Leitfaden: Einrichtung von PasswordPusher mit S3 Object Storage

PasswordPusher ist eine Open-Source-Webanwendung, mit der man Passwörter oder andere sensible Informationen über temporäre Links sicher teilen kann. Diese Links verfallen automatisch nach einer bestimmten Anzahl von Aufrufen oder nach einer definierten Zeitspanne und die Daten werden anschließend gelöscht. In diesem Leitfaden wird Schritt für Schritt erklärt, wie Sie PasswordPusher auf Ihrem Webspace installieren und so konfigurieren, dass hochgeladene Dateien in einem S3-kompatiblen Object Storage (hier der Object Storage 2.0 von Timme Hosting) gespeichert werden. Dadurch lagern alle hochgeladenen Dateien in einem zentralen, privaten Bucket in der Cloud, anstatt auf dem Webserver, was Skalierbarkeit und Sicherheit verbessern kann.

Diese Anleitung richtet sich an Kunden mit einem gebuchten Object Storage und einem Server (Managed vServer, Managed Server, ScaleServer) mit Zugang zu unserem Server-Control-Panel ISPConfig. Alle Schritte werden detailliert beschrieben - von der Vorbereitung des Object Storage über die Installation der AWS Command Line Interface (AWS CLI) bis hin zur eigentlichen Installation von PasswordPusher mittels App-Installer und der abschließenden Konfiguration. Befolgen Sie die Schritte nacheinander, um am Ende ein einsatzbereites PasswordPusher mit angebundenem S3-Speicher zu erhalten.

Bevor Sie beginnen, stellen Sie sicher, dass folgende Voraussetzungen erfüllt sind:

• Sie haben einen Object Storage bei Timme Hosting oder einen anderen S3-kompatiblen Speicher bestellt. Sie benötigen die Zugangsdaten (Access-Key und Secret) sowie den Endpunkt und Region-Angaben für den S3-Speicher.
• Sie haben Zugriff auf das ISPConfig Ihres Servers, um die App-Installation durchzuführen. Idealerweise haben Sie bereits eine Domain oder Subdomain vorbereitet, unter der PasswordPusher laufen soll (z.B. pwpush.ihre-domain.tld) und diese in ISPConfig als Webseite angelegt.
• Die AWS Command Line Interface Version 2 muss auf Ihrem lokalen Rechner installiert sein, um den S3-Bucket konfigurieren zu können (insbesondere für das Setzen der CORS-Regel). Eine Internetverbindung ist für die Installation und Konfiguration ebenfalls erforderlich.
• Einfache Kenntnisse im Umgang mit der Kommandozeile (Terminal oder Eingabeaufforderung) sind hilfreich, da die Konfiguration des Buckets über Befehle erfolgt. Außerdem sollten Sie Ihre E-Mail-Server-Daten (SMTP) zur Hand haben, damit PasswordPusher E-Mails (für Registrierung, Passwort-Reset etc.) versenden kann.

Wenn all diese Voraussetzungen erfüllt sind, können Sie mit der Einrichtung beginnen. Im Folgenden gehen wir Schritt für Schritt durch den Prozess.

Als erstes richten wir den S3-Speicher ein, der von PasswordPusher zur Ablage von Dateien genutzt werden soll. Gehen Sie hierzu wie folgt vor:

Nach diesen Schritten haben Sie alles vorbereitet: einen privaten Bucket (pwpush) und gültige Zugangsschlüssel samt Endpunkt-Informationen. Als nächstes installieren wir die AWS-CLI, um eine CORS-Regel auf dem Bucket zu setzen.

Die AWS Command Line Interface (AWS CLI) ist ein Werkzeug, mit dem Sie AWS- und S3-kompatible Dienste über die Kommandozeile verwalten können. In unserem Fall nutzen wir es, um den Bucket zu konfigurieren (CORS-Einstellungen setzen).

Installieren Sie nun die AWS CLI Version 2 auf Ihrem lokalen Computer. Amazon bietet dafür Installationspakete für verschiedene Betriebssysteme an:

AWS bietet für jede Plattform detaillierte Anweisungen an - wählen Sie die für Ihr Betriebssystem passende Installationsmethode aus. Nach erfolgreicher Installation können Sie in einem Terminal oder der Eingabeaufforderung testen, ob alles geklappt hat, indem Sie den Befehl aws --version ausführen. Es sollte eine Ausgabe mit der Versionsnummer der AWS CLI erscheinen (z.B. aws-cli/2.x.x Python/3.x ...). Damit ist die AWS CLI bereit für die Konfiguration.

Nachdem die AWS CLI installiert ist, müssen Sie sie so konfigurieren, dass sie mit Ihrem Object Storage arbeiten kann. Dies umfasst das Hinterlegen Ihrer Zugangsschlüssel sowie das Einrichten des speziellen Endpoint-URLs. Wir nutzen dafür die Konfigurationsdateien der AWS CLI, in denen sogenannte Profile definiert werden.

Gehen Sie folgendermaßen vor:

Erläuterungen:

In dieser config-Datei definieren wir zwei Profile. Das Profil default setzt den Signatur-Algorithmus für S3 auf v4 (notwendig für viele S3-kompatible Dienste) und legt eine Standard-Region fest. Wichtiger ist das Profil pwpush: Hier wird die Region auf europe-2 gesetzt (verwenden Sie die Region Ihres Object Storage - Im Beispiel ist europe-2 korrekt) und durch services = pwpush wird auf eine benutzerdefinierte Service-Definition verwiesen. Unter [services pwpush] sind die Endpunkte für die Dienste S3, IAM und STS festgelegt. Ersetzen Sie os<Ihre-ID>.meinecloud.xyz durch den tatsächlichen Endpoint Ihres Object Storage ohne Pfad. Diese Einstellungen sorgen dafür, dass die AWS CLI für das Profil pwpush nicht die öffentlichen AWS-Endpoints nutzt, sondern die Ihres Object Storage Anbieters (daher die speziellen URLs).

Speichern Sie die Dateien. Damit haben Sie ein Profil namens pwpush angelegt, das Ihre Zugangsdaten enthält und auf den richtigen Endpoint zeigt. Die Datei credentials enthält vertrauliche Schlüssel und sollte nicht an Dritte weitergegeben werden. Die AWS CLI greift nun beim Ausführen von Befehlen mit --profile pwpush auf diese Einstellungen zurück.

Hinweis: Unter Windows liegen die Dateien z.B. in C:\Users\<Benutzer>\.aws\config bzw. ...\credentials, unter MacOS/Linux in ~/.aws/config bzw. ~/.aws/credentials. Achten Sie darauf, die Dateien im richtigen Verzeichnis abzulegen.

Damit PasswordPusher Dateien direkt vom Browser aus in Ihren S3-Bucket hochladen kann, muss eine entsprechende CORS-Regel (Cross-Origin Resource Sharing) für den Bucket gesetzt werden. PasswordPusher nutzt für Datei-Uploads die direkte Browser-zu-S3-Methode (über die Rails ActiveStorage Bibliothek), um Performance zu verbessern und den Webserver zu entlasten. Ohne CORS-Konfiguration würde der Browser diese direkten Uploads aus Sicherheitsgründen blockieren.

Wir verwenden die AWS CLI, um die CORS-Einstellungen auf dem Bucket pwpush zu setzen. Führen Sie in Ihrem Terminal folgenden Befehl aus:

aws s3api put-bucket-cors --bucket pwpush --profile pwpush --cors-configuration '{
  "CORSRules": [
    {
      "AllowedHeaders": [
        "content-type", "content-md5", "content-disposition"
      ],
      "AllowedMethods": [
        "PUT"
      ],
      "AllowedOrigins": [
        "https://pwpush.ihre-domain.tld"
      ],
      "MaxAgeSeconds": 3600
    }
  ]
}'

Passen Sie in dem JSON-Block den Wert bei AllowedOrigins an Ihre Domain an, unter der PasswordPusher laufen wird. Im obigen Beispiel ist dies https://pwpush.ihre-domain.tld - ersetzen Sie dies entsprechend. Die obigen Einstellungen erlauben vom Browser aus PUT-Anfragen (die zum Hochladen von Dateien genutzt werden) an den Bucket, mit den angegebenen Headern (Content-Type, Content-MD5, Content-Disposition) und nur von Ihrer spezifischen Origin (Ihrer PasswordPusher-Website). Die MaxAgeSeconds von 3600 gibt an, wie lange der Browser die CORS-Vorabfrage zwischenspeichern darf (hier 1 Stunde).

Wenn der Befehl erfolgreich ausgeführt wurde, erhält der Bucket die CORS-Regel. Sie können optional prüfen, ob alles korrekt gesetzt ist, indem Sie aws s3api get-bucket-cors --bucket pwpush --profile pwpush ausführen. Nach diesem Schritt ist der Object Storage vorbereitet und PasswordPusher darf künftig von Ihrer Domain aus Dateien hochladen.

Nun installieren wir die PasswordPusher-Anwendung selbst auf Ihrem Webspace. Dies geschieht komfortabel über den App-Installer in ISPConfig. Gehen sie so vor:

Nach erfolgreicher Installation sollten Sie in der Übersicht der Apps sehen, dass PasswordPusher installiert ist. Außerdem wurden im Hintergrund eine Datenbank und alle notwendigen Dateien für PasswordPusher eingerichtet. Ihre PasswordPusher-Instanz ist jetzt über die gewählte Domain/Subdomain erreichbar.

Tipp: Öffnen Sie testweise Ihre PasswordPusher-URL im Browser (z.B. https://pwpush.ihre-domain.tld). Sie sollten die Startseite der Anwendung sehen, die Ihnen anbietet, ein Passwort einzugeben und einen Push zu erstellen. Bevor wir den Dienst nutzen, müssen wir jedoch noch einige Einstellungen anpassen und einen Admin-Zugang einrichten.

In ISPConfig finden Sie bei der Webseite, die Sie für PasswordPusher konfiguriert haben, den Reiter "Weitere Einstellungen", in dem spezifische PasswordPusher-Konfigurationen vorgenommen werden können. Hier stellen wir Dinge wie Mail-Server, S3-Speicher und Berechtigungen ein. Navigieren Sie in ISPConfig zu Webseiten -> Ihre PasswordPusher-Website -> Weitere Einstellungen. Dort finden Sie eine Reihe von Feldern und Optionen. Nehmen Sie folgende Konfiguration vor:

• Absender-Adresse für PasswordPusher-E-Mails: Tragen Sie hier eine E-Mail-Adresse ein, die als Absender für vom System verschickte E-Mails dienen soll. Zum Beispiel pwpush@ihre-domain.tld. Stellen Sie sicher, dass diese Absenderadresse auf Ihrem Mailserver existiert oder akzeptiert wird, um Zustellprobleme zu vermeiden.
• Aktiviere Benutzerauthentifizierung: Setzen Sie hier ein Häkchen (auf "Ja"), um das Login-/Benutzersystem von PasswordPusher zu aktivieren. Dadurch wird die Möglichkeit geschaffen, dass sich Nutzer anmelden und die Admin-Funktion wird verfügbar. Ohne Aktivierung wären alle Nutzer anonym, was meist nicht gewünscht ist, wenn man Admin-Funktionen nutzen will.
• Erlaube Anonyme Password-Pushes: Optional können Sie festlegen, ob nicht angemeldete Besucher Passwörter einstellen dürfen. Wenn Sie dieses Kästchen aktivieren, kann jeder auch ohne Account einen Password-Push erstellen. Wenn Sie es deaktivieren, müssen Benutzer eingeloggt sein, um neue Passwörter zu teilen. Wählen Sie je nach Ihrem gewünschten Sicherheitsniveau. Im Zweifel können Sie es aktivieren, um spontane Nutzung zu ermöglichen, da trotzdem sensible Daten nur über sichere Links geteilt werden.
• Aktiviere die Registrierung: Setzen Sie auch hier ein Häkchen, um neuen Benutzern die Selbst-Registrierung zu erlauben. Dies haben wir bereits genutzt, um den ersten Account zu erstellen. Wenn Sie die Nutzung nur auf einen geschlossenen Benutzerkreis beschränken möchten, können Sie diese Option später deaktivieren. Für den Anfang aktivieren wir sie, damit auch weitere Kollegen/Kunden Konten erstellen könnten.
• SMTP-Server: Tragen Sie den Hostnamen Ihres SMTP-Servers ein, über den PasswordPusher E-Mails versenden soll. Beispielsweise mail.ihre-domain.tld oder den von Ihrem E-Mail-Provider vorgegebenen SMTP-Host.
• SMTP-Port: Geben Sie den Port für den E-Mail-Versand an. Üblich sind 587 (Submission mit STARTTLS) oder 465 (SMTPS SSL). In unserem Beispiel und den meisten Fällen ist 587 korrekt (STARTTLS).
• SMTP-Authentifizierungsart: Wählen Sie die Art der SMTP-Authentifizierung. Typische Optionen sind login (Benutzername/Passwort im Klartext nach STARTTLS), plain oder cram_md5. Wenn Sie unsicher sind, wählen Sie login, das funktioniert in vielen Standardfällen. Ihr Mail-Provider kann hierzu Auskunft geben; oft entsprechen "Normal Password" = login oder plain.
• SMTP-Benutzername: Der Benutzername für die SMTP-Authentifizierung. Das ist häufig die vollständige E-Mail-Adresse, die Sie als Absender nutzen, oder ein spezieller SMTP-User von Ihrem Mailanbieter.
• SMTP-Passwort: Das Passwort zu obigem SMTP-Benutzer. Geben Sie es sorgfältig ein. Beachten Sie, dass dieses im Klartext in der Konfiguration gespeichert wird - es sollte sich um ein dediziertes SMTP-Passwort handeln und Sie sollten die ISPConfig-Zugänge gut sichern.
• Aktiviere die Datei-Push-Funktion: Setzen Sie hier das Häkchen, um File Pushes zu erlauben. Das bedeutet, Benutzer können Dateien (z.B. PDFs, Bilder o.ä.) an einen Password-Push anhängen und diese werden dann in Ihrem S3-Bucket gespeichert. Ohne diese Option würden nur Text-Passwörter erlaubt und keine Datei-Uploads.
• Aktiviere die URL-Push-Funktion: Setzen Sie ebenfalls ein Häkchen, um URL Pushes zu erlauben. Damit können Benutzer URLs teilen, die von PasswordPusher gekürzt und nach Zeit/X Zugriffen ungültig gemacht werden (praktisch, um z.B. sicher einen einmaligen Link zu teilen).
• Zeitzone: Wählen Sie hier die Zeitzone aus, in der Ihre Anwendung laufen soll. Für Deutschland z.B. Europe/Berlin. Dadurch stellt PasswordPusher Datums- und Zeitangaben (wie Ablaufzeiten) in der korrekten lokalen Zeit dar.
• Zeitplan für Installation von App-Updates: Hier können Sie einstellen, wie der App-Installer Updates für PasswordPusher einspielen soll. Eine gute Wahl ist wöchentlich, damit Ihr System regelmäßig auf dem neuesten Stand bleibt, ohne dass Sie manuell eingreifen müssen. Alternativ können Sie auch manuell updaten oder andere Intervalle wählen, je nach Bedarf.

Nachdem Sie alle Felder ausgefüllt und Optionen gesetzt haben, klicken Sie auf "Speichern". Die Einstellungen werden nun wirksam. Im Hintergrund schreibt ISPConfig die Werte in die Konfigurationsdateien von PasswordPusher.

Bevor wir in ISPConfig die finalen Einstellungen setzen, erstellen wir einen Admin-Benutzer innerhalb von PasswordPusher. Um sich selbst Admin-Rechte zu geben, legt man zunächst im laufenden System einen Account an und trägt dessen E-Mail später in den Einstellungen als Admin ein.

Führen Sie folgende Schritte durch:

Merken Sie sich die E-Mail-Adresse, mit der Sie den Account erstellt haben - diese benötigen Sie im nächsten Schritt, um dem Benutzer Admin-Berechtigungen zu erteilen.

Nach Erstellung des Admin-Benutzers können wir nun in ISPConfig die finalen Einstellungen für PasswordPusher vornehmen. Navigieren Sie in ISPConfig erneut zu Webseiten -> Ihre PasswordPusher-Website -> Weitere Einstellungen. Nehmen Sie folgende Konfiguration vor:

• E-Mail für Admin-Berechtigung: In dieses Feld tragen Sie die E-Mail-Adresse des Benutzers ein, der Admin-Rechte bekommen soll - also die E-Mail, die Sie in Schritt 6 bei der Registrierung verwendet haben. Beispiel: mein.name@ihre-domain.tld. Wichtig: Wenn Sie das Feld zuvor leer gelassen hatten (wie empfohlen), tragen Sie es jetzt ein, um Ihren Account zum Admin zu machen. PasswordPusher wird diesen Benutzer nun als Administrator führen. Sie können hier auch mehrere E-Mails kommagetrennt eintragen, falls mehrere Admins gewünscht sind.
• Datei-Speicherort: Wählen Sie hier "Amazon S3" aus der Dropdown-Liste. Diese Option steht für S3-kompatible Objekt-Speicher und stellt in PasswordPusher den modus auf externe Dateiablage um.
• S3 Endpunkt: Hier kommt die Endpoint-URL Ihres Object Storage hinein (der gleiche, den Sie in der AWS CLI config verwendet haben). Zum Beispiel https://os-12345.meinecloud.xyz (ersetzen Sie mit Ihrer spezifischen URL). Achten Sie darauf, das Protokoll (http/https) mit anzugeben, meist wird es https sein. Dies entspricht dem PWP__FILES__S3__ENDPOINT, das in der PasswordPusher-Dokumentation für S3-Backends gefordert ist.
• S3 Access Key: Ihre Access Key ID für den Object Storage (der Benutzer, den Sie in Schritt 1 erstellt haben). Tragen Sie den Wert ein (z.B. AKIAD... etc.). Dieser entspricht PWP__FILES__S3__ACCESS_KEY_ID in der PasswordPusher-Konfiguration.
• S3 Secret: Ihr Secret Access Key, der zum obigen Access Key gehört. Geben Sie ihn genau so ein, wie notiert. Dieser entspricht PWP__FILES__S3__SECRET_ACESS_KEY.
• S3 Region: Die Region Ihres Object Storage. In unserem Beispiel wäre das europe-2 (tragen Sie die Region ein, die Sie in Schritt 1 notiert haben). Dieser Wert entspricht PWP__FILES__S3__REGION. Achen Sie auf genaue Schreibweise (ggf. kleinbuchstabig, keine extra Leerzeichen).
• S3 Bucket: Der Name des Buckets, den Sie verwenden möchten - in unserem Fall pwpush. Tragen Sie exakt diesen Namen ein. Dieser entspricht PWP__FILES__S3__BUCKET.

Nachdem Sie alle Felder ausgefüllt und Optionen gesetzt haben, klicken Sie auf "Speichern".

Ihre PasswordPusher-Instanz ist nun vollständig installiert und konfiguriert. Zum Abschluss sollten Sie folgende Punkte überprüfen und durchführen:

• Admin-Rechte testen: Loggen Sie sich mit dem zuvor erstellten Benutzer erneut in PasswordPusher ein (falls Sie nicht mehr eingeloggt sind). Sie sollten nun im Interface erkennen können, dass Sie Admin-Rechte haben - z.B. durch Zugriff auf einen Admin-Bereich oder daran, dass Sie Benutzer verwalten können.
• Funktionaler Test - Passwort teilen: Versuchen Sie, ein erstes Passwort (oder Text) zu pushen, um sicherzustellen, dass die Grundfunktion funktioniert. Klicken Sie auf "Neuen Push erstellen", geben Sie einen Testtext ein und erstellen Sie den Push. Sie sollten einen Link erhalten und diesen öffnen können.
• Datei-Upload testen: Testen Sie speziell die Datei-Push-Funktion, da diese das S3-Backend nutzt. Erstellen Sie einen neuen Push und hängen Sie eine kleine Test-Datei an. Beim Absenden sollte die Datei hochgeladen werden. Wenn alles korrekt konfiguriert ist, wird die Datei direkt in Ihren Bucket pwpush hochgeladen (per Browser-Upload). Sollte der Upload fehlschlagen, prüfen Sie die CORS-Einstellung (Schritt 4) und die S3-Zugangsdaten (Schritt 7) noch einmal. Bei Erfolg können Sie im Object Storage nachsehen - die Datei sollte dort (in einem automatisch erstellten Unterordner, z.B. nach Upload-Datum) abgelegt sein.
• E-Mail-Versand testen: Da PasswordPusher E-Mails versenden können muss (für Registrierung, Benachrichtigungen, Passwort-Reset), testen Sie die Mailfunktion. Lassen Sie z.B. über die "Passwort vergessen"-Funktion eine E-Mail an Ihren Account schicken, oder - falls möglich - bestätigen Sie die Registrierung (wenn noch ausstehend). Stellen Sie sicher, dass die E-Mail bei Ihnen ankommt. Falls nicht, überprüfen Sie SMTP-Server, Port, Authentifizierung und Absenderadresse in den Einstellungen. Eventuell müssen Sie im Mailserver die Absenderadresse autorisieren oder ein spezifisches App-Passwort nutzen.

Wenn all diese Tests erfolgreich sind, haben Sie PasswordPusher erfolgreich mit Ihrem Object Storage verbunden. Von nun an werden alle hochgeladenen Dateien (Attachments) im S3-Bucket gespeichert, was von PasswordPusher transparent gehandhabt wird. Sie können jederzeit in Ihrem Object Storage die gespeicherten Objekte einsehen oder den Speicherplatz überwachen. Beachten Sie, dass gelöschte/abgelaufene Passwörter samt Dateien auch aus dem Bucket entfernt werden. Dies geschieht in der Regel durch einen Hintergrundprozess von PasswordPusher.

Damit ist die Einrichtung abgeschlossen. Sie haben jetzt eine sichere Möglichkeit, Passwörter, Dateien oder Links mit anderen zu teilen, wobei die Daten zeitlich begrenzt verfügbar sind und Dateien in Ihrem eigenen Object Storage liegen.

Geschafft! Sie haben PasswordPusher mit einem S3 Object Storage eingerichtet!

Noch mehr Anleitungen ▶