Aller au contenu

Agent Cyberwatch

Instructions génériques pour l'installation manuelle de Cyberwatch sur le serveur.

Note : Actuellement, seul le cd43 a installé la solution. D'autres façons de l'installer pourraient être valide.

Prérequis

L'installation de Cyberwatch nécessite :

  • Un repository où trouver le package cyberwatch-agent.
  • Un fichier de conf /etc/cyberwatch-agent/agent.conf
  • Un fichier de conf /etc/cyberwatch-agent/agent-register.conf

TODO : Éclaircir le point suivant : Les deux fichiers de conf doivent-ils être identique (ce que laisse penser le rôle ansible) ou différents (ce que laisse penser les fichiers envoyés par le CD43)

Le fichier de configuration contient notamment la clé de licence et le serveur à contacter :

base_url = https://XXXXXXXX/api/vX/
access_key_id =XXXXXX
secret_access_key = XXXXX
registration_key_id = XXXX
secret_registration_key = XXXX

Installation

Ajouter un ficher /etc/apt/source.list.d/cyberwatch.list contenant 

deb [signed-by=/usr/share/keyrings/cyberwatch-archive-keyring.gpg] https://SERVER/cyberwatch/repos/apt any main```

Ajouter la clé de signature du repository : 

wget --no-check-certificate -qO - https://SERVER/repos/keys/APT-CYBERWATCH-GPG-KEY | sudo apt-key --keyring /usr/share/keyrings/cyberwatch-archive-keyring.gpg add -

La partie --keyring /usr/share/keyrings/cyberwatch-archive-keyring.gpg n'etait pas présente lors du test sur l'instance. Il n'est pas impossible que cela ait un peu gèné le apt update qui a suivi.

Si le repository a un certificat «non-standard», il faut rajouter un fichier de configuration à apt pour qu'il lui fasse quand même confiance :

#/etc/apt/apt.conf.d/90ssl-exceptions
#Version où on ne check pas que pour le SERVER : 
Acquire::https::SERVER::Verify-Peer "false";
Acquire::https::SERVER::Verify-Host "false";
#Version où aucun contrôle n'est fait : 
#Acquire::https::Verify-Peer "false";
#Acquire::https::Verify-Host "false";

Enfin : 

sudo apt update && sudo apt install cyberwatch-agent

Configuration

Écrire les fichiers /etc/cyberwatch-agent/agent.conf et /etc/cyberwatch-agent/agent-register.conf dont le contenu est «globalement» : 

# Ansible managed
[api]
base_url = https://SERVER/api/v2/
access_key_id =
secret_access_key =
registration_key_id = 
secret_registration_key = 
groups = ,
category = 
allow_selfsigned = True

[proxy]
enabled = False
host =

On devrait bientôt savoir si les deux fichiers sont identiques ou pas.

sudo cyberwatch-agent

Pour vérifier que tout fonctionne correctement.

On peut vérifier que cyberwatch se lance toutes les 5 minutes en consultat /var/log/cyberwatch-agent/agent.log