Importer ou mettre à jour la base des vulnérabilités avec MicroK8s
Cette procédure détaille les étapes à suivre pour importer ou mettre à jour la base de données des vulnérabilités dans votre instance Cyberwatch déployée en mode hors-ligne avec MicroK8s.
La base de données des vulnérabilités peut être mise à jour depuis un navigateur web ou en ligne de commande. L’import depuis un navigateur est adapté à une mise à jour ponctuelle de la base de données des vulnérabilités. Au contraire, l’import en ligne de commande sera plus adapté pour un usage fréquent puisqu’il peut être automatisé.
Prérequis
La procédure d’importation de la base des vulnérabilités nécessite :
- une machine connectée à internet
- des identifiants valides pour l’accès au repository du logiciel Cyberwatch
- une instance Cyberwatch déployée en mode hors-ligne avec MicroK8s
Depuis un navigateur
Cette section décrit comment récupérer et importer la base de données des vulnérabilités depuis un navigateur web. Elle est adaptée à un usage ponctuel.
Télécharger l’archive des vulnérabilités depuis l’adresse https://dl.cyberwatch.fr/download_database, l’accès est protégé par une authentification
basic auth
et les identifiants d’accès sont fournis par CyberwatchSe connecter à l’interface web de l’instance Cyberwatch avec un compte Administrateur
Se rendre sur la page vue d’ensemble d’admin
Cliquer sur le bouton « Téléverser », près du titre « Base de donnée de sécurité »
Importer le fichier précédemment téléchargé et cliquer sur « Mettre à jour »
En ligne de commande
Cette section décrit comment récupérer et importer la base de données des vulnérabilités depuis la ligne de commande. Elle est pensée pour être automatisée.
Récupérer la base de données
Exporter les variables de connexion à Cyberwatch dans l’environnement (completer avec les identifiants fournis par Cyberwatch) :
export CBW_USER= export CBW_PASSWORD=
Récupérer la base de données de vulnérabilités :
curl -u "$CBW_USER:$CBW_PASSWORD" \ -sf https://dl.cyberwatch.fr/download_database \ -o vulnerability_db.zip
(Optionnel) Vérifier l’intégrité de la base de données de vulnérabilité :
Extraire l’archive :
unzip vulnerability_db.zip
Récupérer la clé publique de Cyberwatch :
curl https://dl.cyberwatch.fr/securitydb/cyberwatch.pub -o cyberwatch.pub
Calculer le sha256 de la base :
head -c -1 cyberwatch.sig > signature head -c -1 cyberwatch.db | sha256sum | cut -f1 -d' '| tr -d '\n' > cyberwatch.db.sha256
Vérifier la signature :
openssl dgst -sha256 -verify cyberwatch.pub -signature signature cyberwatch.db.sha256
Le resultat de cette commande doit être
Verified OK
.
Importer l’archive dans Cyberwatch
Importer l’archive
vulnerability_db.zip
sur la machine où Cyberwatch est installéSe connecter sur la machine où Cyberwatch est installé en SSH
Déplacer l’archive
.zip
dans le volumesecuritydb
:mkdir -p /var/lib/volumes/cyberwatch/securitydb mv vulnerability_db.zip /var/lib/volumes/cyberwatch/securitydb
Appliquer les changements :
sudo cyberwatch restart
Exécuter la commande pour lancer la synchronisation :
sudo cyberwatch exec sidekiq_master security_database_import_task