Posted inSecurity

Tự host Passbolt với Docker: Chấm dứt cảnh share mật khẩu qua Zalo cho team kỹ thuật

Security tutorial - IT technology blog
Security tutorial - IT technology blog

Thực trạng: Zalo và Excel – “tử huyệt” bảo mật của nhiều startup

Làm việc với nhiều team kỹ thuật, mình thấy một kịch bản lặp đi lặp lại: mật khẩu root, API key hay tài khoản database được gửi “tươi” qua Zalo, Slack hoặc ném vào một file Google Docs dùng chung. Cách làm này cực kỳ rủi ro. Chỉ cần một máy của thành viên trong team bị dính malware hoặc lộ session trình duyệt, toàn bộ hạ tầng của bạn coi như dâng tận tay cho hacker.

Theo thống kê, hơn 80% các vụ rò rỉ dữ liệu bắt nguồn từ việc quản lý credential yếu kém. Mình từng chứng kiến một server bị xóa sạch dữ liệu chỉ vì mật khẩu quản trị nằm trong một group chat cũ. Passbolt sinh ra để xử lý triệt để vấn đề này. Đây là công cụ mã nguồn mở dùng mã hóa đầu cuối (E2EE), hỗ trợ phân quyền sâu và có Audit Log cực kỳ minh bạch.

Quick Start: Chạy Passbolt trong 15 phút với Docker

Để anh em không phải chờ lâu, đây là cách nhanh nhất để đưa Passbolt lên môi trường lab hoặc server cá nhân bằng Docker Compose.

Bước 1: Chuẩn bị file docker-compose.yaml

Đầu tiên, hãy tạo thư mục và file cấu hình:

mkdir passbolt && cd passbolt
nano docker-compose.yaml

Dán nội dung sau vào (nhớ đổi mật khẩu database và APP_FULL_BASE_URL):

version: '3.4'
services:
  db:
    image: mariadb:10.11
    environment:
      - MYSQL_ROOT_PASSWORD=thay_bang_mat_khau_cua_ban
      - MYSQL_DATABASE=passbolt
      - MYSQL_USER=passbolt
      - MYSQL_PASSWORD=passbolt_password
    volumes:
      - ./database:/var/lib/mysql

  passbolt:
    image: passbolt/passbolt:latest-ce
    depends_on:
      - db
    environment:
      - APP_FULL_BASE_URL=https://passbolt.yourdomain.com
      - DATASOURCES_DEFAULT_HOST=db
      - DATASOURCES_DEFAULT_PASSWORD=passbolt_password
      - DATASOURCES_DEFAULT_USERNAME=passbolt
      - DATASOURCES_DEFAULT_DATABASE=passbolt
    volumes:
      - ./gpg:/var/www/passbolt/config/gpg
      - ./images:/var/www/passbolt/webroot/img/public
    ports:
      - "80:80"
      - "443:443"

Bước 2: Khởi chạy và đăng ký Admin

Gõ lệnh docker-compose up -d để container bắt đầu chạy. Sau khoảng 1 phút, bạn dùng lệnh dưới đây để lấy link đăng ký tài khoản quản trị:

docker-compose exec passbolt su -m -c "/var/www/passbolt/bin/cake passbolt register_user -u [email protected] -f Admin -l System -r admin" -s /bin/sh www-data

Hệ thống sẽ nhả ra một đường link duy nhất. Bạn hãy mở link này trên trình duyệt để bắt đầu tạo bộ khóa GPG cá nhân.

Tại sao lại là Passbolt mà không phải Bitwarden hay Vault?

Câu hỏi thường gặp nhất là: “Bitwarden cũng ngon, sao phải đổi?”. Thực tế, mỗi công cụ có một triết lý riêng. Bitwarden hướng tới cá nhân và sự tiện dụng đa thiết bị. Ngược lại, Passbolt tập trung cực mạnh vào tính cộng tác (Collaboration).

  • Triết lý GPG: Mỗi user sở hữu một cặp khóa riêng. Ngay cả Sysadmin đứng máy chủ cũng không thể xem trộm mật khẩu của nhân viên nếu không được họ chủ động chia sẻ.
  • Audit Log chi tiết: Bạn sẽ biết chính xác ai đã copy mật khẩu con bot Telegram lúc 3 giờ chiều. Trong môi trường doanh nghiệp, tính minh bạch này là sống còn.
  • Phân quyền linh hoạt: Việc gán quyền (Read, Update, Owner) cho từng folder như team Dev, team Marketing hay Infra cực kỳ trực quan.

Triển khai nâng cao: SMTP và HTTPS

Sử dụng Passbolt qua HTTP là hành động tự sát về mặt bảo mật. Trình duyệt cũng sẽ chặn các Extension giải mã nếu không có HTTPS. Để chạy thực tế cho team 5-10 người, bạn bắt buộc phải cấu hình thêm SMTP và SSL.

Cách sạch sẽ nhất là dùng Nginx Proxy Manager hoặc Traefik đặt phía trước làm Reverse Proxy. Nếu bạn tự host tại nhà không có IP tĩnh, Cloudflare Tunnel là giải pháp “cứu net” tuyệt vời để có SSL miễn phí mà không cần mở port router.

Kinh nghiệm thực tế: Tránh để bị “ăn hành” khi vận hành

Sau một thời gian triển khai cho các dự án riêng, mình rút ra 3 lưu ý xương máu:

1. Tuyệt đối đừng làm mất Private Key

Quên passphrase và mất Private Key đồng nghĩa với việc mất trắng dữ liệu. Passbolt không có tính năng “quên mật khẩu” qua email như thông thường. Hãy nhắc nhở team backup file .asc cẩn thận vào USB hoặc vault vật lý.

2. Tự động hóa việc Backup Database

Dữ liệu nằm hết trong MariaDB. Hãy thiết lập một cronjob để dump database mỗi ngày vào lúc 2h sáng:

docker-compose exec db mysqldump -u passbolt -p'passbolt_password' passbolt > backup_$(date +%F).sql

3. Ưu tiên tính năng “Share” thay vì Copy-Paste

Đừng bao giờ copy password rồi gửi qua chat. Hãy dùng tính năng Share trực tiếp trên giao diện Passbolt. Khi nhân viên nghỉ việc, bạn chỉ cần một cú click chuột để thu hồi quyền truy cập (Revoke), thay vì phải đi đổi mật khẩu hàng chục hệ thống liên quan.

Lời kết

Tự host Passbolt đòi hỏi bạn phải có trách nhiệm hơn trong khâu bảo trì. Đổi lại, team bạn sở hữu sự tự do và an toàn dữ liệu tuyệt đối. Hy vọng hướng dẫn này giúp quy trình làm việc của anh em chuyên nghiệp hơn, thoát khỏi cảnh sống chung với nỗi lo lộ credential qua Zalo.

Share:
Tags: