các thành viên trong gia đình sử dụng mật khẩu mạnh hơn và chia sẻ chúng một cách an toàn mà không cần gửi ra ngoài mạng nội bộ. Đây là một bước thử nghiệm tuyệt vời trước khi bạn cân nhắc các dịch vụ quản lý mật khẩu trả phí. Bạn có thể sử dụng Passbolt để lưu trữ và chia sẻ mật khẩu cho các thiết bị cơ bản như máy tính, router, TV, hồ sơ Netflix, các dịch vụ tự host và nhiều tài khoản trực tuyến khác. Để tiết kiệm chi phí, việc triển khai Passbolt trên một Raspberry Pi 4B với 4GB RAM là hoàn toàn khả thi.

Yêu Cầu Chuẩn Bị Trước Khi Cài Đặt Passbolt

Để bắt đầu quá trình cài đặt và vận hành Passbolt, bạn cần chuẩn bị một số phần cứng và phần mềm cơ bản. Việc đảm bảo các yêu cầu này sẽ giúp quá trình cài đặt diễn ra suôn sẻ và ổn định.

Các thành phần bạn cần:

• Raspberry Pi: Ít nhất 2GB RAM (khuyến nghị Raspberry Pi 4B 4GB RAM trở lên để có hiệu suất tốt).
• Thẻ nhớ MicroSD: Dung lượng 16GB hoặc 32GB.
• Máy chủ Nginx: Cần được cài đặt và chạy trên Raspberry Pi của bạn.
• Hệ điều hành: Passbolt khuyến nghị cài đặt trên một máy chủ sạch, chỉ với các phụ thuộc tối thiểu. Tác giả đã sử dụng Raspbian Pi OS Lite (64-bit) ở chế độ headless (không giao diện đồ họa) trên Pi 4. Nếu bạn sử dụng các bản phân phối Linux khác, hãy điều chỉnh các lệnh và cú pháp cho phù hợp.

Việc thiết lập Tailscale sẽ giúp quá trình quản lý Passbolt dễ dàng và an toàn hơn, đặc biệt nếu bạn muốn truy cập và quản lý hệ thống từ xa. Tailscale cung cấp một mạng riêng ảo (VPN) an toàn, đơn giản để kết nối các thiết bị của bạn.

Một người đang cầm Raspberry Pi, minh họa cho việc cài đặt máy chủ headless

Bước 1: Tạo Chứng Chỉ SSL Cho Raspberry Pi Của Bạn

Sử dụng HTTPS với chứng chỉ SSL là điều bắt buộc đối với một trình quản lý mật khẩu nhằm đảm bảo bảo mật tuyệt đối, ngay cả khi bạn truy cập cục bộ. Passbolt yêu cầu nghiêm ngặt việc sử dụng HTTPS. Mặc dù có thể sử dụng chứng chỉ tự ký, nhưng các trình duyệt sẽ liên tục hiển thị lỗi “Không an toàn”.

May mắn thay, nếu bạn đã có Tailscale chạy trên Raspberry Pi, bạn có thể dễ dàng kích hoạt HTTPS cho Passbolt. Điều quan trọng là bạn phải sử dụng tên máy cụ thể như nó xuất hiện trong cấu hình Tailscale để tạo chứng chỉ SSL.

Để tìm tên máy từ bảng điều khiển Tailscale:

1. Đăng nhập vào trang web chính thức của Tailscale bằng thông tin đăng nhập của bạn.
2. Từ Tailscale Dashboard, nhấp vào tên máy mà bạn muốn tạo chứng chỉ SSL.

Hướng dẫn nhấp vào tên máy trên Bảng điều khiển Tailscale để lấy thông tin

3. Ghi lại Full Domain (Tên miền đầy đủ) của máy đó.

Sao chép Tên Miền Đầy Đủ (Full Domain) của máy từ Tailscale để tạo chứng chỉ SSL

Sau đó, mở terminal trên Raspberry Pi của bạn và tạo một thư mục chuyên dụng:

mkdir certs

Tiếp theo, di chuyển vào thư mục đó:

cd ./certs

Bây giờ, chạy lệnh sau để sử dụng Tailscale tạo chứng chỉ SSL cho máy của bạn:

Giao diện Terminal hiển thị lệnh tạo chứng chỉ SSL bằng Tailscale

tailscale cert <machine-name>.<tailnet>.ts.net

Trong lệnh này, hãy thay thế <machine-name> và <tailnet> bằng các giá trị của Full Domain mà bạn đã ghi lại trước đó.

Khi Tailscale đã tạo xong chứng chỉ và khóa, hãy đảm bảo rằng chúng có thể truy cập được bởi người dùng ‘www-data’ của Nginx. Bạn có thể cấp quyền bằng các lệnh sau:

sudo chown -R www-data:www-data /path/to/machinename.tailnet.ts.net.cert
sudo chown -R www-data:www-data /path/to/machinename.tailnet.ts.net.key

Hãy thêm đường dẫn thư mục lưu trữ các tệp .cert và .key trên máy của bạn vào các lệnh trên. Một trong những lợi ích chính của việc sử dụng chứng chỉ Tailscale là bạn có thể là quản trị viên và là người duy nhất có thông tin đăng nhập Tailscale để quản lý mật khẩu trong Passbolt.

Bước 2: Cấu Hình Máy Chủ SMTP Cho Thông Báo Email

Thay vì thiết lập một máy chủ SMTP từ đầu, bạn có thể chọn Google làm nhà cung cấp dịch vụ để gửi thông báo email. Nếu bạn định sử dụng Gmail, bạn có thể tạo một “Mật khẩu ứng dụng” (App Password) độc đáo cho Passbolt từ trang tài khoản Google của mình.

Mở trang Mật khẩu ứng dụng của Google trong trình duyệt, đặt Passbolt làm tên ứng dụng và tạo một mật khẩu 16 chữ số mới. Sau khi mật khẩu xuất hiện trong cửa sổ pop-up, bạn phải sao chép mật khẩu 16 chữ số đó và lưu trữ ở nơi an toàn. Lý do là nếu bạn mất hoặc quên mật khẩu duy nhất này, bạn sẽ không thể truy xuất hoặc xem lại nó nữa.

Trang tạo Mật khẩu ứng dụng (App Password) của Google cho Passbolt

Bước 3: Cài Đặt Passbolt Server Trên Raspberry Pi

Passbolt Community Edition là phiên bản miễn phí mà bạn có thể triển khai trên máy của mình. Bạn có thể cài đặt nó nguyên bản, sử dụng Docker, hoặc trực tiếp trên các hệ điều hành được hỗ trợ. Quá trình cài đặt này có tính tương tác và thường mất vài phút để hoàn thành, trừ khi có vấn đề với chứng chỉ SSL.

Các bước cài đặt Passbolt server

1. Chạy script để thu thập tất cả các phụ thuộc cần thiết cho Passbolt:

   Lệnh tải xuống script cài đặt Passbolt Community Edition trên Terminal

   curl -LO https://download.passbolt.com/ce/installer/passbolt-repo-setup.ce.sh

2. Tải xuống SHA512SUM của Passbolt Community Edition và lưu nó:

   Tệp SHA512SUM để kiểm tra tính toàn vẹn của script cài đặt Passbolt server

   curl -LO https://github.com/passbolt/passbolt-dep-scripts/releases/latest/download/passbolt-ce-SHA512SUM.txt

3. Kiểm tra tính hợp lệ của script cài đặt Passbolt trước khi chạy:

   Kiểm tra tính hợp lệ của script cài đặt Passbolt bằng tệp checksum trong Terminal

   sha512sum -c passbolt-ce-SHA512SUM.txt && sudo bash ./passbolt-repo-setup.ce.sh || echo "Bad checksum. Aborting" && rm -f passbolt-repo-setup.ce.sh

4. Nếu mọi thứ đều ổn, bạn có thể cài đặt Passbolt server:

   Lệnh cài đặt Passbolt Community Edition server trên Terminal sau khi kiểm tra thành công

   sudo apt install passbolt-ce-server

5. Làm theo hướng dẫn trên màn hình để cài đặt và cấu hình máy chủ MariaDB cục bộ. Bạn có thể nhấn Enter để sử dụng các giá trị cơ sở dữ liệu mặc định và thêm mật khẩu khi cần thiết.

6. Trên màn hình thiết lập SSL, chọn Manual (Thủ công) và sau đó cung cấp địa chỉ đến các thư mục chứa tệp .cert và .key. Khi script cấu hình phát hiện chứng chỉ, nó sẽ tiếp tục hoàn tất quá trình cài đặt.

Khi quá trình cài đặt hoàn tất, bạn sẽ nhận được thông báo xác nhận. Passbolt sẽ chỉ cho bạn một địa chỉ HTTPS hoặc IP để hoàn tất cài đặt. Trong trường hợp có lỗi, bạn có thể cần phải gỡ bỏ (purge) mọi thứ và bắt đầu lại từ đầu.

Bước 4: Cấu Hình Hoàn Chỉnh Passbolt Server Qua Trình Duyệt

Sau khi cài đặt xong, bạn cần thiết lập Passbolt server để có thể sử dụng nó cục bộ cùng với các thành viên khác.

Lưu ý: Đối với tài khoản Gmail miễn phí, hãy sử dụng smtp.google.com. Đối với tài khoản Google Workspace trả phí, hãy đặt smtp-relay.google.com.

1. Mở hostname hoặc địa chỉ IP mà bạn đã cấu hình cho Passbolt trong trình duyệt web để bắt đầu cấu hình. Nhấp vào nút ‘Get Started’ (Bắt đầu).

   Màn hình "Bắt Đầu" cấu hình Passbolt Server trên trình duyệt web

2. Passbolt sẽ kiểm tra các biến môi trường trước khi cho phép bạn cấu hình bất cứ điều gì. Nếu bạn thấy tất cả đều màu xanh lá cây, hãy nhấp vào Start Configuration (Bắt đầu Cấu hình).

   Nút "Bắt Đầu Cấu Hình" xuất hiện sau khi Passbolt kiểm tra biến môi trường thành công

3. Gán một tên máy chủ (server name), nhập địa chỉ email của bạn và nhấp Next (Tiếp theo) để Passbolt tạo một khóa GPG mới cho máy chủ của bạn.

   Cửa sổ cài đặt tên máy chủ và tạo khóa OpenGPG mới cho Passbolt server

4. Thêm địa chỉ IP cục bộ của cơ sở dữ liệu bạn đã tạo trong quá trình cài đặt Passbolt, cùng với tên người dùng, mật khẩu và tên cơ sở dữ liệu.

   Điền thông tin chi tiết cơ sở dữ liệu MySQL vào cấu hình Passbolt

5. Bạn có thể thiết lập một URL Passbolt tùy chỉnh và đảm bảo rằng bạn đã bật Force SSL cho địa chỉ đó để tăng cường bảo mật.

   Cấu hình Full Base URL và bật Force SSL trong Passbolt

6. Bạn có thể sử dụng chi tiết máy chủ SMTP bằng cách tự thiết lập cục bộ hoặc từ các nhà cung cấp dịch vụ email như Gmail. Điều này là cần thiết để mời mọi người tham gia máy chủ Passbolt của bạn. Sử dụng chức năng ‘Send Test Mail’ (Gửi Email Kiểm tra) để kiểm tra xem cài đặt SMTP của bạn có hoạt động không và máy của bạn có thể gửi email hay không.

   Cài đặt chi tiết máy chủ SMTP của Google/Gmail trong cấu hình Passbolt

7. Kiểm tra xem giá trị full base URL có khớp với tên miền đầy đủ bạn đã lấy từ Tailscale hay không.

Cuối cùng, bạn có thể tạo người dùng đầu tiên với tên và email để hoàn tất quá trình cài đặt. Khi bạn mở URL Passbolt lần nữa, bạn sẽ cần đặt một mật khẩu mạnh, và bộ kit khôi phục mật khẩu của bạn sẽ tự động tải xuống. Hãy lưu trữ bộ kit khôi phục này ở một nơi an toàn. Tiếp theo, bạn có thể xác định một mã thông báo bảo mật dựa trên sự kết hợp giữa văn bản và màu sắc để thêm một lớp bảo mật khác.

Sau đó, bạn có thể thêm người dùng mới và lưu mật khẩu cho các lần đăng nhập khác nhau. Việc tạo một nhóm như “Gia đình” và gửi lời mời hàng loạt sẽ giúp việc chia sẻ mật khẩu đã chọn với họ trở nên dễ dàng hơn. Đối với mỗi lời mời, Passbolt khuyến khích người dùng tạo mật khẩu mạnh, chọn mã thông báo bảo mật cho lần đăng nhập và cũng tự động tải xuống bộ kit khôi phục vào thiết bị của người dùng.

Quản Lý Mật Khẩu Gia Đình Hiệu Quả Hơn Với Passbolt

Việc thuyết phục gia đình sử dụng trình quản lý mật khẩu là một nhiệm vụ không hề đơn giản. Tuy nhiên, Passbolt đã làm cho việc khuyến khích (và buộc) họ sử dụng mật khẩu mạnh, độc đáo và lưu trữ bộ kit khôi phục trở nên dễ dàng hơn. Đồng thời, nó đã giảm bớt thói quen chia sẻ mật khẩu bằng văn bản thuần túy qua chat, tin nhắn hoặc chỉ đơn giản là nói lớn. Tailscale cho phép bạn hỗ trợ các thành viên trong gia đình ngay cả khi bạn không có mặt ở nhà.

Tủ mạng chứa các thiết bị mạng, minh họa cho môi trường home lab

Tự host một trình quản lý mật khẩu mang lại cả lợi ích và rủi ro. Giải pháp này đặc biệt phù hợp cho những người đam mê “home lab” thích tự host các ứng dụng và dịch vụ trên mạng gia đình của mình. Bạn có thể thiết lập Tailscale hoặc một phiên bản VPN (như Wireguard) để triển khai các biện pháp bảo mật thích hợp và truy cập Passbolt từ mọi nơi, đảm bảo an toàn cho dữ liệu mật khẩu của gia đình bạn.

Kết luận: Việc tự host Passbolt trên Raspberry Pi không chỉ cung cấp một giải pháp quản lý mật khẩu mạnh mẽ, an toàn mà còn giúp bạn kiểm soát hoàn toàn dữ liệu của mình. Với sự kết hợp của Passbolt và Tailscale, bạn có thể thiết lập một hệ thống bảo mật mật khẩu đáng tin cậy cho gia đình, thúc đẩy các thói quen chia sẻ mật khẩu có ý thức và an toàn hơn. Hãy thử nghiệm các bước hướng dẫn trên và chia sẻ trải nghiệm của bạn trong việc xây dựng một môi trường số an toàn hơn tại nhà!