Wazuh 開源 EDR 服務 - Ubuntu
BUBU 因之前有去參加資安相關研習聽到 節省哥 在介紹 Wazuh 服務,剛好最近公司的新環境需要安裝這一套件,因此先記錄一下怎麼安裝流程。後續需要怎麼樣子設定或者操作方式到再依續分享給大家看
運行環境
環境都是在 「Proxmox VE 」 虛擬系統上架設,都是以 「 LXC 」模式為主,除非有特殊狀況會告知使用 「 VM 」 模式
- 系統環境: Ubuntu 22.04 (LXC)
安裝過程
安裝方式很簡單只要參考官方文檔快速安裝方式。
安裝 Wazuh 服務
- 首先到官方文檔下安裝一鍵安裝,輸入完這段指令就會開始下載腳本及啟動安裝服務,安裝服務需要等待一段時間這是以您站台效能。
curl -sO https://packages.wazuh.com/4.8/wazuh-install.sh && sudo bash ./wazuh-install.sh -a
- 安裝完之後系統會自動產生管理者的密碼及連線方式
- 由於密碼太長一管理者會記不住因此官方文檔有在提供一修改密碼的腳本
curl -so wazuh-passwords-tool.sh https://packages.wazuh.com/4.8/wazuh-passwords-tool.sh
- 修改方式,密碼修改需要八個字元以上裡面只要有以下
.*+?-字元混在裡面
bash wazuh-passwords-tool.sh -u admin -p 您要修改的密碼
- 修改時沒有指定的字元會出現以下訊息
- 如果有指字元在裡修改成功會出現的訊息
- 在網頁上輸入
https://wazuh位置出現登入畫面
- 登入成功會出現以下的儀表版
安裝 Agent 設定
- 在畫面上會提示說您需要在您想要監控的站台安裝
Agent服務,點選那個字眼後畫面會自動跳轉到如圖片上的畫面,在Wazuh server address輸入您 Server 位置
- 下面會自動帶入參數,您在將這個系統產出的來源包複製起來到,您要安裝的站台之後記得要啟用服務
- 到要安裝站台貼上剛剛您所複製安裝包,安裝完成後記得要啟用
Agent服務
sudo systemctl daemon-reload
sudo systemctl enable wazuh-agent && sudo systemctl start wazuh-agent
- 再回來到 Wazuh 管理頁面看是否有有剛剛安裝好的站台服務資訊
補充說明
- 移除已沒有在使用的站台資訊
/var/ossec/bin/manage_agents
- 執行結果
root@Ubuntu2204-Wazuh:/var/ossec# /var/ossec/bin/manage_agents
****************************************
* Wazuh v4.3.10 Agent manager. *
* The following options are available: *
****************************************
(A)dd an agent (A).
(E)xtract key for an agent (E).
(L)ist already added agents (L).
(R)emove an agent (R).
(Q)uit.
Choose your action: A,E,L,R or Q: r << 選擇 r 移除
Available agents:
ID: 001, Name: CentOS7-test, IP: any
Provide the ID of the agent to be removed (or '\q' to quit): 001 << 填入要移除的設備編號
Confirm deleting it?(y/n): y
Agent '001' removed.
****************************************
* Wazuh v4.3.10 Agent manager. *
* The following options are available: *
****************************************
(A)dd an agent (A).
(E)xtract key for an agent (E).
(L)ist already added agents (L).
(R)emove an agent (R).
(Q)uit.
Choose your action: A,E,L,R or Q: q << 移除完成按 q 離開
manage_agents: Exiting.
- 重新設定使用者的密碼
# 先下載官方提供的修改密碼腳本
curl -so wazuh-passwords-tool.sh https://packages.wazuh.com/4.8/wazuh-passwords-tool.sh
# 使用該腳本做修改
bash wazuh-passwords-tool.sh -u admin -p Secr3tP4ssw*rd
# 修改成功會出現下訊息
22/07/2024 22:23:28 INFO: Updating the internal users.
22/07/2024 22:23:31 INFO: A backup of the internal users has been saved in the /etc/wazuh-indexer/internalusers-backup folder.
22/07/2024 22:23:31 INFO: Generating password hash
22/07/2024 22:23:56 WARNING: Password changed. Remember to update the password in the Wazuh dashboard, Wazuh server, and Filebeat nodes if necessary, and restart the services.
備註
- BUBU 在做站台的更新時系統提示說 wazuh 所需的金鑰已失效,再重新更新一次金鑰就可以正常
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | gpg --no-default-keyring --keyring gnupg-ring:/etc/apt/trusted.gpg.d/GPG-KEY-WAZUH.gpg --import && chown _apt /etc/apt/trusted.gpg.d/GPG-KEY-WAZUH.gpg