Wazuh aufsetzen: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
 
(4 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 14: Zeile 14:
 
;rocky-template
 
;rocky-template
  
= Netzkonfiguration =
+
= Konfiguration =
  
 
{| class="wikitable" style="background-color: #f2f2f2;"
 
{| class="wikitable" style="background-color: #f2f2f2;"
Zeile 76: Zeile 76:
 
;Passwörter aus dem Archiv auslesen
 
;Passwörter aus dem Archiv auslesen
 
*tar -O -xvf wazuh-install-files.tar wazuh-install-files/wazuh-passwords.txt
 
*tar -O -xvf wazuh-install-files.tar wazuh-install-files/wazuh-passwords.txt
 
 
;Wichtig
 
;Wichtig
 
:Am Ende der Installation wird der admin-Login einmalig ausgegeben - nicht wegklicken. Falls doch zu spät: obiger tar-Befehl holt sie zurück.
 
:Am Ende der Installation wird der admin-Login einmalig ausgegeben - nicht wegklicken. Falls doch zu spät: obiger tar-Befehl holt sie zurück.
 +
;oder Passwort ändern
 +
*/usr/share/wazuh-indexer/plugins/opensearch-security/tools/wazuh-passwords-tool.sh -u admin -p 123-Start
 +
 
==Ordentliches Zertifikat einspielen==
 
==Ordentliches Zertifikat einspielen==
 
;Standard-Abholung (legt nach /etc/ssl/own.crt + own.key)
 
;Standard-Abholung (legt nach /etc/ssl/own.crt + own.key)
 +
*dnf install -y tar
 
*get-cert.sh
 
*get-cert.sh
 
;Für Wazuh-Dashboard an die richtige Stelle
 
;Für Wazuh-Dashboard an die richtige Stelle
*cp /etc/ssl/own.crt /etc/wazuh-dashboard/certs/wazuh-dashboard.pem
+
*cp -f /etc/ssl/own.crt /etc/wazuh-dashboard/certs/wazuh-dashboard.pem
*cp /etc/ssl/own.key /etc/wazuh-dashboard/certs/wazuh-dashboard-key.pem
+
*cp -f /etc/ssl/own.key /etc/wazuh-dashboard/certs/wazuh-dashboard-key.pem
 
*chown wazuh-dashboard:wazuh-dashboard /etc/wazuh-dashboard/certs/wazuh-dashboard.pem /etc/wazuh-dashboard/certs/wazuh-dashboard-key.pem
 
*chown wazuh-dashboard:wazuh-dashboard /etc/wazuh-dashboard/certs/wazuh-dashboard.pem /etc/wazuh-dashboard/certs/wazuh-dashboard-key.pem
 
*chmod 400 /etc/wazuh-dashboard/certs/wazuh-dashboard-key.pem
 
*chmod 400 /etc/wazuh-dashboard/certs/wazuh-dashboard-key.pem
Zeile 91: Zeile 94:
 
== Dashboard aufrufen ==
 
== Dashboard aufrufen ==
 
;Im Browser
 
;Im Browser
*https://172.26.54.11
+
*https://wazuh.dkbi.com
  
 
;Login
 
;Login
 
:User: admin
 
:User: admin
:Passwort: <aus wazuh-passwords.txt>
+
:Passwort: 123-Start
 
 
:Beim ersten Aufruf meckert der Browser wegen selbstsigniertem Zertifikat - Ausnahme hinzufügen, ist im Lab so gewollt.
 
  
 
=Repository deaktivieren (empfohlen)=
 
=Repository deaktivieren (empfohlen)=

Aktuelle Version vom 1. Juli 2026, 06:51 Uhr

Hardware-Anforderungen

Agents CPU RAM Storage (90 Tage)
1–25 4 vCPU 8 GB 50 GB
25–50 8 vCPU 8 GB 100 GB
50–100 8 vCPU 8 GB 200 GB

Klonen der Maschine

rocky-template

Konfiguration

Parameter Wert Erläuterung
RAM 12288MB Arbeitsspeicher
CPUs 8 Kerne
HD 80GB Dyamisch
Netzwerk (NIC) port16 Internal Network
IP 172.26.54.11/24 Statische IP
CIDR 24 Classless Inter-Domain Routing Präfixlänge
GW 172.26.54.1 GATEWAY
NS 1.1.1.1 Resolver
FQDN wazuh.dkbi.com Fully Qualified Domain Name
SHORT wazuh Short Name
DOM dkbi.com Domain Name

Wir arbeiten als root

  • sudo -i

Anpassen des Templates

Hier bekommt ihr angezeigt was ihr machen müsst.
  • rocky-setup -h

Benötigte Ports freigeben

  • firewall-cmd --permanent --add-port=443/tcp
  • firewall-cmd --permanent --add-port=1514/tcp
  • firewall-cmd --permanent --add-port=1515/tcp
  • firewall-cmd --reload

SELinux (nur falls es zickt)

Hintergrund
Der Stack läuft normal unter enforcing. Nur wenn Indexer/Dashboard wegen Permission-Fehlern nicht starten, auf permissive umstellen.
Dauerhaft auf permissive setzen (rebootfest)
  • sed -i "s/^SELINUX=enforcing/SELINUX=permissive/" /etc/selinux/config
Sofort aktiv ohne Reboot
  • setenforce 0
Prüfen
  • getenforce

Installation Wazuh

System aktualisieren
  • dnf update -y
Wazuh-Installer holen
All-in-One Installation (Indexer + Manager + Dashboard auf einer Maschine)
  • bash ./wazuh-install.sh -a -i

Zugangsdaten

Passwörter aus dem Archiv auslesen
  • tar -O -xvf wazuh-install-files.tar wazuh-install-files/wazuh-passwords.txt
Wichtig
Am Ende der Installation wird der admin-Login einmalig ausgegeben - nicht wegklicken. Falls doch zu spät: obiger tar-Befehl holt sie zurück.
oder Passwort ändern
  • /usr/share/wazuh-indexer/plugins/opensearch-security/tools/wazuh-passwords-tool.sh -u admin -p 123-Start

Ordentliches Zertifikat einspielen

Standard-Abholung (legt nach /etc/ssl/own.crt + own.key)
  • dnf install -y tar
  • get-cert.sh
Für Wazuh-Dashboard an die richtige Stelle
  • cp -f /etc/ssl/own.crt /etc/wazuh-dashboard/certs/wazuh-dashboard.pem
  • cp -f /etc/ssl/own.key /etc/wazuh-dashboard/certs/wazuh-dashboard-key.pem
  • chown wazuh-dashboard:wazuh-dashboard /etc/wazuh-dashboard/certs/wazuh-dashboard.pem /etc/wazuh-dashboard/certs/wazuh-dashboard-key.pem
  • chmod 400 /etc/wazuh-dashboard/certs/wazuh-dashboard-key.pem
  • systemctl restart wazuh-dashboard

Dashboard aufrufen

Im Browser
Login
User: admin
Passwort: 123-Start

Repository deaktivieren (empfohlen)

Nach der Installation das Repo deaktivieren um ungewollte Updates zu verhindern
  • sed -i "s/^enabled=1/enabled=0/" /etc/yum.repos.d/wazuh.repo