Déployer Cyberwatch avec Podman

L’orchestrateur Podman est proposé à titre expérimental. Pour garantir la stabilité des déploiements, l’orchestrateur Swarm est à privilégier. Pour toute question ou accompagnement, veuillez contacter le support Cyberwatch.

La procédure d’installation de Cyberwatch nécessite :

• une machine virtuelle respectant les prérequis techniques du logiciel
• des identifiants valides pour l’accès au repository du logiciel Cyberwatch
• un fichier de licence valide pour l’accès à la base de vulnérabilités Cyberwatch

Elle se déroule ensuite de la manière suivante :

1. Se connecter au serveur qui va héberger l’application Cyberwatch avec un compte root ou sudoer

2. Installer les dépendances logicielles :

   • Podman en version 4.9.3 minimum
   • Podman-compose en version 1.5.0 minimum github/podman-compose

3. Ajouter les dépôts Cyberwatch pour votre distribution puis installer Cyberwatch :

   Pour les distributions basées sur Debian :

   sudo install -m 0755 -d /etc/apt/keyrings
   curl https://dl.cyberwatch.com/apt/APT-CYBERWATCH-GPG-KEY | sudo gpg --dearmor -o /etc/apt/keyrings/cyberwatch.gpg
   sudo chmod a+r /etc/apt/keyrings/cyberwatch.gpg
   echo "deb [signed-by=/etc/apt/keyrings/cyberwatch.gpg] https://dl.cyberwatch.com/apt any main" | sudo tee /etc/apt/sources.list.d/cyberwatch.list > /dev/null
   sudo apt update
   sudo apt install cyberwatch-podman
   

   Pour les distributions basées sur Red Hat :

   sudo dnf config-manager --add-repo https://dl.cyberwatch.com/rpm/cyberwatch.repo
   sudo dnf install cyberwatch-podman
   

   L’installation va créer un utilisateur cyberwatch qui sert à exécuter les conteneurs sans avoir d’accès root. Assurez-vous que l’utilisateur cyberwatch a bien accès à Podman en utilisant la commande podman ps et à la commande podman-compose avec podman-compose version.

4. Configuration des plages subuid/subgid :

   Pour permettre à Podman d’exécuter des conteneurs en mode rootless, il est nécessaire de définir une plage de subuid/subgid dans les fichiers /etc/subuid et /etc/subgid :

   # Taille minimale de la plage nécessaire: 327680.
   
   cyberwatch:100000:327680
   

   Veillez à ne pas superposer cette plage avec celle d’un autre utilisateur déjà présent dans ces fichiers.

   Ensuite valider le changement avec :

   sudo su - cyberwatch -c "podman system migrate"
   

5. Configurer l’installation :

   sudo cyberwatch configure
   

   Le processus d’installation vous demandera un couple identifiant/mot de passe vous permettant d’accéder aux dépôts des conteneurs.

   Le démarrage de l’application peut prendre quelques minutes, le temps de télécharger les images et démarrer les containers. Pour surveiller l’état des conteneurs, utiliser la commande suivante :

   sudo cyberwatch status
   

6. Quand tous les services sont dans l’état Running, ouvrir un navigateur web sur l’adresse IP (ou alias DNS) du serveur Cyberwatch en HTTPS

   Les ports <1024 étant des ports privilégiés, l’application est exposée par défaut sur les ports 8080 et 8443. Pour savoir comment changer ce comportement, consulter la page Changer les ports utilisés par le conteneur nginx.