Bayangkan skenario yang umum terjadi saat seorang anggota tim baru bergabung dan memerlukan akses ke server staging. Seseorang sering kali mengirimkan username dan password melalui Slack, WhatsApp, atau bahkan menuliskannya di baris Excel yang dibagikan melalui email sebagai solusi tercepat. Kredensial tersebut kini tersebar di setidaknya tiga tempat berbeda tanpa ada yang mengetahui siapa saja yang telah mengaksesnya.
Laporan Verizon Data Breach Investigations Report secara konsisten menempatkan penggunaan kredensial yang bocor atau lemah sebagai vektor serangan terbesar dalam insiden keamanan siber perusahaan. Masalah ini bukan sekadar tentang kurangnya kesadaran, melainkan tentang ketiadaan sistem yang tepat untuk mengelola kredensial secara aman dan kolaboratif.
Solusi berbasis cloud untuk password manager memang tersedia, tetapi menyerahkan kendali data sensitif kepada pihak ketiga membawa risiko tersendiri seperti kebijakan privasi yang berubah, insiden keamanan di sisi vendor, hingga ketidakpatuhan terhadap regulasi data lokal. Self-hosting memberikan kedaulatan penuh atas data perusahaan karena data tidak pernah meninggalkan infrastruktur yang Anda kendalikan.
Apa itu Passbolt?
Passbolt merupakan password manager open-source yang dirancang khusus untuk kolaborasi tim. Perangkat lunak ini dibangun sejak awal untuk memfasilitasi skenario berbagi kredensial antar-pengguna dalam satu organisasi melalui kontrol akses yang sangat terperinci, sehingga berbeda dari password manager personal seperti KeePass atau 1Password. Lebih dari 50.000 organisasi di seluruh dunia telah menggunakan Passbolt per 2026, termasuk kementerian pemerintah Prancis, Bosch, berbagai universitas riset di Eropa, hingga lembaga IT pemerintah di Luxembourg.
Passbolt tersedia dalam dua edisi utama:
- Community Edition (CE): Edisi yang sepenuhnya gratis dan open-source bagi pengguna yang menginginkan fitur dasar manajemen kata sandi.
- Pro Edition: Edisi yang menambahkan fitur enterprise seperti sinkronisasi LDAP/Active Directory dan laporan audit lanjutan untuk kebutuhan kepatuhan organisasi.
Mengapa Memilih Passbolt untuk Perusahaan?
Keamanan Berbasis OpenPGP: Enkripsi yang Tidak Dapat Dibaca Server
Arsitektur keamanan Passbolt dibangun di atas standar OpenPGP, sebuah protokol kriptografi terbuka yang telah teruji selama puluhan tahun. Setiap pengguna memiliki pasangan kunci kriptografi yang terdiri atas kunci privat yang tersimpan di perangkat pengguna serta kunci publik untuk mengenkripsi data sebelum disimpan. Kunci privat tersebut tidak pernah dikirim ke server.
Sistem ini memastikan bahwa penyerang hanya akan mendapatkan data terenkripsi yang tidak berguna tanpa kunci privat pengguna, meskipun server Passbolt berhasil disusupi. Hal ini menjadi perbedaan fundamental dibandingkan solusi password manager lain yang masih mengandalkan enkripsi sisi server.
- End-to-end encryption: Kunci privat tidak pernah meninggalkan perangkat pengguna dalam bentuk cleartext.
- 1:1 encryption: Setiap password dienkripsi secara individual sehingga kebocoran pada satu entri tidak memengaruhi entri lainnya.
- Signed operations: Setiap operasi ditandatangani secara kriptografis untuk memverifikasi identitas pengguna.
- Challenge-based authentication: Proses login berbasis GpgAuth mengharuskan server dan client membuktikan kepemilikan kunci, bukan sekadar mencocokkan hash password.
Kolaborasi Tim yang Aman dan Terstruktur
Passbolt memungkinkan pembagian kredensial antar-pengguna dan grup dengan hak akses yang dapat disesuaikan per entri. Tim marketing dapat mengakses kredensial media sosial tanpa bisa melihat kredensial server database yang dikhususkan bagi tim infrastructure. Setiap operasi berbagi bersifat granular dan dapat dilacak sepenuhnya.
Kedaulatan Data dan Kepatuhan Regulasi
Passbolt membantu organisasi memenuhi persyaratan kepatuhan seperti GDPR, ISO 27001, SOC 2, serta regulasi sektoral lainnya karena data berjalan di server milik sendiri. Keamanan data sensitif tetap terjaga tanpa perlu mengirimkannya ke layanan pihak ketiga. Passbolt telah mendapatkan sertifikasi SOC 2 Type II dan telah diaudit secara independen oleh firma keamanan Cure53 dengan laporan yang dipublikasikan secara terbuka.
100% Open Source dan Dapat Diaudit
Seluruh kode sumber Passbolt, termasuk versi Pro, tersedia di GitHub. Transparansi ini memungkinkan tim keamanan internal maupun komunitas global untuk mengaudit serta memverifikasi implementasi kriptografi yang digunakan. Tidak ada backdoor tersembunyi di dalam kode tersebut.
Fitur Tambahan yang Relevan untuk Tim
- Multi-factor authentication (MFA): Mendukung TOTP, Yubikey, dan Duo.
- Browser extension: Tersedia untuk Chrome, Firefox, Edge, dan Brave sebagai komponen wajib dekripsi.
- Mobile dan desktop app: Memudahkan akses kredensial dari mana saja.
- API dan CLI: Integrasi dengan pipeline CI/CD untuk secret management
- DevOps.Anti-phishing token: Token tiga karakter berwarna unik yang muncul pada setiap operasi sensitif guna mencegah penipuan melalui halaman palsu.
Prasyarat Instalasi
Kebutuhan Hardware
Passbolt tidak membutuhkan server bertenaga tinggi untuk penggunaan tim berukuran kecil hingga menengah. Spesifikasi minimum yang direkomendasikan oleh tim Passbolt meliputi:
| Komponen | Minimum | Rekomendasi |
|---|---|---|
| CPU | 1 core | 2 cores |
| RAM | 1 GB | 2 GB |
| Storage | 10 GB | 20 GB+ (tergantung volume audit log) |
Kebutuhan Software
- OS: Ubuntu 24.04 LTS atau Debian 13 (rekomendasi untuk instalasi via paket); distribusi lain seperti RHEL, AlmaLinux, dan RockyLinux 9 juga didukung.
- Docker dan Docker Compose: jika menggunakan metode container.
- MariaDB atau PostgreSQL: sebagai database backend (MariaDB diinstal otomatis pada metode paket).
- Nginx: sebagai web server (dikonfigurasi otomatis oleh installer).
- PHP 8.x: runtime aplikasi (diinstal otomatis).
Domain dan Sertifikat SSL
Passbolt wajib diakses melalui HTTPS. Persyaratan teknis ini harus dipenuhi karena browser extension mengandalkan origin URL yang aman untuk melakukan operasi kriptografi. Anda perlu menyiapkan subdomain yang mengarah ke IP server sebelum memulai instalasi, misalnya passbolt.example.com.
Installer Passbolt dapat mengintegrasikan Let's Encrypt secara otomatis guna memudahkan pengelolaan tanpa perlu memperbarui sertifikat secara manual.
SMTP Server
Passbolt memerlukan akses ke SMTP server untuk mengirimkan email notifikasi, undangan pengguna baru, serta tautan verifikasi akun. Anda dapat menggunakan layanan transaksional seperti Brevo dan Mailgun, atau menggunakan relay SMTP internal perusahaan.
NTP Service
Sinkronisasi waktu yang akurat sangat krusial dalam operasional sistem ini. Autentikasi berbasis GPGAuth sangat sensitif terhadap perbedaan waktu antara server dan client. Pastikan layanan NTP seperti systemd-timesyncd atau chrony telah aktif dan berjalan dengan baik di server Anda.
Perhatian: Gunakan server yang bersih tanpa layanan lain yang sudah terinstal. Script installer Passbolt berpotensi mengubah konfigurasi sistem yang sudah ada, termasuk Nginx dan MariaDB.
Instalasi Passbolt
Metode 1: Instalasi via Docker Compose
Docker Compose adalah cara yang direkomendasikan jika Anda ingin isolasi yang lebih baik, portabilitas tinggi, atau sudah terbiasa dengan ekosistem container. Metode ini mengemas Passbolt, database MariaDB, dan semua dependensinya dalam container yang terpisah.
Langkah 1: Install Docker
Install Docker jika belum tersedia:
curl -fsSL https://get.docker.com | sudo shLangkah 2: Unduh File docker-compose
Unduh file konfigurasi resmi dan verifikasi integritasnya menggunakan checksum SHA512 yang disediakan oleh tim Passbolt:
# Unduh docker-compose file
curl -LO https://download.passbolt.com/ce/docker/docker-compose-ce.yaml
# Unduh file checksum
curl -LO https://github.com/passbolt/passbolt_docker/releases/latest/download/docker-compose-ce-SHA512SUM.txt
# Verifikasi integritas file
sha512sum -c docker-compose-ce-SHA512SUM.txtOutput yang valid dari perintah verifikasi adalah:
docker-compose-ce.yaml: OKLangkah 3: Konfigurasi Environment Variables
Buka file docker-compose-ce.yaml dan sesuaikan variabel lingkungan berikut. Ubah tag versi dari latest ke versi spesifik yang tersedia di Docker Hub untuk lingkungan produksi.
Variabel paling penting yang harus dikonfigurasi:
# URL lengkap server Passbolt Anda (harus HTTPS)
APP_FULL_BASE_URL=https://passbolt.example.com
# Konfigurasi email (SMTP)
EMAIL_DEFAULT_FROM_NAME=Passbolt
[email protected]
EMAIL_TRANSPORT_DEFAULT_HOST=smtp.example.com
EMAIL_TRANSPORT_DEFAULT_PORT=587
[email protected]
EMAIL_TRANSPORT_DEFAULT_PASSWORD=smtp_password_rahasia
EMAIL_TRANSPORT_DEFAULT_TLS=trueLangkah 4: Jalankan Container
sudo docker compose -f docker-compose-ce.yaml up -dTunggu hingga semua container dalam status running. Periksa statusnya melalui perintah:
sudo docker compose -f docker-compose-ce.yaml psLangkah 5: Konfigurasi HTTPS dengan Let's Encrypt (Docker)
Pendekatan yang direkomendasikan untuk HTTPS pada instalasi Docker adalah menggunakan Traefik sebagai reverse proxy. Traefik akan menangani penerbitan dan pembaruan sertifikat Let's Encrypt secara otomatis, serta meneruskan semua request ke container Passbolt.
5a. Tambahkan Service Traefik ke docker-compose
Buka file docker-compose-ce.yaml dan tambahkan service traefik di bawah service db dan passbolt yang sudah ada:
version: '3.7'
services:
db:
# ... konfigurasi database yang sudah ada ...
passbolt:
# ... konfigurasi passbolt yang sudah ada ...
traefik:
image: traefik:3.7.0
restart: always
ports:
- 80:80
- 443:443
volumes:
- /var/run/docker.sock:/var/run/docker.sock:ro
- ./traefik.yaml:/traefik.yaml:ro
- ./conf/:/etc/traefik/conf
- ./shared/:/sharedTraefik berperan sebagai proxy di depan service Passbolt untuk menangani port 80 dan 443, serta mengurus pembaruan sertifikat Let's Encrypt secara otomatis.
5b. Buat File Konfigurasi Traefik
Buat file traefik.yaml di direktori yang sama dengan docker-compose-ce.yaml. Ganti [email protected] dengan alamat email Anda untuk notifikasi Let's Encrypt:
global:
sendAnonymousUsage: false
log:
level: DEBUG
providers:
docker:
endpoint: "unix:///var/run/docker.sock"
watch: true
exposedByDefault: false
file:
directory: /etc/traefik/conf/
watch: true
api:
dashboard: false
insecure: false
entryPoints:
web:
address: ":80"
http:
redirections:
entryPoint:
to: websecure
scheme: https
permanent: true
websecure:
address: ":443"
certificatesResolvers:
letsencrypt:
acme:
email: [email protected]
storage: /shared/acme.json
keyType: EC256
httpChallenge:
entryPoint: web5c. Buat Folder conf dan File Konfigurasi Tambahan
Buat folder dan dua file konfigurasi keamanan untuk Traefik melalui perintah berikut:
mkdir confBuat file conf/headers.yaml untuk HTTP security headers:
http:
middlewares:
SslHeader:
headers:
FrameDeny: true
AccessControlAllowMethods: 'GET,OPTIONS,PUT'
AccessControlAllowOriginList:
- origin-list-or-null
AccessControlMaxAge: 100
AddVaryHeader: true
BrowserXssFilter: true
ContentTypeNosniff: true
ForceSTSHeader: true
STSIncludeSubdomains: true
STSPreload: true
ContentSecurityPolicy: "default-src 'self' 'unsafe-inline'"
CustomFrameOptionsValue: SAMEORIGIN
ReferrerPolicy: same-origin
PermissionsPolicy: "vibrate 'self'"
STSSeconds: 315360000Buat file conf/tls.yaml untuk konfigurasi TLS minimal:
tls:
options:
default:
minVersion: VersionTLS12
sniStrict: true
curvePreferences:
- CurveP521
- CurveP384
cipherSuites:
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA2565d. Konfigurasi Service Passbolt untuk Traefik
Edit bagian service passbolt di docker-compose-ce.yaml dengan dua perubahan penting berikut:
- Hapus definisi ports dari service passbolt karena Traefik yang akan menangani port 80 dan 443, bukan container Passbolt secara langsung.
- Tambahkan label Docker agar Traefik mengetahui cara mengarahkan request ke Passbolt. Ganti passbolt.domain.tld dengan domain Anda yang sebenarnya:
version: '3.7'
services:
db:
# ... tidak ada perubahan ...
passbolt:
# ... konfigurasi lainnya (tanpa 'ports') ...
labels:
traefik.enable: "true"
traefik.http.routers.passbolt-http.entrypoints: "web"
traefik.http.routers.passbolt-http.rule: "Host(`passbolt.domain.tld`)"
traefik.http.routers.passbolt-http.middlewares: "SslHeader@file"
traefik.http.routers.passbolt-https.middlewares: "SslHeader@file"
traefik.http.routers.passbolt-https.entrypoints: "websecure"
traefik.http.routers.passbolt-https.rule: "Host(`passbolt.domain.tld`)"
traefik.http.routers.passbolt-https.tls: "true"
traefik.http.routers.passbolt-https.tls.certresolver: "letsencrypt"
traefik:
# ... konfigurasi traefik dari langkah 5a ...Untuk Non-Root Images
Tambahkan label berikut di bawah label yang sudah ada jika Anda menggunakan image Passbolt non-root agar Traefik mengetahui port yang digunakan oleh container:
traefik.http.services.passbolt-https.loadbalancer.server.port: "8080"5e. Jalankan Ulang Stack
Jalankan ulang seluruh stack setelah semua konfigurasi di atas selesai. Traefik akan secara otomatis mengurus penerbitan sertifikat Let's Encrypt dan pembaruannya di masa mendatang:
sudo docker compose -f docker-compose-ce.yaml up -dTunggu beberapa saat hingga Traefik selesai mendapatkan sertifikat dari Let's Encrypt. Passbolt seharusnya sudah dapat diakses melalui HTTPS di domain yang dikonfigurasi.
Langkah 6: Buat Akun Admin Pertama
Buat akun administrator pertama menggunakan perintah berikut setelah container berjalan dan HTTPS terkonfigurasi. Ganti nilai YOUR_EMAIL, YOUR_NAME, dan YOUR_LASTNAME sesuai data Anda:
sudo docker compose -f docker-compose-ce.yaml \
exec passbolt su -m -c "/usr/share/php/passbolt/bin/cake \
passbolt register_user \
-u [email protected] \
-f Nama \
-l Belakang \
-r admin" -s /bin/sh www-dataMetode 2: Instalasi via Package Ubuntu 24.04
Metode ini menggunakan script installer resmi Passbolt yang mengotomatiskan seluruh proses. Proses tersebut dimulai dari setup repositori, instalasi paket, konfigurasi database MariaDB, Nginx, hingga setup HTTPS menggunakan Let's Encrypt. Cara ini merupakan opsi paling mudah untuk deployment baru.
Langkah 1: Tambahkan Repositori Passbolt
# Unduh script setup repositori
curl -LO https://download.passbolt.com/ce/installer/passbolt-repo-setup.ce.sh
# Unduh file checksum
curl -LO https://github.com/passbolt/passbolt-dep-scripts/releases/latest/download/passbolt-ce-SHA512SUM.txt
# Verifikasi dan jalankan script setup repositori
sha512sum -c passbolt-ce-SHA512SUM.txt && sudo bash ./passbolt-repo-setup.ce.sh \
|| echo "Bad checksum. Aborting" && rm -f passbolt-repo-setup.ce.shLangkah 2: Instal Paket Passbolt CE
sudo apt install passbolt-ce-serverWizard interaktif berbasis terminal akan berjalan selama proses instalasi. Fitur ini memandu Anda melalui konfigurasi berikut secara berurutan:
- Konfigurasi database MariaDB: pembuatan user database dan nama database untuk Passbolt.
- Konfigurasi Nginx: pemilihan opsi untuk setup HTTPS secara otomatis.
- Konfigurasi Let's Encrypt: penginputan nama domain dan alamat email untuk notifikasi pembaruan sertifikat.
Langkah 3: Konfigurasi HTTPS Otomatis (Let's Encrypt)
Pilih opsi Let's Encrypt saat wizard menanyakan konfigurasi Nginx, lalu masukkan nama domain yang sudah diarahkan ke server Anda. Muat ulang Nginx setelah proses selesai:
sudo systemctl reload nginxSetelah itu, pastikan nilai fullBaseUrl di file konfigurasi sudah menggunakan protokol https://:
sudo grep "fullBaseUrl" /etc/passbolt/passbolt.phpJalankan perintah berikut jika instalasi sudah berjalan tetapi Anda ingin mengonfigurasi ulang HTTPS:
sudo dpkg-reconfigure passbolt-ce-serverKonfigurasi Awal dan Setup Administrator
Web Installer: Wizard Konfigurasi Browser
Buka browser dan arahkan ke domain Passbolt Anda untuk instalasi via paket Ubuntu. Wizard konfigurasi berbasis web akan berjalan secara otomatis melalui tahapan berikut:
1. Healthcheck
Halaman pertama wizard menampilkan hasil pemeriksaan kesiapan lingkungan server. Pemeriksaan tersebut meliputi status GPG, koneksi database, konfigurasi SSL, dan pengaturan aplikasi. Selesaikan semua masalah yang ditandai merah sebelum melanjutkan.
2. Konfigurasi Database
Masukkan detail koneksi database yang mencakup hostname, port, nama database, username, dan password. Gunakan data yang sudah dibuat pada tahap instalasi sebelumnya.
3. GPG Key Server
Wizard menawarkan opsi untuk membuat atau mengimpor pasangan kunci GPG. Kunci ini akan digunakan server untuk proses autentikasi. Pilih opsi Generate untuk instalasi baru. Jalankan perintah berikut sebelum membuka wizard jika Anda membutuhkan kunci khusus berupa kunci RSA 3072-bit tanpa passphrase:
gpg --batch --no-tty --gen-key <<EOF
Key-Type: RSA
Key-Length: 3072
Key-Usage: sign,cert
Subkey-Type: RSA
Subkey-Usage: encrypt
Subkey-Length: 3072
Name-Real: Passbolt Server
Name-Email: [email protected]
Expire-Date: 0
%no-protection
%commit
EOFEkspor kunci untuk diimpor ke wizard:
gpg --armor --export-secret-keys [email protected]Penting: Tipe Kunci GPG Tipe kunci default sejak GnuPG 2.2.0+ adalah ECC (Curve25519/Ed25519). Tipe kunci ini belum sepenuhnya kompatibel di semua lingkungan Passbolt. Gunakan RSA secara eksplisit seperti contoh di atas untuk memastikan kompatibilitas.
4. Setup SMTP
Masukkan detail konfigurasi SMTP yang terdiri dari hostname server email, port, username, password, dan alamat pengirim. Gunakan tombol Send Test Email di wizard untuk memverifikasi bahwa konfigurasi email sudah benar sebelum melanjutkan.
5. Pembuatan Akun Administrator Pertama
Masukkan nama dan alamat email administrator pertama. Sistem akan mengirimkan email undangan berisi tautan setup ke alamat yang didaftarkan setelah wizard selesai.
Setup Akun Administrator via Browser Extension
Klik tautan dalam email undangan. Browser akan meminta Anda menginstal Passbolt browser extension. Extension ini adalah komponen wajib karena seluruh operasi kriptografi berupa enkripsi dan dekripsi password dilakukan di sisi klien, bukan di server. Extension tersedia untuk:
- Chrome / Chromium / Brave
- Firefox
- Microsoft Edge
Lanjutkan proses setup setelah extension terinstal:
- Buat kunci GPG pengguna: Passbolt akan membuat pasangan kunci kriptografi unik untuk akun Anda yang dilindungi oleh passphrase pilihan Anda. Passphrase ini adalah kunci utama akses Anda ke seluruh password yang tersimpan.
- Unduh Recovery Kit: langkah ini krusial. Recovery Kit adalah backup kunci privat Anda. Simpan file tersebut di tempat yang aman secara offline atau terenkripsi. Semua data terenkripsi tidak dapat dipulihkan jika perangkat hilang dan tidak ada Recovery Kit.
- Tentukan Security Token: pilih kombinasi tiga karakter dan warna yang unik. Token ini akan selalu muncul di antarmuka Passbolt setiap kali operasi sensitif dilakukan untuk membantu Anda mendeteksi halaman phishing.
Akun administrator sudah siap. Anda akan diarahkan ke dashboard Passbolt dan dapat mulai mengundang anggota tim.
Tips Mengelola Password Tim di Passbolt
Membuat dan Mengelola Grup
Grup di Passbolt merepresentasikan struktur tim dalam organisasi Anda. Setiap grup dapat memiliki satu atau lebih administrator grup yang bertanggung jawab mengelola keanggotaan. Contoh struktur yang umum digunakan meliputi:
| Nama Grup | Contoh Isi Password |
|---|---|
| Tim Infrastructure | Kredensial server, VPN, cloud provider, database |
| Tim Developer | API key, staging environment, repositori privat |
| Tim Marketing | Akun media sosial, dashboard analytics, email marketing |
| Tim Finance | Akun perbankan, platform pembayaran, SaaS internal |
| Semua Karyawan | Kredensial WiFi kantor, sistem absensi, portal HR |
Buka menu Users & Groups > Create Group untuk membuat grup baru, lalu tambahkan anggota dan tentukan siapa yang menjadi group manager.
Manajemen Hak Akses
Setiap password atau folder yang dibagikan kepada pengguna atau grup dapat dikonfigurasi dengan tiga level hak akses berikut:
| Level Akses | Kemampuan |
|---|---|
| Can View | Hanya bisa melihat dan menyalin password. Tidak bisa mengubah atau menghapus. |
| Can Update | Bisa melihat, menyalin, dan memperbarui nilai password serta metadata. |
| Is Owner | Kontrol penuh: lihat, ubah, hapus, dan atur ulang hak akses pihak lain. |
Prinsip least privilege (hak akses minimum yang diperlukan) harus diterapkan secara konsisten. Seorang anggota tim marketing tidak perlu memiliki akses Can Update ke password server. Anggota tersebut cukup diberi akses Can View atau tidak diberikan akses sama sekali.
Menggunakan Folder untuk Organisasi yang Lebih Rapi
Passbolt mendukung folder dan subfolder untuk mengelompokkan password secara hierarkis. Folder bisa bersifat personal (hanya terlihat oleh Anda) atau shared (dibagikan ke tim). Tambahkan tag dan deskripsi pada setiap entri untuk mempermudah pencarian.
Audit Logs: Lacak Siapa Mengakses Apa
Setiap tindakan di Passbolt dicatat dalam audit log. Catatan tersebut meliputi siapa yang mengakses password tertentu, kapan akses dilakukan, dan dari perangkat apa tindakan itu berasal. Fitur ini sangat berharga untuk investigasi insiden keamanan dan kepatuhan audit internal. Akses audit log dapat dibuka melalui menu Administration > Action Logs (khusus administrator).
Gunakan perintah berikut untuk membersihkan log lama dan menjaga performa database (contoh: mempertahankan log 90 hari terakhir):
# Pratinjau log yang akan dihapus (tanpa benar-benar menghapus)
sudo su -s /bin/bash -c \
"/usr/share/php/passbolt/bin/cake passbolt action_logs_purge --dry-run -r 90" \
www-data
# Jalankan pembersihan log setelah pratinjau dianggap aman
sudo su -s /bin/bash -c \
"/usr/share/php/passbolt/bin/cake passbolt action_logs_purge -r 90" \
www-dataMengundang Pengguna Baru
Administrator dapat mengundang pengguna baru melalui menu Users > Create User. Sistem akan mengirimkan email undangan ke alamat yang didaftarkan. Pengguna baru harus menginstal browser extension dan menyelesaikan proses setup kunci GPG mereka sebelum bisa menggunakan Passbolt.
Tekankan kepada setiap pengguna baru tentang pentingnya menyimpan Recovery Kit di tempat yang aman. Administrator tidak bisa memulihkan kunci privat pengguna jika hilang. Ketentuan inilah yang menjamin bahwa tidak ada pihak lain, termasuk admin sekalipun, yang bisa mengakses password
Strategi Backup dan Pemeliharaan
Apa yang Harus Di-backup?
Ada tiga komponen penting yang harus selalu di-backup secara reguler:
- Database: seluruh data password tersimpan di sini dalam bentuk terenkripsi.
- GPG keys server: kunci publik dan privat yang digunakan server untuk autentikasi.
- File konfigurasi aplikasi:
passbolt.phpatau environment variables.
Backup untuk Instalasi Paket (Ubuntu)
Backup Database
sudo su -s /bin/bash -c \
"/usr/share/php/passbolt/bin/cake passbolt sql_export" \
www-dataBackup GPG Keys Server
# Kunci privat server
sudo cp /etc/passbolt/gpg/serverkey_private.asc ~/backup/serverkey_private.asc
# Kunci publik server
sudo cp /etc/passbolt/gpg/serverkey.asc ~/backup/serverkey.asc
# File konfigurasi aplikasi
sudo cp /etc/passbolt/passbolt.php ~/backup/passbolt.phpArsipkan dan Pindahkan Off-site
# Buat arsip terkompresi
tar -cvzf /home/passbolt_backup_$(date +%Y%m%d).tar.gz ~/backup/
# Kirim ke server backup atau storage lain
scp /home/passbolt_backup_$(date +%Y%m%d).tar.gz backup_user@backup_server:/path/to/backups/Backup untuk Instalasi Docker
Backup Database dari Container
sudo docker compose -f docker-compose-ce.yaml exec db bash -c \
'mariadb-dump -u${MYSQL_USER} -p${MYSQL_PASSWORD} ${MYSQL_DATABASE}' \
> ~/backup/passbolt_db_$(date +%Y%m%d).sqlBackup GPG Keys dari Container
# Kunci privat
sudo docker compose -f docker-compose-ce.yaml cp \
passbolt:/etc/passbolt/gpg/serverkey_private.asc \
~/backup/serverkey_private.asc
# Kunci publik
sudo docker compose -f docker-compose-ce.yaml cp \
passbolt:/etc/passbolt/gpg/serverkey.asc \
~/backup/serverkey.ascLakukan pula backup terhadap environment variables dari folder env/ yang berisi passbolt.env dan mysql.env.
Otomasi Backup dengan Cron
Buat script backup dan jadwalkan via cron untuk berjalan otomatis setiap malam:
# Edit crontab untuk user root atau user dengan akses yang sesuai
sudo crontab -e
# Jalankan backup setiap hari pukul 02:00
0 2 * * * /usr/local/bin/passbolt_backup.sh >> /var/log/passbolt_backup.log 2>&1Praktik Terbaik Backup: Simpan backup di lokasi terpisah dari server utama (off-site). Enkripsi file backup sebelum menyimpannya. Lakukan simulasi restore secara berkala untuk memastikan backup dapat dipulihkan dengan benar. File backup yang tidak pernah diuji merupakan aset yang tidak bisa diandalkan.
Update Passbolt ke Versi Terbaru
Pembaruan rutin sangat penting untuk mendapatkan patch keamanan dan fitur terbaru.
Update untuk Instalasi Paket (Ubuntu/Debian)
sudo apt update
sudo apt upgrade passbolt-ce-serverUpdate untuk Instalasi Docker
# Tarik image version terbaru
sudo docker compose -f docker-compose-ce.yaml pull
# Restart container dengan image baru
sudo docker compose -f docker-compose-ce.yaml up -d
# Jalankan migrasi database jika diperlukan
sudo docker compose exec passbolt su -s /bin/bash -c \
"source /etc/environment && ./bin/cake passbolt migrate" \
www-dataHealthcheck Rutin
Jalankan healthcheck secara berkala untuk memastikan semua komponen Passbolt berfungsi dengan baik. Gunakan opsi --hide-pass untuk menampilkan item yang bermasalah saja:
# Instalasi paket
sudo su -s /bin/bash -c \
"/usr/share/php/passbolt/bin/cake passbolt healthcheck --hide-pass" \
www-data
# Instalasi Docker
sudo docker compose exec passbolt su -s /bin/bash -c \
"source /etc/environment && ./bin/cake passbolt healthcheck --hide-pass" \
www-dataKesimpulan
Praktik berbagi password konvensional sangat berisiko karena tidak memiliki jejak audit dan pengelolaan akses yang jelas. Passbolt self-hosted hadir sebagai solusi komprehensif yang menawarkan keamanan berbasis kriptografi asimetris teruji, kolaborasi tim terstruktur, serta kedaulatan data penuh tanpa ketergantungan pada pihak ketiga. Keandalan sistem ini telah dibuktikan oleh puluhan ribu organisasi dan diperkuat oleh audit keamanan independen yang dipublikasikan secara terbuka. Langkah terbaik adalah segera memulai instalasi dalam skala kecil untuk mengevaluasi alur kerjanya sebelum insiden keamanan terjadi pada organisasi Anda.
