Configuration de l'authentification par clé publique du système d'exploitation Linux

Pour analyser les systèmes d'exploitation Linux® à l'aide de l'authentification par clé publique sécurisée, vous devez configurer votre console IBM® QRadar® ou votre hôte géré et l'actif que vous souhaitez analyser. Lorsque l'authentification est configurée, vous pouvez effectuer une analyse authentifiée en spécifiant un nom d'utilisateur du système d'exploitation Linux et en ne spécifiant pas de mot de passe. QRadar prend en charge rsa et dsa pour la génération de clés SSH.

Avant de commencer

Vous devez installer une clé publique et une clé privée sur un scanner QVM et installer la clé publique sur la cible d'analyse.

Un scanner QVM est automatiquement installé sur un hôte de processeur QVM et peut également être installé sur d'autres hôtes gérés.

Le compte utilisateur sur la cible d'analyse doit disposer d'un shell de connexion et doit être capable d'exécuter les commandes requises pour une analyse de correctif sur la cible. Pour plus d'informations, voir Activation des droits d'accès pour les analyses de correctifs Linux ou UNIX.

Cette procédure explique comment configurer une seule paire de clés publique / privée et les transférer vers un scanner QVM et une cible d'analyse.

Procédure

  1. A l'aide de SSH, connectez-vous à la console QRadar en tant qu'utilisateur root.
  2. Générez une paire de clés publiques en entrant la commande suivante:

    su -m -c 'ssh-keygen -t <key_type>' qvmuser

    Remarque: < type_clé> est dsa ou rsa.
  3. Acceptez le fichier par défaut en appuyant sur Entrée.
  4. Acceptez la phrase passe par défaut de la clé publique en appuyant sur Entrée.
  5. Appuyez à nouveau sur Entrée pour confirmer.
  6. Copiez les clés publiques et privées sur tous les hôtes gérés sur lesquels un scanner QVM est installé.

    cd /home/qvmuser/.ssh

    rsync -ogp id_<key_type> id_<key_type>.pub <IP address>:/home/qvmuser/.ssh
    • Remplacez < key_type> par dsa ou rsa.
    • Remplacez < adresse IP> par l'adresse IP du scanner et entrez le mot de passe root lorsque vous y êtes invité.
    Remarque: Le processeur QVM inclut un scanner. Si le processeur n'est pas en cours d'exécution sur la console QRadar, vous devez également transférer les clés au processeur QVM.
  7. Copiez la clé publique sur la cible d'analyse en entrant la commande suivante:

    cd /home/qvmuser/.ssh

    ssh-copy-id -i id_<key_type>.pub <user>@<IP address>
    • < type_clé> -dsa ou rsa.
    • < adresse IP> -Adresse IP de la cible d'analyse.
    • < user> -utilisateur sur la cible d'analyse.
  8. Entrez le mot de passe de l'utilisateur pour la cible d'analyse.
  9. Vérifiez que le compte qvmuser sur le scanner QVM peut établir une connexion SSH à la cible d'analyse sans mot de passe en entrant la commande suivante:

    su -m -c 'ssh -o StrictHostKeyChecking=no <user>@<IP address> ls' qvmuser

    • < adresse IP> -Adresse IP de la cible d'analyse.
    • < user> -utilisateur sur la cible d'analyse.

    La liste des fichiers du répertoire de base de l'utilisateur sur la cible d'analyse s'affiche.

Que faire ensuite?

Créez un profil d'analyse dans QRadar Vulnerability Manager avec le nom de l'utilisateur sur la cible d'analyse sans spécifier de mot de passe et exécutez une analyse de correctif.