Importer ou mettre à jour la base des vulnérabilités avec MicroK8s

Cette procédure détaille les étapes à suivre pour importer ou mettre à jour la base de données des vulnérabilités dans votre instance Cyberwatch déployée en mode hors-ligne avec MicroK8s.

La base de données des vulnérabilités peut être mise à jour depuis un navigateur web ou en ligne de commande. L’import depuis un navigateur est adapté à une mise à jour ponctuelle de la base de données des vulnérabilités. Au contraire, l’import en ligne de commande sera plus adapté pour un usage fréquent puisqu’il peut être automatisé.

Prérequis

La procédure d’importation de la base des vulnérabilités nécessite :

• une machine connectée à internet ;
• des identifiants valides pour l’accès au repository du logiciel Cyberwatch ;
• une instance Cyberwatch déployée en mode hors-ligne avec MicroK8s.

Depuis un navigateur

Cette section décrit comment récupérer et importer la base de données des vulnérabilités depuis un navigateur web. Elle est adaptée à un usage ponctuel.

1. Télécharger l’archive des vulnérabilités depuis l’adresse https://dl.cyberwatch.fr/download_database. L’accès est protégé par une authentification basic auth. Les identifiants d’accès sont fournis par Cyberwatch.

2. Se connecter à l’interface web de l’instance Cyberwatch avec un compte Administrateur.

3. Se rendre sur la page vue d’ensemble d’admin.

4. Cliquer sur le bouton « Téléverser », près du titre « Base de donnée de sécurité ».

5. Importer le fichier précédemment téléchargé et cliquer sur « Mettre à jour ».

En ligne de commande

Cette section décrit comment récupérer et importer la base de données des vulnérabilités depuis la ligne de commande. Elle est pensée pour être automatisée.

Récupérer la base de données

1. Exporter les variables de connexion à Cyberwatch dans l’environnement (completer avec les identifiants fournis par Cyberwatch) :

    export CBW_USER=
    export CBW_PASSWORD=
   

2. Récupérer la base de données de vulnérabilités :

   curl -u "$CBW_USER:$CBW_PASSWORD" \
      -sf https://dl.cyberwatch.fr/download_database \
      -o vulnerability_db.zip
   

3. (Optionnel) Vérifier l’intégrité de la base de données de vulnérabilité :

   1. Extraire l’archive :

      unzip vulnerability_db.zip
      

   2. Récupérer la clé publique de Cyberwatch :

      curl https://dl.cyberwatch.fr/securitydb/cyberwatch.pub -o cyberwatch.pub
      

   3. Calculer le sha256 de la base :

      head -c -1 cyberwatch.sig > signature
      head -c -1 cyberwatch.db | sha256sum | cut -f1 -d' '| tr -d '\n' > cyberwatch.db.sha256
      

   4. Vérifier la signature :

      openssl dgst -sha256 -verify cyberwatch.pub -signature signature cyberwatch.db.sha256
      

      Le resultat de cette commande doit être Verified OK.

Importer l’archive dans Cyberwatch

1. Importer l’archive vulnerability_db.zip sur la machine où Cyberwatch est installé.

2. Se connecter sur la machine où Cyberwatch est installé en SSH.

3. Déplacer l’archive .zip dans le volume securitydb :

   mkdir -p /var/lib/volumes/cyberwatch/securitydb
   mv vulnerability_db.zip /var/lib/volumes/cyberwatch/securitydb
   

4. Appliquer les changements :

   sudo cyberwatch restart
   

5. Exécuter la commande pour lancer la synchronisation :

   sudo cyberwatch exec sidekiq security_database_import_task