Wazuh – открытая система мониторинга, которая предназначена для обнаружения угроз, реагирования на инциденты, анализа логов, обнаружения уязвимостей и управления безопасностью конечных узлов. Система представляет собой расширение OSSEC – Open Source Security, но при этом обладает более современным интерфейсом и дополнительным функционалом. В статье разберём, как установить Wazuh на Ubuntu 24.04.
На сайте платформы сказано, что требования к оборудованию, на которое устанавливается Wazuh, в значительной степени зависят от количества анализируемых системой узлов. Но даже для организации мониторинга структуры с количеством узлов до двадцати пяти разработчики рекомендуют использовать сервер с четырёхядерным процессором, 8 гигабайтами ОЗУ и дисковым накопителем в 50GB.
Исходя из этого, в рассматриваемом примере мы будем использовать VPS именно в такой конфигурации.
Для обеспечения безопасности всей системы мониторинга крайне важно применение на сервере межсетевого экрана. В частности, Wazuh включает в себя компоненты вроде Elasticsearch, Wazuh API и Kibana, которые не должны быть доступны из публичной сети. В Ubuntu роль межсетевого экрана выполняет брандмауэр UFW – упрощённый интерфейс утилиты iptables. Поэтому для успешной установки и работы стека Wazuh на Ubuntu необходимо активировать брандмауэр UFW и открыть доступ к серверу только через определённые порты. Помимо порта, используемого для подключения по SSH, доступ к VPS должен быть ограничен TCP-портом 443, применяемым при подключении к веб-интерфейсу, а также TCP-портами 1514 и 1515, которые будут использоваться агентами системы мониторинга:
$ sudo ufw allow 443/tcp
$ sudo ufw allow 1514/tcp
$ sudo ufw allow 1515/tcp
Список правил, используемых брандмауэром UFW, вы можете вывести командой:
$ sudo ufw status
Как установить Wazuh на Ubuntu
Стек Wazuh является платформой, состоящей из трёх компонентов – сервера, индексатора и дашборда. Установка полного стека готовой к работе системы мониторинга версии 4.12, актуальной на момент написания статьи, производится командой:
$ curl -sO https://packages.wazuh.com/4.12/wazuh-install.sh && sudo bash ./wazuh-install.sh -aДанная команда загружает в систему установочный скрипт с официального сайта, после чего запускает его с параметром -a, который отвечает за инсталляцию полного стека Wazuh.
В завершение своей работы скрипт выведет на экран учётные данные административного пользователя, необходимые для доступа к веб-интерфейсу:
INFO: --- Summary ---
INFO: You can access the web interface https://<wazuh-dashboard-ip>:443
User: admin
Password: complex_admin_password
INFO: --- Dependencies ----
Removing lsof.
INFO: Installation finished.После установки стека разработчики рекомендуют отключить репозитории Wazuh с целью предотвращения случайных обновлений, которые могут нарушить функциональность среды. Для отключения репозитория Wazuh без его удаления отредактируйте файл /etc/apt/sources.list.d/wazuh.list при помощи потокового текстового редактора sed:
$ sudo sed -i "s/^deb /#deb /" /etc/apt/sources.list.d/wazuh.listПосле чего обновите списки пакетов в системе:
$ sudo apt updateЧтобы подключиться к веб-интерфейсу Wazuh, откройте браузер и перейдите на https://X.X.X.X, где вместо X.X.X.X укажите IP-адрес вашей виртуальной машины. Для аутентификации необходимо использовать логин и пароль, ранее созданные установочным скриптом при завершении инсталляции стека Wazuh. Введите их в соответствующие поля начальной страницы.
При корректном указании имени пользователя и пароля вы попадёте в панель мониторинга Wazuh, где отображается сводка по агентам, оповещениям, активности системы безопасности и многое другое.
