Как установить сервер Wazuh на CentOS 8
В этой статье рассказывается, как установить сервер Wazuh на CentOS 8. Сервер Wazuh — это бесплатный инструмент мониторинга безопасности с открытым исходным кодом, который использует эластичный стек (ELK). Он используется для отслеживания событий безопасности на уровне приложений и ОС. Таким образом, вы можете получить информацию об обнаружении угроз, реагировании на инциденты и мониторинге целостности. В этом руководстве мы развернем Wazuh на одноузловом хосте CentOS с установленным ELK на том же хосте.
Вы можете использовать Wazuh для следующих приложений:
- Анализ безопасности
- Анализ журнала
- Обнаружение уязвимости
- Безопасность контейнеров
- Облачная безопасность
Следующие шаги помогут нам настроить сервер Wazuh на экземпляре CentOS 8.
Шаг 1 — Установите Wazuh Server на CentOS 8
Убедитесь, что ваша система обновлена:
sudo dnf update -y
Добавить ключ Wazuh GPG:
sudo rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUH
Добавить Wazuh repo:
sudo tee /etc/yum.repos.d/wazuh.repo <<EOF
[wazuh]
gpgcheck=1
gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH
enabled=1
name=EL-Wazuh
baseurl=https://packages.wazuh.com/4.x/yum/
protect=1
EOF
Установите сервер Wazuh:
sudo dnf -y install wazuh-manager
Запустите Wazuh server:
sudo systemctl enable --now wazuh-manager
Отключите обновления, чтобы избежать проблем с контролем версий.
sudo sed -i "s/^enabled=1/enabled=0/" /etc/yum.repos.d/wazuh.repo
Шаг 2 — Установите Elastic Stack на CentOS 8
Мы продолжим установку стека ELK на нашем экземпляре CentOS 8. Elasticsearch, Logstash и Kibana составляют стек ELK, который используется для анализа журналов. Эти инструменты работают в сотрудничестве с сервером Wazuh, обеспечивая анализ инцидентов безопасности и управление ими.
Установить Java на CentOS 8
Elasticsearch — это приложение Java, это означает, что нам необходимо установить JDK.
sudo dnf install java-11-openjdk-devel
Подтвердите, что он у вас установлен
java -version
Пример вывода:
openjdk version "11.0.5" 2019-10-15 LTS
OpenJDK Runtime Environment 18.9 (build 11.0.5+10-LTS)
OpenJDK 64-Bit Server VM 18.9 (build 11.0.5+10-LTS, mixed mode, sharing)
Установите Elasticsearch на CentOS 8
Добавить ключ GPG для Elasticsearch
sudo rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch
Добавить файл репо Elasticsearch
sudo tee /etc/yum.repos.d/elasticsearch.repo << EOF
[elasticsearch-7.x]
name=Elasticsearch repository for 7.x packages
baseurl=https://artifacts.elastic.co/packages/7.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md
EOF
Установите Elasticsearch:
sudo dnf install elasticsearch
Запустите и включите Elasticsearch^
sudo systemctl enable elasticsearch.service --now
Установите Kibana на CentOS 8
Kibana используется для приборной панели в ELK.
sudo dnf -y install kibana
Настроить кибану — файл конфигурации для кибаны находится в папке /etc/kibana/kibana.yml
.
Настройте хост сервера так, чтобы он указывал на приложение localhost elasticsearch.
$ sudo vim /etc/kibana/kibana.yml
# Kibana is served by a back end server. This setting specifies the port to use.
# server.port: 5601
server.port: 5601
...
# To allow connections from remote users, set this parameter to a non-loopback address.
#server.host: "localhost"
server.host: "localhost"
# The URL for the elasticsearch instance
elasticsearch.hosts: [http://localhost:9200]
Запустите и включите Kibana
sudo systemctl enable --now kibana
Установите Filebeat на CentOS 8
Filebeat — это отправитель журналов, который используется для отправки журналов в Easticsearch из указанных каталогов журналов.
sudo yum install filebeat
Настроить Filebeat в CentOS 8
Настройте Flebeat для работы с Wazuh. Сделайте резервную копию существующего файла конфигурации Filebeat, затем замените его загруженным предварительно настроенным файлом.
sudo mv /etc/filebeat/filebeat.yml{,.bak}
sudo curl -so /etc/filebeat/filebeat.yml https://raw.githubusercontent.com/wazuh/wazuh/v4.0.3/extensions/filebeat/7.x/filebeat.yml
Отредактируйте загруженный файл в соответствии с вашими настройками
$ sudo vim /etc/filebeat/filebeat.yml
#output.elasticsearch.hosts: ['http://YOUR_ELASTIC_SERVER_IP:9200']
output.elasticsearch.hosts: ['http://localhost:9200']
Также добавьте следующие строки в файл конфигурации, если вы хотите указать путь, из которого filebeat должен получать журналы.
logging.level: info
logging.to_files: true
logging.files:
path: /var/log/filebeat
name: filebeat
keepfiles: 7
permissions: 0644
Проверьте вывод, как показано ниже:
$ sudo filebeat test output
elasticsearch: http://localhost:9200...
parse url... OK
connection...
parse host... OK
dns lookup... OK
addresses: 192.168.1.83
dial up... OK
TLS... WARN secure connection disabled
talk to server... OK
version: 7.9.3
Шаг 3 — Установите модуль Filebeat Wazuh
Загрузите и установите модуль wazuh для Filebeat, используя следующие команды:
wget https://packages.wazuh.com/4.x/filebeat/wazuh-filebeat-0.1.tar.gz -P /tmp/
sudo mkdir /usr/share/filebeat/module/wazuh
sudo tar xzf /tmp/wazuh-filebeat-0.1.tar.gz -C /usr/share/filebeat/module/wazuh/ --strip-components=1
Загрузите шаблон индекса предупреждений Wazuh Elasticsearch и настройте его.
$ sudo curl -so /etc/filebeat/wazuh-template.json https://raw.githubusercontent.com/wazuh/wazuh/v4.0.3/extensions/elasticsearch/7.x/wazuh-template.json
$ sudo filebeat setup --path.config /etc/filebeat --path.home /usr/share/filebeat --path.data /var/lib/filebeat --index-management -E setup.template.json.enabled=false
Перезапустить Filebeat
sudo systemctl restart filebeat
Шаг 4 — Установите плагин Kibana для Wazuh
Установите право собственности на каталоги /usr/share/kibana/optimize/ и /usr/share/kibana/plugins для пользователя kibana .
sudo chown -R kibana: /usr/share/kibana/{optimize,plugins}
Установите плагин Kibana для wazuh.
$ cd /usr/share/kibana
$ sudo -u kibana bin/kibana-plugin install https://packages.wazuh.com/4.x/ui/kibana/wazuh_kibana-4.0.3_7.9.3-1.zip
По завершении проверьте установленные плагины
$ sudo -u kibana /usr/share/kibana/bin/kibana-plugin list
[email protected]
Перезапустите требуемую службу, чтобы изменения вступили в силу.
sudo systemctl restart kibana
sudo systemctl restart elasticsearch
sudo systemctl restart wazuh-manager
Шаг 5 — Настройте Firewalld
Настройте брандмауэр, чтобы разрешить доступ к Kibana с удаленного хоста. Вам также может потребоваться разрешить Elasticsearch, если у вас установлены Kibana и Elasticsearch на разных хостах.
sudo firewall-cmd --zone=public --add-port=5601/tcp --permanent
sudo firewall-cmd --reload
Теперь вы можете получить доступ к своему интерфейсу кибаны, используя http://server-IP: 5601
Затем вы можете перейти в левое меню и выбрать Wazuh в списке.
Благодаря этому вы сможете контролировать свои системы с помощью сервера Wazuh, настроив агентов в своих клиентских системах.