Как да

Как да инсталирам Wazuh Server на Ubuntu 20.04

Как да инсталирам Wazuh Server на Ubuntu 20.04

Тази статия ще обхване как да инсталирате сървър Wazuh на Ubuntu 20.04. Wazuh сървърът е безплатен инструмент за наблюдение на сигурността с отворен код, който използва Elastic stack (ELK) . Използва се за наблюдение на събития за сигурност на ниво приложение и ОС. Следователно можете да можете да получите информация за откриване на заплахи, реакция на инциденти и мониторинг на целостта. В този урок ще разположим Wazuh на Ubuntu 20 с един възел.04 хост, с ELK, инсталиран на същия хост.

Можете да използвате Wazuh за следните приложения:

  1. Анализ на сигурността
  2. Анализ на дневниците
  3. Откриване на уязвимост
  4. Сигурност на контейнера
  5. Облачна сигурност

Предпоставки

Инсталирайте пакетите по-долу, необходими за работата на Wazuh Manager.

sudo apt актуализация sudo apt инсталиране curl apt-transport-https разархивирайте wget libcap2-bin софтуерни свойства-общи lsb-освобождаване gnupg2

Инсталирайте Java:

sudo apt инсталирайте default-jre

Инсталирайте Wazuh Server на Ubuntu 20.04

Стъпките по-долу ще ни насочат как да настроим сървър Wazuh на Ubuntu 20.04.

  1. Добавете GPG ключ
curl -s https: // пакети.wazuh.com / key / GPG-KEY-WAZUH | sudo apt-key add -

2. Добавете хранилището Wazuh

echo "deb https: // пакети.wazuh.com / 4.x / apt / stable main "| sudo tee / etc / apt / sources.списък.г / вазух.списък

3. Система за актуализиране

sudo apt актуализация

4. Инсталирайте Wazuh Manager

sudo apt инсталирайте wazuh-manager

5. Стартирайте и активирайте услугата

sudo systemctl daemon-reload sudo systemctl enable --now wazuh-manager

Проверете състоянието на мениджъра на Wazuh и потвърдете дали той работи и работи

systemctl статус wazuh-мениджър

Проверете състоянието на услугата:

$ systemctl статус wazuh-manager ● wazuh-manager.услуга - мениджър Wazuh Заредено: заредено (/ lib / systemd / system / wazuh-manager.обслужване; активиран; предварително зададен от доставчика: активиран) Активен: активен (работи) от понеделник 2021-04-26 09:13:56 UTC; Преди 22s Процес: 252739 ExecStart = / usr / bin / env $ DIRECTORY / bin / ossec-control start (code = exited, status = 0 / SUCCESS) Задачи: 121 (ограничение: 4580) Памет: 472.5M CGroup: / система.филия / wazuh-мениджър.услуга ├─252805 / var / ossec / framework / python / bin / python3 / var / ossec / api / scripts / wazuh-apid.py ├─252844 / var / ossec / bin / ossec-authd ├─252860 / var / ossec / bin / wazuh-db ├─252883 / var / ossec / bin / ossec-execd ├─252897 / var / ossec / bin / ossec-analysisd ├─252958 / var / ossec / bin / ossec-syscheckd ├─252975 / var / ossec / bin / ossec-remoted ├─253006 / var / ossec / bin / ossec-logcollector ├─253024 / var / ossec / bin / ossec-monitord └─253047 / var / ossec / bin / wazuh-modulesd 26 април 09:13:47 node3 env [252739]: Стартира wazuh-db… 26 април 09:13:48 node3 env [252739]: Започна ossec-execd ... 26 април 09:13:49 node3 env [252739]: Започна ossec-analysisd ... 26 април 09:13:50 node3 env [252739]: Стартира ossec-syscheckd ... 26 април 09:13:51 node3 env [ 252739]: Стартиран ossec-отдалечен ... 26 април 09:13:52 node3 env [252739]: Стартиран ossec-logcollector ... 26 април 09:13:53 node3 env [252739]: Стартиран ossec-monitord ... 26 април 09:13: 54 node3 env [252739]: Стартиран wazuh-modulesd… 26 април 09:13:56 node3 env [252739]: Завършен. 26 април 09:13:56 node3 systemd [1]: Стартиран мениджър на Wazuh. 

Инсталирайте ELK Stack на Ubuntu 20.04

Инсталирайте Elasticsearch от Open Distro, силно мащабируема машина за търсене на пълен текст. Този пакет предлага усъвършенствана защита, предупреждение, задълбочен анализ на производителността, управление на индекси и много други функции.

sudo apt инсталирайте elasticsearch-oss opendistroforelasticsearch

Изтеглете потребителски конфигурационен файл за / etc / elasticsearch / elasticsearch.yml както е показано по-долу:

curl -so / etc / elasticsearch / elasticsearch.yml https: // raw.githubuserсъдържание.com / wazuh / wazuh-documentation / 4.1 / resources / open-distro / elasticsearch / 7.x / elasticsearch_all_in_one.yml

Конфигурирайте ролите и потребителите на Kibana с шаблоните по-долу:

curl -so / usr / share / elasticsearch / plugins / opendistro_security / securityconfig / role.yml https: // raw.githubuserсъдържание.com / wazuh / wazuh-documentation / 4.1 / resources / open-distro / elasticsearch / роли / роли.yml curl -so / usr / share / elasticsearch / plugins / opendistro_security / securityconfig / role_mapping.yml https: // raw.githubuserсъдържание.com / wazuh / wazuh-documentation / 4.1 / resources / open-distro / elasticsearch / role / role_mapping.yml curl -so / usr / share / elasticsearch / plugins / opendistro_security / securityconfig / internal_users.yml https: // raw.githubuserсъдържание.com / wazuh / wazuh-documentation / 4.1 / resources / open-distro / elasticsearch / role / internal_users.yml

Командите по-горе добавят следните потребители за Kibana:

  1. Wazuh_user - Ще се използва за потребители, които се нуждаят от достъп само за четене на приставката Wazuh Kibana.
  2. Wazuh_admin - За потребители, които се нуждаят от административни привилегии

Създават се и две допълнителни роли, за да се дадат на потребителите подходящи разрешения.

Инсталирайте сертификати

Можем да настроим сертификати, които да се използват за TLS комуникация между Elasticsearch и Wazuh.

  1. Премахнете демонстрационните сертификати
sudo rm -f / etc / elasticsearch / esnode-key.pem, esnode.pem, kirk-key.пем, кирк.пем, корен-ca.пем

2. Генериране на нови сертификати:

sudo mkdir / etc / elasticsearch / certs && cd / etc / elasticsearch / certs
sudo curl -so ~ / search-guard-tlstool-1.8.zip https: // maven.търсене-пазач.com / search-guard-tlstool / 1.8 / search-guard-tlstool-1.8.цип

3. Извлечете изтегления файл

sudo разархивирайте ~ / search-guard-tlstool-1.8.zip -d ~ / searchguard

4. Изтеглете предварително конфигурирания предпазител за търсене.yml файл.

sudo curl -so ~ / searchguard / search-guard.yml https: // raw.githubuserсъдържание.com / wazuh / wazuh-documentation / 4.0 / resources / open-distro / searchguard / search-guard-aio.yml

5. Изпълнете скрипта за защита на търсенето, за да създадете сертификатите:

sudo ~ / searchguard / tools / sgtlstool.sh -c ~ / searchguard / search-guard.yml -ca -crt -t / etc / elasticsearch / certs /

6. Премахнете ненужните файлове, след като сертификатите са създадени

sudo rm / etc / elasticsearch / certs / клиентски сертификати.Прочети ме

7. Активирайте и стартирайте услугата Elasticsearch.

sudo systemctl enable --now elasticsearch

8. Заредете новите сертификати, като стартирате скрипта за администриране на Elasticsearch:

sudo / usr / share / elasticsearch / plugins / opendistro_security / tools / securityadmin.sh -cd / usr / share / elasticsearch / plugins / opendistro_security / securityconfig / -nhnv -cacert / etc / elasticsearch / certs / root-ca.pem -cert / etc / elasticsearch / certs / admin.pem -key / etc / elasticsearch / certs / admin.ключ

Трябва да видите изход, подобен на този по-долу:

ПРЕДУПРЕЖДЕНИЕ: JAVA_HOME не е зададен, ще използва / usr / bin / java Open Distro Security Admin v7 Ще се свърже с localhost: 9300 ... готово Свързан като CN = admin, OU = Docu, O = Wazuh, L = California, C = US Elasticsearch Version : 7.10.0 Отваряне на Distro Security версия: 1.12.0.0 Свързване с клъстер elasticsearch „elasticsearch“ и изчакайте ЖЪЛТО състояние на клъстера ... Име на клъстера: elasticsearch Клъстерно състояние: ЗЕЛЕН Брой възли: 1 Брой възли на данни: 1 .индексът на opendistro_security не съществува, опитайте се да го създадете ... готово (0-всички реплики) Изпълнете конфигурацията от / usr / share / elasticsearch / plugins / opendistro_security / securityconfig / Ще актуализира '_doc / config' с / usr / share / elasticsearch / plugins / opendistro_security / securityconfig / config.yml SUCC: Създадена или актуализирана конфигурация за „config“ Ще актуализира „_doc / role“ с / usr / share / elasticsearch / plugins / opendistro_security / securityconfig / role.yml SUCC: Създадена или актуализирана конфигурация за „роли“ Ще актуализира „_doc / rolemapping“ с / usr / share / elasticsearch / plugins / opendistro_security / securityconfig / role_mapping.yml SUCC: Създадена или актуализирана конфигурация за 'mapmaps' ще актуализира '_doc / internalusers' с / usr / share / elasticsearch / plugins / opendistro_security / securityconfig / internal_users.yml SUCC: Създадена или актуализирана конфигурация за „интерналузери“ Ще актуализира „_doc / actiongroups“ с / usr / share / elasticsearch / plugins / opendistro_security / securityconfig / action_groups.yml SUCC: Конфигурация за създадени или актуализирани „екшън групи“ Ще актуализира „_doc / tenants“ с / usr / share / elasticsearch / plugins / opendistro_security / securityconfig / tenants.yml SUCC: Създадена или актуализирана конфигурация за „наематели“ Ще актуализира „_doc / nodesdn“ с / usr / share / elasticsearch / plugins / opendistro_security / securityconfig / nodes_dn.yml SUCC: Създадена или актуализирана конфигурация за „nodesdn“ Ще актуализира „_doc / whitelist“ с / usr / share / elasticsearch / plugins / opendistro_security / securityconfig / whitelist.yml SUCC: Създадена или актуализирана конфигурация за „бял ​​списък“ Ще актуализира „_doc / audit“ с / usr / share / elasticsearch / plugins / opendistro_security / securityconfig / audit.yml SUCC: Създадена или актуализирана конфигурация за „одит“ Готово с успех 

Изпълнете командата по-долу, за да потвърдите, че инсталацията е била успешна:

curl -XGET https: // localhost: 9200 -u admin: admin -k

Отговорът трябва да бъде следният:

"name": "node-1", "cluster_name": "elasticsearch", "cluster_uuid": "9JuWWZBHSX65WNZioHQcMg", "version": "number": "7.10.0 "," build_flavor ":" oss "," build_type ":" deb "," build_hash ":" 51e9d6f22758d0374a0f3f5c6e8f3a7997850f96 "," build_date ":" 2020-11-09T21: 30: 33.964949Z "," build_snapshot ": false," lucene_version ":" 8.7.0 "," minimal_wire_compatibility_version ":" 6.8.0 "," minimal_index_compatibility_version ":" 6.0.0-beta1 "," tagline ":" Знаете ли, за търсене "

Може да изберете да премахнете приставката за анализа на производителността Open Distro for Elasticsearch, която се инсталира по подразбиране и понякога може да е жадна за ресурси. Използвайте командата по-долу, за да го премахнете:

sudo / usr / share / elasticsearch / bin / elasticsearch-plugin премахване opendistro_performance_analyzer

Инсталирайте Filebeat на Ubuntu 20.04

Filebeat се използва за изпращане на предупреждения и събития от сървъра Wazuh до Elasticsearch.

sudo apt инсталира filebeat

Изтеглете конфигурационния файл на filebeat по-долу, който ще се използва за препращане на предупреждения wazuh към Elasticsearch

curl -so / etc / filebeat / filebeat.yml https: // raw.githubuserсъдържание.com / wazuh / wazuh-documentation / 4.1 / resources / open-distro / filebeat / 7.x / filebeat_all_in_one.yml

Изтеглете шаблона за сигнали с командата по-долу за Elasticsearch:

curl -so / etc / filebeat / wazuh-template.json https: // raw.githubuserсъдържание.com / wazuh / wazuh / 4.1 / разширения / еластично търсене / 7.x / wazuh-шаблон.json chmod go + r / etc / filebeat / wazuh-template.json

Изтеглете модула Wazuh FIlebeat:

sudo curl -s https: // пакети.wazuh.com / 4.x / filebeat / wazuh-filebeat-0.1.катран.gz | tar -xvz -C / usr / share / filebeat / module

Копирайте сертификатите Elasticsearch в / etc / filebeat / certs

sudo mkdir / etc / filebeat / certs && cp / etc / elasticsearch / certs / root-ca.pem / etc / filebeat / certs / sudo mv / etc / elasticsearch / certs / filebeat * / etc / filebeat / certs /

Стартирайте и активирайте услугата Filebeat

sudo systemctl enable --now filebeat

Потвърдете конфигурацията на Filebeat чрез командата по-долу:

sudo filebeat тест изход

Примерен изход:

elastično търсене: https: // 127.0.0.1: 9200 ... синтактичен URL адрес ... OK връзка ... синтактичен хост ... OK dns търсене ... OK адреси: 127.0.0.1 набиране ... OK TLS ... сигурност: проверка на веригата от сертификати на сървъра е активирана ръкостискане ... OK TLS версия: TLSv1.3 наберете ... Добре говори със сървъра ... ОК версия: 7.10.0 

Инсталирайте Kibana на Ubuntu 20.04

Kibana е уеб интерфейсът, който ни помага да визуализираме и анализираме събитията, съхранявани в Elasticsearch.

Използвайте командата по-долу, за да инсталирате Kibana на Ubuntu 20.04

sudo apt-get инсталирайте opendistroforelasticsearch-kibana

Изтеглете конфигурационния файл за Kibana

curl -so / etc / kibana / kibana.yml https: // raw.githubuserсъдържание.com / wazuh / wazuh-documentation / 4.1 / resources / open-distro / kibana / 7.x / kibana_all_in_one.yml

Задайте правилните разрешения на следните файлове

sudo chown -R kibana: kibana / usr / share / kibana / оптимизиране на sudo chown -R kibana: kibana / usr / share / kibana / плъгини

Инсталирайте приставката Kibana за Wazuh. Това трябва да стане от домашната директория на Kibana.

cd / usr / share / kibana sudo -u kibana / usr / share / kibana / bin / kibana-plugin install https: // пакети.wazuh.com / 4.x / ui / kibana / wazuh_kibana-4.1.5_7.10.0-1.цип

Копирайте сертификатите Elasticsearch в / etc / kibana / certs:

sudo mkdir / etc / kibana / certs sudo cp / etc / elasticsearch / certs / root-ca.pem / etc / kibana / certs / sudo mv / etc / elasticsearch / certs / kibana_http.ключ / etc / kibana / certs / kibana.key sudo mv / etc / elasticsearch / certs / kibana_http.pem / etc / kibana / certs / kibana.пем

Свържете сокета на Kibana с привилегирован порт 443:

sudo setcap 'cap_net_bind_service = + ep' / usr / share / kibana / node / bin / node

Стартирайте и активирайте услугата Kibana

sudo systemctl enable --now kibana

Оставете Kibana през защитната стена

sudo ufw позволяват 443 / tcp

Вече можете да получите достъп до вашия интерфейс wazuh kibana чрез

URL: https: // потребител: администраторска парола: администратор

Можете да влезете и да продължите, за да видите наличните показатели от Wazuh:

С горните стъпки успешно настроихме сървъра Wazuh на Ubuntu 20.04. Наздраве и вижте други интересни статии на сайта.

Как да инсталирам Wazuh сървър на CentOS 8

Препратете регистрационни файлове и показатели на сървъра към Elasticsearch с помощта на Beats

Как да създам администраторски потребител за достъп до таблото за управление Kubernetes
Таблото за управление на Kubernetes е уеб базиран потребителски интерфейс за разполагане на контейнеризирани приложения в клъстер Kubernetes - Внедряв...
Интегрирайте Openfire XMPP Chat Server с Asterisk PBX
След успешно инсталиране на Asterisk PBX сървър и инсталиране на Openfire XMPP чат сървър, е време да интегрирате двата, така че нашият чат сървър да ...
Инсталирайте OpenProject на Ubuntu 20.04 | 18.04 | 16.04
Здравейте добри хора!. Това кратко ръководство ще ви преведе през стъпките за инсталиране на OpenProject Community Edition на Ubuntu 20.04 | 18.04 | 1...