Deploiement Cyberwatch Sans agent Unix

De Docaposte Cyberdéfense
Aller à : navigation, rechercher
Retour

Introduction

Le mode "sans agent" requiert une connexion stable depuis la machine Cyberwatch vers la machine à protéger. Il donne strictement les mêmes résultats d'analyse que le mode "avec agent" : la seule différence réside dans le sens des flux réseaux.

Flux du mode "avec agent" : Machine à protéger + agent -> Cyberwatch. Flux du mode "sans agent" : Cyberwatch -> Machine à protéger. Le mode "sans agent" dispose de trois stratégies de déploiement :

Déploiement sur Linux avec authentication par identifiant / mot de passe via SSH ; Déploiement sur Linux avec authentication par clé publique / privée via SSH (recommandé) ; Déploiement sur Windows avec authentication par identifiant / mot de passe via WinRM.

Linux avec mot de passe

Déployer sur Linux avec une authentication par identifiant / mot de passe 1. Sur le serveur Linux à protéger, créer un utilisateur cyberwatch via les commandes : 

sudo useradd --create-home --shell '/bin/bash' --comment 'CyberWatch SAS' 'cyberwatch'
sudo passwd cyberwatch # Attention il faudra saisir ici le mot de passe du compte

2. Dans le formulaire ci-dessus, saisir l'IP de la machine cible, le nom de l'utilisateur cyberwatch, et le mot de passe associé.

Déployer des correctifs avec Cyberwatch (facultatif) : Si vous souhaitez par ailleurs déployer des correctifs de sécurité de Cyberwatch, vous devez également donner les droits sudoers SANS TTY à l'utilisateur Cyberwatch.

Pour cela, éditez le fichier /etc/sudoers à l'aide de la commande visudo et ajoutez les lignes suivantes à la fin du fichier : 

# cyberwatch privileges
cyberwatch ALL=(ALL) NOPASSWD:ALL
Defaults:cyberwatch !requiretty

Linux avec clé

1. Sur une machine Linux dédiée à la génération de clés, générer une clé RSA 4096 bits : 

ssh-keygen -t rsa -b 4096

Par défaut, cette clé sera sauvegardée dans les fichiers '~/.ssh/id_rsa' (clé privée) et '~/.ssh/id_rsa.pub' (clé publique).

2. Sur le serveur Linux à protéger, créer un utilisateur 'cyberwatch' via les commandes : 

sudo useradd --create-home --shell '/bin/bash' --comment 'CyberWatch SAS' 'cyberwatch'

3. Depuis la machine Linux dédiée à la génération de clés, transférer la clé publique générée au point 1 vers le serveur Linux à protéger avec la commande : 

cat ~/.ssh/id_rsa.pub | ssh user@host 'sudo tee -a /home/cyberwatch/.ssh/authorized_keys'

4. Dans le formulaire ci-dessus, saisir l'IP de la machine cible, le nom de l'utilisateur cyberwatch, et la clé privée générée au point 1.

Déployer des correctifs avec Cyberwatch (facultatif) : Si vous souhaitez par ailleurs déployer des correctifs de sécurité de Cyberwatch, vous devez également donner les droits sudoers SANS TTY à l'utilisateur Cyberwatch.

Pour cela, éditez le fichier /etc/sudoers à l'aide de la commande visudo et ajoutez les lignes suivantes à la fin du fichier : 

# cyberwatch privileges
cyberwatch ALL=(ALL) NOPASSWD:ALL
Defaults:cyberwatch !requiretty
Récupérée de « https://csirt.docapost.fr/index.php?title=Deploiement_Cyberwatch_Sans_agent_Unix&oldid=1135 »