Cómo instalar sysPass Password Manager en Debian 11

sysPass es una aplicación de gestión de contraseñas basada en la web y escrita en PHP. Es segura, fiable y se ejecuta en un entorno multiusuario para uso empresarial y personal. Guarda las contraseñas utilizando una encriptación bidireccional con una contraseña maestra en una base de datos. Ofrece una interfaz web intuitiva que te ayuda a configurar opciones como autenticación LDAP, correo, auditoría, copia de seguridad, importación/exportación, etc.

Características

  • Gratis y de código abierto
  • Control de acceso a grupos/perfiles
  • Encriptación de contraseñas
  • Almacenamiento de archivos con visor de imágenes en línea
  • Integración con OpenLDAP y Active Directory
  • Proporciona notificaciones por correo electrónico

En este tutorial, te mostraré cómo instalar la aplicación de gestión de contraseñas sysPass y asegurarla con un certificado SSL gratuito de Let’s Encrypt en Debian 11.

Requisitos previos

  • Un servidor con Debian 11.
  • Un nombre de dominio válido apuntado con la IP de tu servidor.
  • Una contraseña raíz configurada en el servidor.

Instalar Apache, MariaDB y PHP

sysPass se ejecuta en un servidor web, utiliza MariaDB como base de datos y está escrito en PHP. Así que tendrás que instalar el servidor web Apache, el servidor de bases de datos MariaDB, PHP y otras extensiones de PHP en tu servidor. Puedes instalarlos todos con el siguiente comando:

apt-get install apache2 mariadb-server libapache2-mod-php php php-mysqli php-pdo php-pear php php-cgi php-cli php-common php-gd php-json php-readline php-curl php-intl php-ldap php-xml php-mbstring git -y

Una vez instalados todos los paquetes, edita el archivo php.ini y realiza algunos cambios:

nano /etc/php/7.4/apache2/php.ini

Cambia los siguientes ajustes:

post_max_size = 100M
upload_max_filesize = 100M
max_execution_time = 7200
memory_limit = 512M
date.timezone = Asia/Kolkata

Guarda y cierra el archivo cuando hayas terminado. A continuación, reinicia el servicio Apache para aplicar los cambios de configuración:

systemctl restart apache2

Crear una base de datos para sysPass

Por defecto, la instalación de MariaDB no está asegurada. Así que primero tendrás que asegurarla. Puedes asegurarla utilizando el siguiente comando:

mysql_secure_installation

Responde a todas las preguntas que se muestran a continuación para establecer una contraseña de root de MariaDB y asegurar la instalación:

Enter current password for root (enter for none): 
Switch to unix_socket authentication [Y/n] Y
Change the root password? [Y/n] Y
New password: 
Re-enter new password: 
Remove anonymous users? [Y/n] Y
Disallow root login remotely? [Y/n] Y
Remove test database and access to it? [Y/n] Y
Reload privilege tables now? [Y/n] Y

Una vez que hayas terminado, entra en la interfaz de MariaDB con el siguiente comando:

mysql -u root -p

Se te pedirá que proporciones una contraseña de root de MariaDB. Una vez que hayas iniciado la sesión, crea una base de datos y un usuario con el siguiente comando:

MariaDB [(none)]> create database syspassdb;
MariaDB [(none)]> grant all privileges on syspassdb.* to syspassuser@localhost identified by "password";

A continuación, vacía los privilegios y sal del shell de MariaDB con el siguiente comando:

MariaDB [(none)]> flush privileges;
MariaDB [(none)]> exit;

En este punto, tu base de datos MariaDB y el usuario están listos para sysPass. Ahora puedes pasar al siguiente paso.

Instalar sysPass

En primer lugar, tendrás que descargar la última versión de sysPass del repositorio Git. Puedes descargarla con el siguiente comando:

git clone https://github.com/nuxsmin/sysPass.git

Una vez completada la descarga, mueve el directorio descargado al directorio raíz de la web de Apache:

mv sysPass /var/www/html/syspass

A continuación, establece la propiedad adecuada del directorio syspass con el siguiente comando:

chown -R www-data:www-data /var/www/html/syspass

A continuación, establece los permisos adecuados para los demás directorios:

chmod 750 /var/www/html/syspass/app/{config,backup}

A continuación, tendrás que instalar Composer en tu sistema.

Primero, crea un script de instalación de Composer con el siguiente comando:

nano /var/www/html/syspass/install-composer.sh

Añade las siguientes líneas:

#!/bin/sh
 EXPECTED_SIGNATURE="$(wget -q -O - https://composer.github.io/installer.sig)"
 php -r "copy('https://getcomposer.org/installer', 'composer-setup.php');"
 ACTUAL_SIGNATURE="$(php -r "echo hash_file('sha384', 'composer-setup.php');")"
 if [ "$EXPECTED_SIGNATURE" != "$ACTUAL_SIGNATURE" ]
 then
     >&2 echo 'ERROR: Invalid installer signature'
     rm composer-setup.php
     exit 1
 fi
 php composer-setup.php --quiet
 RESULT=$?
 rm composer-setup.php
 exit $RESULT

Guarda y cierra el archivo y luego ejecuta el script de instalación de Composer con el siguiente comando:

cd /var/www/html/syspass/
sh install-composer.sh

Una vez instalado Composer, ejecuta el siguiente comando para instalar todas las dependencias de PHP necesarias:

php composer.phar install --no-dev

Una vez instaladas todas las dependencias, puedes pasar al siguiente paso.

Configurar el host virtual de Apache para sysPass

A continuación, tendrás que crear un archivo de configuración del host virtual de Apache para alojar sysPass en Internet. Puedes crearlo con el siguiente comando:

nano /etc/apache2/sites-available/syspass.conf

Añade las siguientes líneas:

<VirtualHost *:80>
ServerAdmin [email protected]
DocumentRoot "/var/www/html/syspass"
ServerName syspass.example.com
<Directory "/var/www/html/syspass/">
Options MultiViews FollowSymlinks
AllowOverride All
Order allow,deny
Allow from all
</Directory>
TransferLog /var/log/apache2/syspass_access.log
ErrorLog /var/log/apache2/syspass_error.log
</VirtualHost>

Guarda y cierra el archivo cuando hayas terminado de activar el host virtual de Apache con el siguiente comando:

a2ensite syspass

A continuación, reinicia el servicio Apache para aplicar los cambios:

systemctl restart apache2

También puedes comprobar el estado del servicio Apache con el siguiente comando:

systemctl status apache2

Deberías obtener la siguiente salida:

? apache2.service - The Apache HTTP Server
     Loaded: loaded (/lib/systemd/system/apache2.service; enabled; vendor preset: enabled)
     Active: active (running) since Sat 2021-10-16 13:41:36 UTC; 4s ago
       Docs: https://httpd.apache.org/docs/2.4/
    Process: 17819 ExecStart=/usr/sbin/apachectl start (code=exited, status=0/SUCCESS)
   Main PID: 17824 (apache2)
      Tasks: 6 (limit: 2341)
     Memory: 14.7M
        CPU: 76ms
     CGroup: /system.slice/apache2.service
             ??17824 /usr/sbin/apache2 -k start
             ??17825 /usr/sbin/apache2 -k start
             ??17826 /usr/sbin/apache2 -k start
             ??17827 /usr/sbin/apache2 -k start
             ??17828 /usr/sbin/apache2 -k start
             ??17829 /usr/sbin/apache2 -k start

Oct 16 13:41:36 debian11 systemd[1]: Starting The Apache HTTP Server...

Una vez que hayas terminado, puedes pasar al siguiente paso.

Accede a la interfaz web de sysPass

En este punto, sysPass está instalado y alojado en el servidor web Apache. Ahora, abre tu navegador web y accede a la interfaz web de sysPass utilizando la URL http://syspass.example.com. Serás redirigido a la siguiente página:

Contraseña maestra

Configuración de la base de datos

Proporciona tu nombre de usuario administrador, contraseña, contraseña maestra, credenciales de la base de datos, elige tu idioma, el modo de alojamiento y haz clic en el botón INSTALAR. Una vez completada la instalación, serás redirigido a la página de inicio de sesión de sysPass.

Inicio de sesión de sysPass

Proporciona tu nombre de usuario y contraseña de administrador y haz clic en el botón >. Deberías ver el panel de control de sysPass en la siguiente página:

Panel de control de sysPass

Habilitar el soporte de Let’s Encrypt SSL en sysPass

Siempre es una buena idea asegurar tu sitio web con Let’s Encrypt SSL. En primer lugar, tendrás que instalar el cliente Certbot para instalar y gestionar el SSL. Por defecto, el paquete Certbot está incluido en el repositorio por defecto de Debian 11, así que puedes instalarlo con el siguiente comando:

apt-get install python3-certbot-apache -y

Una vez instalado Certbot, ejecuta el siguiente comando para asegurar tu sitio web con Let’s Encrypt SSL:

certbot --apache -d syspass.example.com

Se te pedirá que proporciones tu correo electrónico y aceptes las condiciones del servicio, como se muestra a continuación:

Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator standalone, Installer None
Enter email address (used for urgent renewal and security notices) (Enter 'c' to
cancel): [email protected]

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Please read the Terms of Service at
https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. You must
agree in order to register with the ACME server at
https://acme-v02.api.letsencrypt.org/directory
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(A)gree/(C)ancel: A

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Would you be willing to share your email address with the Electronic Frontier
Foundation, a founding partner of the Let's Encrypt project and the non-profit
organization that develops Certbot? We'd like to send you email about our work
encrypting the web, EFF news, campaigns, and ways to support digital freedom.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: Y
Plugins selected: Authenticator apache, Installer apache
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for syspass.example.com
Enabled Apache rewrite module
Waiting for verification...
Cleaning up challenges
Created an SSL vhost at /etc/apache2/sites-available/syspass-le-ssl.conf
Enabled Apache socache_shmcb module
Enabled Apache ssl module
Deploying Certificate to VirtualHost /etc/apache2/sites-available/syspass-le-ssl.conf
Enabling available site: /etc/apache2/sites-available/syspass-le-ssl.conf

A continuación, selecciona si quieres redirigir el tráfico HTTP a HTTPS como se muestra a continuación:

Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Select the appropriate number [1-2] then [enter] (press 'c' to cancel): 2

Escribe 2 y pulsa Intro para instalar el SSL de Let’s Encrypt para tu sitio web:

Enabled Apache rewrite module
Redirecting vhost in /etc/apache2/sites-enabled/syspass.conf to ssl vhost in /etc/apache2/sites-available/syspass-le-ssl.conf

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Congratulations! You have successfully enabled https://syspass.example.com

You should test your configuration at:
https://www.ssllabs.com/ssltest/analyze.html?d=syspass.example.com
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/syspass.example.com/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/syspass.example.com/privkey.pem
   Your cert will expire on 2021-07-20. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot again
   with the "certonly" option. To non-interactively renew *all* of
   your certificates, run "certbot renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

Enhorabuena! has instalado con éxito el gestor de contraseñas sysPass con Apache en Debian 11.

También te podría gustar...