Wazuh aufsetzen: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| (14 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
| + | = Hardware-Anforderungen = | ||
| + | |||
| + | {| class="wikitable" | ||
| + | ! Agents !! CPU !! RAM !! Storage (90 Tage) | ||
| + | |- | ||
| + | | 1–25 || 4 vCPU || 8 GB || 50 GB | ||
| + | |- | ||
| + | | 25–50 || 8 vCPU || 8 GB || 100 GB | ||
| + | |- | ||
| + | | 50–100 || 8 vCPU || 8 GB || 200 GB | ||
| + | |} | ||
| + | |||
=Klonen der Maschine= | =Klonen der Maschine= | ||
;rocky-template | ;rocky-template | ||
| − | = | + | |
| + | = Konfiguration = | ||
{| class="wikitable" style="background-color: #f2f2f2;" | {| class="wikitable" style="background-color: #f2f2f2;" | ||
! Parameter !! Wert !! Erläuterung | ! Parameter !! Wert !! Erläuterung | ||
|- | |- | ||
| − | | '''RAM''' || | + | | '''RAM''' || 12288MB || Arbeitsspeicher |
|- | |- | ||
| '''CPUs''' || 8 || Kerne | | '''CPUs''' || 8 || Kerne | ||
| Zeile 28: | Zeile 41: | ||
| '''DOM''' || dkbi.com || Domain Name | | '''DOM''' || dkbi.com || Domain Name | ||
|} | |} | ||
| + | |||
| + | =Wir arbeiten als root= | ||
| + | *sudo -i | ||
=Anpassen des Templates= | =Anpassen des Templates= | ||
;Hier bekommt ihr angezeigt was ihr machen müsst. | ;Hier bekommt ihr angezeigt was ihr machen müsst. | ||
*rocky-setup -h | *rocky-setup -h | ||
| + | |||
| + | =Benötigte Ports freigeben= | ||
| + | *firewall-cmd --permanent --add-port=443/tcp | ||
| + | *firewall-cmd --permanent --add-port=1514/tcp | ||
| + | *firewall-cmd --permanent --add-port=1515/tcp | ||
| + | *firewall-cmd --reload | ||
| + | =SELinux (nur falls es zickt)= | ||
| + | ;Hintergrund | ||
| + | :Der Stack läuft normal unter enforcing. Nur wenn Indexer/Dashboard wegen Permission-Fehlern nicht starten, auf permissive umstellen. | ||
| + | ;Dauerhaft auf permissive setzen (rebootfest) | ||
| + | *sed -i "s/^SELINUX=enforcing/SELINUX=permissive/" /etc/selinux/config | ||
| + | ;Sofort aktiv ohne Reboot | ||
| + | *setenforce 0 | ||
| + | ;Prüfen | ||
| + | *getenforce | ||
| + | |||
| + | =Installation Wazuh= | ||
| + | |||
| + | ;System aktualisieren | ||
| + | *dnf update -y | ||
| + | |||
| + | ;Wazuh-Installer holen | ||
| + | *curl -sO https://packages.wazuh.com/4.14/wazuh-install.sh | ||
| + | |||
| + | ;All-in-One Installation (Indexer + Manager + Dashboard auf einer Maschine) | ||
| + | *bash ./wazuh-install.sh -a -i | ||
| + | == Zugangsdaten == | ||
| + | ;Passwörter aus dem Archiv auslesen | ||
| + | *tar -O -xvf wazuh-install-files.tar wazuh-install-files/wazuh-passwords.txt | ||
| + | ;Wichtig | ||
| + | :Am Ende der Installation wird der admin-Login einmalig ausgegeben - nicht wegklicken. Falls doch zu spät: obiger tar-Befehl holt sie zurück. | ||
| + | ;oder Passwort ändern | ||
| + | */usr/share/wazuh-indexer/plugins/opensearch-security/tools/wazuh-passwords-tool.sh -u admin -p 123-Start | ||
| + | |||
| + | ==Ordentliches Zertifikat einspielen== | ||
| + | ;Standard-Abholung (legt nach /etc/ssl/own.crt + own.key) | ||
| + | *dnf install -y tar | ||
| + | *get-cert.sh | ||
| + | ;Für Wazuh-Dashboard an die richtige Stelle | ||
| + | *cp -f /etc/ssl/own.crt /etc/wazuh-dashboard/certs/wazuh-dashboard.pem | ||
| + | *cp -f /etc/ssl/own.key /etc/wazuh-dashboard/certs/wazuh-dashboard-key.pem | ||
| + | *chown wazuh-dashboard:wazuh-dashboard /etc/wazuh-dashboard/certs/wazuh-dashboard.pem /etc/wazuh-dashboard/certs/wazuh-dashboard-key.pem | ||
| + | *chmod 400 /etc/wazuh-dashboard/certs/wazuh-dashboard-key.pem | ||
| + | *systemctl restart wazuh-dashboard | ||
| + | |||
| + | == Dashboard aufrufen == | ||
| + | ;Im Browser | ||
| + | *https://wazuh.dkbi.com | ||
| + | |||
| + | ;Login | ||
| + | :User: admin | ||
| + | :Passwort: 123-Start | ||
| + | |||
| + | =Repository deaktivieren (empfohlen)= | ||
| + | |||
| + | ;Nach der Installation das Repo deaktivieren um ungewollte Updates zu verhindern | ||
| + | *sed -i "s/^enabled=1/enabled=0/" /etc/yum.repos.d/wazuh.repo | ||
| + | |||
| + | [[Kategorie:WAZUH]] | ||
Aktuelle Version vom 1. Juli 2026, 06:51 Uhr
Hardware-Anforderungen
| Agents | CPU | RAM | Storage (90 Tage) |
|---|---|---|---|
| 1–25 | 4 vCPU | 8 GB | 50 GB |
| 25–50 | 8 vCPU | 8 GB | 100 GB |
| 50–100 | 8 vCPU | 8 GB | 200 GB |
Klonen der Maschine
- rocky-template
Konfiguration
| Parameter | Wert | Erläuterung |
|---|---|---|
| RAM | 12288MB | Arbeitsspeicher |
| CPUs | 8 | Kerne |
| HD | 80GB | Dyamisch |
| Netzwerk (NIC) | port16 | Internal Network |
| IP | 172.26.54.11/24 | Statische IP |
| CIDR | 24 | Classless Inter-Domain Routing Präfixlänge |
| GW | 172.26.54.1 | GATEWAY |
| NS | 1.1.1.1 | Resolver |
| FQDN | wazuh.dkbi.com | Fully Qualified Domain Name |
| SHORT | wazuh | Short Name |
| DOM | dkbi.com | Domain Name |
Wir arbeiten als root
- sudo -i
Anpassen des Templates
- Hier bekommt ihr angezeigt was ihr machen müsst.
- rocky-setup -h
Benötigte Ports freigeben
- firewall-cmd --permanent --add-port=443/tcp
- firewall-cmd --permanent --add-port=1514/tcp
- firewall-cmd --permanent --add-port=1515/tcp
- firewall-cmd --reload
SELinux (nur falls es zickt)
- Hintergrund
- Der Stack läuft normal unter enforcing. Nur wenn Indexer/Dashboard wegen Permission-Fehlern nicht starten, auf permissive umstellen.
- Dauerhaft auf permissive setzen (rebootfest)
- sed -i "s/^SELINUX=enforcing/SELINUX=permissive/" /etc/selinux/config
- Sofort aktiv ohne Reboot
- setenforce 0
- Prüfen
- getenforce
Installation Wazuh
- System aktualisieren
- dnf update -y
- Wazuh-Installer holen
- All-in-One Installation (Indexer + Manager + Dashboard auf einer Maschine)
- bash ./wazuh-install.sh -a -i
Zugangsdaten
- Passwörter aus dem Archiv auslesen
- tar -O -xvf wazuh-install-files.tar wazuh-install-files/wazuh-passwords.txt
- Wichtig
- Am Ende der Installation wird der admin-Login einmalig ausgegeben - nicht wegklicken. Falls doch zu spät: obiger tar-Befehl holt sie zurück.
- oder Passwort ändern
- /usr/share/wazuh-indexer/plugins/opensearch-security/tools/wazuh-passwords-tool.sh -u admin -p 123-Start
Ordentliches Zertifikat einspielen
- Standard-Abholung (legt nach /etc/ssl/own.crt + own.key)
- dnf install -y tar
- get-cert.sh
- Für Wazuh-Dashboard an die richtige Stelle
- cp -f /etc/ssl/own.crt /etc/wazuh-dashboard/certs/wazuh-dashboard.pem
- cp -f /etc/ssl/own.key /etc/wazuh-dashboard/certs/wazuh-dashboard-key.pem
- chown wazuh-dashboard:wazuh-dashboard /etc/wazuh-dashboard/certs/wazuh-dashboard.pem /etc/wazuh-dashboard/certs/wazuh-dashboard-key.pem
- chmod 400 /etc/wazuh-dashboard/certs/wazuh-dashboard-key.pem
- systemctl restart wazuh-dashboard
Dashboard aufrufen
- Im Browser
- Login
- User: admin
- Passwort: 123-Start
Repository deaktivieren (empfohlen)
- Nach der Installation das Repo deaktivieren um ungewollte Updates zu verhindern
- sed -i "s/^enabled=1/enabled=0/" /etc/yum.repos.d/wazuh.repo