Wie man

So installieren Sie den Wazuh-Server unter Ubuntu 20.04

So installieren Sie den Wazuh-Server unter Ubuntu 20.04

Dieser Artikel behandelt die Installation des Wazuh-Servers unter Ubuntu 20.04. Wazuh-Server ist ein kostenloses Open-Source-Sicherheitsüberwachungstool, das Elastic Stack (ELK) verwendet . Es wird verwendet, um Sicherheitsereignisse auf Anwendungs- und Betriebssystemebene zu überwachen. So erhalten Sie Informationen über Bedrohungserkennung, Reaktion auf Vorfälle und Integritätsüberwachung. In diesem Tutorial werden wir Wazuh auf einem Single-Node-Ubuntu 20 . bereitstellen.04-Host, wobei ELK auf demselben Host installiert ist.

Sie können Wazuh für die folgenden Anwendungen verwenden:

  1. Sicherheitsanalyse
  2. Protokollanalyse
  3. Schwachstellenerkennung
  4. Containersicherheit
  5. Cloud-Sicherheit

Voraussetzungen

Installieren Sie die unten aufgeführten Pakete, die für die Ausführung von Wazuh Manager erforderlich sind.

sudo apt update sudo apt install curl apt-transport-https entpacken wget libcap2-bin software-properties-common lsb-release gnupg2

Java installieren:

sudo apt install default-jre

Wazuh-Server auf Ubuntu 20 installieren.04

Die folgenden Schritte führen uns durch die Einrichtung des Wazuh-Servers unter Ubuntu 20.04.

  1. GPG-Schlüssel hinzufügen
curl -s https://Pakete.wazuh.com/key/GPG-KEY-WAZUH | sudo apt-key hinzufügen -

2. Wazuh-Repository hinzufügen

echo "deb https://Pakete.wazuh.com/4.x/apt/stable main" | sudo tee /etc/apt/sources.aufführen.d/wazuh.aufführen

3. System aktualisieren

sudo apt-Update

4. Wazuh-Manager installieren

sudo apt installieren wazuh-manager

5. Dienst starten und aktivieren

sudo systemctl daemon-reload sudo systemctl enable --now wazuh-manager

Überprüfen Sie den Status des Wazuh-Managers und bestätigen Sie, ob er betriebsbereit ist

systemctl-status wazuh-manager

Servicestatus prüfen:

$ systemctl status wazuh-manager ● wazuh-manager.service - Wazuh-Manager Geladen: geladen (/lib/systemd/system/wazuh-manager.Bedienung; aktiviert; Herstellervoreinstellung: aktiviert) Aktiv: aktiv (läuft) seit Mo. 2021-04-26 09:13:56 UTC; vor 22s Prozess: 252739 ExecStart=/usr/bin/env $DIRECTORY/bin/ossec-control start (code=exited, status=0/SUCCESS) Tasks: 121 (limit: 4580) Memory: 472.5M CGroup: /system.Slice/Wazuh-Manager.service ├─252805 /var/ossec/framework/python/bin/python3 /var/ossec/api/scripts/wazuh-apid.py ├─252844 /var/ossec/bin/ossec-authd 252860 /var/ossec/bin/wazuh-db ├─252883 /var/ossec/bin/ossec-execd ├─252897 /var/ossec/bin/ ossec-analysisd 252958 /var/ossec/bin/ossec-syscheckd ├─252975 /var/ossec/bin/ossec-remoted ├─253006 /var/ossec/bin/ossec-logcollector ├─253024 /var/ossec/ bin/ossec-monitord └─253047 /var/ossec/bin/wazuh-modulesd 26. April 09:13:47 node3 env[252739]: Gestartet wazuh-db… 26. April 09:13:48 node3 env[252739]: Gestartet ossec-execd… 26. Apr 09:13:49 node3 env[252739]: Gestartet ossec-analysisd… 26. Apr 09:13:50 node3 env[252739]: Gestartet ossec-syscheckd… 26. Apr 09:13:51 node3 env[ 252739]: Gestartet ossec-remoted… 26. Apr 09:13:52 node3 env[252739]: Gestartet ossec-logcollector… 26. Apr 09:13:53 node3 env[252739]: Gestartet ossec-monitord… 26. Apr 09:13: 54 node3 env[252739]: Gestartet wazuh-modulesd… 26. April 09:13:56 node3 env[252739]: Abgeschlossen. 26. April 09:13:56 node3 systemd[1]: Wazuh-Manager gestartet. 

Installieren Sie ELK Stack auf Ubuntu 20.04

Installieren Sie Elasticsearch von Open Distro, einer hoch skalierbaren Volltextsuchmaschine. Dieses Paket bietet erweiterte Sicherheit, Warnungen, umfassende Leistungsanalysen, Indexverwaltung und viele weitere Funktionen.

sudo apt install elasticsearch-oss opendistroforelasticsearch

Laden Sie eine benutzerdefinierte Konfigurationsdatei herunter für /etc/elasticsearch/elasticsearch.yml Wie nachfolgend dargestellt:

curl -so /etc/elasticsearch/elasticsearch.yml https://raw.githubusercontent.com/wazuh/wazuh-dokumentation/4.1/ressourcen/open-distro/elasticsearch/7.x/elasticsearch_all_in_one.yml

Konfigurieren Sie Kibana-Rollen und -Benutzer mit den folgenden Vorlagen:

curl -so /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/roles.yml https://raw.githubusercontent.com/wazuh/wazuh-dokumentation/4.1/ressourcen/open-distro/elasticsearch/roles/roles.yml curl -so /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/roles_mapping.yml https://raw.githubusercontent.com/wazuh/wazuh-dokumentation/4.1/resources/open-distro/elasticsearch/roles/roles_mapping.yml curl -so /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/internal_users.yml https://raw.githubusercontent.com/wazuh/wazuh-dokumentation/4.1/resources/open-distro/elasticsearch/roles/internal_users.yml

Die obigen Befehle fügen die folgenden Benutzer für Kibana hinzu:

  1. Wazuh_user - Wird für Benutzer verwendet, die schreibgeschützten Zugriff auf das Wazuh Kibana-Plugin benötigen.
  2. Wazuh_admin - Für Benutzer, die Administratorrechte benötigen

Außerdem werden zwei zusätzliche Rollen erstellt, um den Benutzern die entsprechenden Berechtigungen zu erteilen.

Zertifikate installieren

Wir können Zertifikate einrichten, die für die TLS-Kommunikation zwischen Elasticsearch und Wazuh . verwendet werden.

  1. Demo-Zertifikate entfernen
sudo rm -f /etc/elasticsearch/esnode-key.pem,esnode.pem,kirk-key.pem, kirk.pem,root-ca.pem

2. Neue Zertifikate generieren:

sudo mkdir /etc/elasticsearch/certs && cd /etc/elasticsearch/certs
sudo curl -so ~/search-guard-tlstool-1.8.zip https://maven.Suchwächter.com/search-guard-tlstool/1.8/search-guard-tlstool-1.8.Postleitzahl

3. Extrahieren Sie die heruntergeladene Datei

sudo entpacken ~/search-guard-tlstool-1.8.zip -d ~/searchguard

4. Laden Sie den vorkonfigurierten Suchschutz herunter.yml-Datei.

sudo curl -so ~/searchguard/search-guard.yml https://raw.githubusercontent.com/wazuh/wazuh-dokumentation/4.0/resources/open-distro/searchguard/search-guard-aio.yml

5. Führen Sie das Search Guard-Skript aus, um die Zertifikate zu erstellen:

sudo ~/searchguard/tools/sgtlstool.sh -c ~/searchguard/search-guard.yml -ca -crt -t /etc/elasticsearch/certs/

6. Entfernen Sie die unnötigen Dateien, sobald die Zertifikate erstellt wurden

sudo rm /etc/elasticsearch/certs/client-certificates.Liesmich

7. Aktivieren und starten Sie den Elasticsearch-Dienst.

sudo systemctl enable --now elasticsearch

8. Laden Sie die neuen Zertifikate, indem Sie das securityadmin-Skript von Elasticsearch ausführen:

sudo /usr/share/elasticsearch/plugins/opendistro_security/tools/securityadmin.sh -cd /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/ -nhnv -cacert /etc/elasticsearch/certs/root-ca.pem -cert /etc/elasticsearch/certs/admin.pem -key /etc/elasticsearch/certs/admin.Schlüssel

Sie sollten eine Ausgabe ähnlich der folgenden sehen:

WARNUNG: JAVA_HOME nicht gesetzt, verwendet /usr/bin/java Open Distro Security Admin v7 Verbindung mit localhost:9300… done Verbunden als CN=admin,OU=Docu,O=Wazuh,L=California,C=US Elasticsearch Version : 7.10.0 Open Distro-Sicherheitsversion: 1.12.0.0 Elastischesearch-Cluster 'elasticsearch' kontaktieren und auf GELB Clusterstatus warten… Clustername: elasticsearch Clusterstatus: GRÜN Anzahl der Knoten: 1 Anzahl der Datenknoten: 1 .opendistro_security-Index existiert nicht, versuchen Sie ihn zu erstellen… fertig (0-alle Repliken) Füllen Sie die Konfiguration aus /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/ Wird '_doc/config' mit /usr/share/elasticsearch/plugins aktualisieren /opendistro_security/securityconfig/config.yml SUCC: Konfiguration für 'config' erstellt oder aktualisiert Wird '_doc/roles' mit /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/roles aktualisieren.yml SUCC: Konfiguration für 'roles' erstellt oder aktualisiert Wird '_doc/rolesmapping' mit /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/roles_mapping aktualisieren.yml SUCC: Konfiguration für 'rolesmapping' erstellt oder aktualisiert Aktualisiert '_doc/internalusers' mit /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/internal_users.yml SUCC: Konfiguration für 'internalusers' erstellt oder aktualisiert Wird '_doc/actiongroups' mit /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/action_groups aktualisieren.yml SUCC: Konfiguration für 'actiongroups' erstellt oder aktualisiert Wird '_doc/tenants' mit /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/tenants aktualisieren.yml SUCC: Konfiguration für 'Tenants' erstellt oder aktualisiert Wird '_doc/nodesdn' mit /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/nodes_dn aktualisieren.yml SUCC: Konfiguration für 'nodesdn' erstellt oder aktualisiert Wird '_doc/whitelist' mit /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/whitelist aktualisieren.yml SUCC: Konfiguration für 'Whitelist' erstellt oder aktualisiert Wird '_doc/audit' mit /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/audit aktualisieren.yml SUCC: Konfiguration für 'Audit' erstellt oder aktualisiert Erfolgreich abgeschlossen 

Führen Sie den folgenden Befehl aus, um zu bestätigen, dass die Installation erfolgreich war:

curl -XGET https://localhost:9200 -u admin:admin -k

Die Antwort sollte wie folgt lauten:

 "name" : "node-1", "cluster_name" : "elasticsearch", "cluster_uuid" : "9JuWWZBHSX65WNZioHQcMg", "version" :  "number" : "7.10.0", "build_flavor" : "oss", "build_type" : "deb", "build_hash" : "51e9d6f22758d0374a0f3f5c6e8f3a7997850f96", "build_date" : "2020-11-09T21:30:33.964949Z", "build_snapshot" : false, "lucene_version" : "8.7.0", "minimum_wire_compatibility_version" : "6.8.0", "minimum_index_compatibility_version" : "6.0.0-beta1" , "Tagline" : "Sie wissen, für die Suche" 

Sie können das Open Distro for Elasticsearch-Leistungsanalyse-Plugin entfernen, das standardmäßig installiert wird und manchmal ressourcenhungrig ist. Verwenden Sie den folgenden Befehl, um es zu entfernen:

sudo /usr/share/elasticsearch/bin/elasticsearch-plugin entfernen opendistro_performance_analyzer

Installieren Sie Filebeat auf Ubuntu 20.04

Filebeat wird verwendet, um Warnungen und Ereignisse vom Wazuh-Server an Elasticsearch zu senden.

sudo apt install filebeat

Laden Sie die folgende Filebeat-Konfigurationsdatei herunter, die verwendet wird, um Wazuh-Warnungen an Elasticsearch weiterzuleiten

curl -so /etc/filebeat/filebeat.yml https://raw.githubusercontent.com/wazuh/wazuh-dokumentation/4.1/ressourcen/open-distro/filebeat/7.x/filebeat_all_in_one.yml

Laden Sie die Benachrichtigungsvorlage mit dem folgenden Befehl für Elasticsearch herunter:

curl -so /etc/filebeat/wazuh-template.json https://raw.githubusercontent.com/wazuh/wazuh/4.1/Erweiterungen/Elasticsearch/7.x/wazuh-Vorlage.json chmod go+r /etc/filebeat/wazuh-template.json

Laden Sie das Wazuh FIlebeat-Modul herunter:

sudo curl -s https://packages.wazuh.com/4.x/filebeat/wazuh-filebeat-0.1.Teer.gz | tar -xvz -C /usr/share/filebeat/module

Kopieren Sie die Elasticsearch-Zertifikate nach /etc/filebeat/certs

sudo mkdir /etc/filebeat/certs && cp /etc/elasticsearch/certs/root-ca.pem /etc/filebeat/certs/ sudo mv /etc/elasticsearch/certs/filebeat* /etc/filebeat/certs/

Starten und aktivieren Sie den Filebeat-Dienst

sudo systemctl enable --now filebeat

Bestätigen Sie die Filebeat-Konfiguration mit dem folgenden Befehl:

sudo filebeat testausgabe

Beispielausgabe:

elastische Suche: https://127.0.0.1:9200… URL analysieren… OK Verbindung… Host analysieren… OK DNS-Suche… OK Adressen: 127.0.0.1 Einwahl… OK TLS… Sicherheit: Überprüfung der Zertifikatskette des Servers ist aktiviert Handshake… OK TLS-Version: TLSv1.3 einwählen… OK mit Server sprechen… OK Version: 7.10.0 

Kibana auf Ubuntu 20 installieren.04

Kibana ist die Weboberfläche, die uns hilft, die in Elasticsearch gespeicherten Ereignisse zu visualisieren und zu analysieren.

Verwenden Sie den folgenden Befehl, um Kibana unter Ubuntu 20 zu installieren.04

sudo apt-get install opendistroforelasticsearch-kibana

Laden Sie die Konfigurationsdatei für Kibana . herunter

curl -so /etc/kibana/kibana.yml https://raw.githubusercontent.com/wazuh/wazuh-dokumentation/4.1/ressourcen/offene-distro/kibana/7.x/kibana_all_in_one.yml

Weisen Sie den folgenden Dateien die richtigen Berechtigungen zu

sudo chown -R kibana:kibana /usr/share/kibana/optimize sudo chown -R kibana:kibana /usr/share/kibana/plugins

Installieren Sie das Kibana-Plugin für Wazuh. Dies muss über das Kibana-Home-Verzeichnis erfolgen.

cd /usr/share/kibana sudo -u kibana /usr/share/kibana/bin/kibana-plugin installieren https://packages.wazuh.com/4.x/ui/kibana/wazuh_kibana-4.1.5_7.10.0-1.Postleitzahl

Kopieren Sie die Elasticsearch-Zertifikate nach /etc/kibana/certs:

sudo mkdir /etc/kibana/certs sudo cp /etc/elasticsearch/certs/root-ca.pem /etc/kibana/certs/ sudo mv /etc/elasticsearch/certs/kibana_http.Schlüssel /etc/kibana/certs/kibana.Schlüssel sudo mv /etc/elasticsearch/certs/kibana_http.pem /etc/kibana/certs/kibana.pem

Binden Sie Kibanas Socket an den privilegierten Port 443:

sudo setcap 'cap_net_bind_service=+ep' /usr/share/kibana/node/bin/node

Kibana-Dienst starten und aktivieren

sudo systemctl enable --now kibana

Kibana durch die Firewall zulassen

sudo ufw erlauben 443/tcp

Sie können jetzt über auf Ihr Wazuh-Kibana-Interface zugreifen

URL: https:// Benutzer: admin Passwort: admin

Sie können sich anmelden und fortfahren, um die verfügbaren Metriken von Wazuh anzuzeigen:

Mit den obigen Schritten haben wir den Wazuh-Server auf Ubuntu 20 erfolgreich eingerichtet.04. Prost und bitte schau dir andere interessante Artikel auf der Seite an.

So installieren Sie den Wazuh-Server auf CentOS 8

Leiten Sie Server-Logs und -Metriken mit Beats an Elasticsearch weiter

Rolle von Bildung und Technologie bei der Bekämpfung des Menschenhandels
Der rasante technologische Fortschritt, insbesondere die durch das Internet und Smartphones ermöglichten Kommunikationstechnologien, prägt den Mensche...
Überwachen von Kubernetes-Bereitstellungen mit Kubernetes Operational View
Ein Arsenal an Werkzeugen zur Verfügung zu haben, ist als Systemadministrator genauso wichtig wie ein Klempner mit seiner Auswahl an Geräten an einem ...
Teleport - Sicherer Zugriff auf Linux-Systeme und Kubernetes
Bei diesem Verzicht auf vernetzte Systeme ist es absolut entscheidend, dass jedes Asset, jedes Dokument und jede Information so weit wie möglich vor n...