Wazuh aufsetzen: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
 
(13 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
 +
= Hardware-Anforderungen =
 +
 +
{| class="wikitable"
 +
! Agents !! CPU !! RAM !! Storage (90 Tage)
 +
|-
 +
| 1–25 || 4 vCPU || 8 GB || 50 GB
 +
|-
 +
| 25–50 || 8 vCPU || 8 GB || 100 GB
 +
|-
 +
| 50–100 || 8 vCPU || 8 GB || 200 GB
 +
|}
 +
 
=Klonen der Maschine=
 
=Klonen der Maschine=
 
;rocky-template
 
;rocky-template
= Netzkonfiguration =
+
 
 +
= Konfiguration =
  
 
{| class="wikitable" style="background-color: #f2f2f2;"
 
{| class="wikitable" style="background-color: #f2f2f2;"
 
! Parameter !! Wert !! Erläuterung
 
! Parameter !! Wert !! Erläuterung
 
|-
 
|-
| '''RAM''' || 8GB || Arbeitsspeicher
+
| '''RAM''' || 12288MB || Arbeitsspeicher
 
|-
 
|-
 
| '''CPUs''' || 8 || Kerne
 
| '''CPUs''' || 8 || Kerne
Zeile 28: Zeile 41:
 
| '''DOM''' || dkbi.com || Domain Name
 
| '''DOM''' || dkbi.com || Domain Name
 
|}
 
|}
 +
 +
=Wir arbeiten als root=
 +
*sudo -i
 
=Anpassen des Templates=
 
=Anpassen des Templates=
 
;Hier bekommt ihr angezeigt was ihr machen müsst.
 
;Hier bekommt ihr angezeigt was ihr machen müsst.
 
*rocky-setup -h
 
*rocky-setup -h
 +
 +
=Benötigte Ports freigeben=
 +
*firewall-cmd --permanent --add-port=443/tcp
 +
*firewall-cmd --permanent --add-port=1514/tcp
 +
*firewall-cmd --permanent --add-port=1515/tcp
 +
*firewall-cmd --reload
 +
=SELinux (nur falls es zickt)=
 +
;Hintergrund
 +
:Der Stack läuft normal unter enforcing. Nur wenn Indexer/Dashboard wegen Permission-Fehlern nicht starten, auf permissive umstellen.
 +
;Dauerhaft auf permissive setzen (rebootfest)
 +
*sed -i "s/^SELINUX=enforcing/SELINUX=permissive/" /etc/selinux/config
 +
;Sofort aktiv ohne Reboot
 +
*setenforce 0
 +
;Prüfen
 +
*getenforce
 +
 
=Installation Wazuh=
 
=Installation Wazuh=
  
Zeile 40: Zeile 72:
  
 
;All-in-One Installation (Indexer + Manager + Dashboard auf einer Maschine)
 
;All-in-One Installation (Indexer + Manager + Dashboard auf einer Maschine)
*bash ./wazuh-install.sh -a
+
*bash ./wazuh-install.sh -a -i
 
 
 
== Zugangsdaten ==
 
== Zugangsdaten ==
 
;Passwörter aus dem Archiv auslesen
 
;Passwörter aus dem Archiv auslesen
 
*tar -O -xvf wazuh-install-files.tar wazuh-install-files/wazuh-passwords.txt
 
*tar -O -xvf wazuh-install-files.tar wazuh-install-files/wazuh-passwords.txt
 
 
;Wichtig
 
;Wichtig
 
:Am Ende der Installation wird der admin-Login einmalig ausgegeben - nicht wegklicken. Falls doch zu spät: obiger tar-Befehl holt sie zurück.
 
:Am Ende der Installation wird der admin-Login einmalig ausgegeben - nicht wegklicken. Falls doch zu spät: obiger tar-Befehl holt sie zurück.
 +
;oder Passwort ändern
 +
*/usr/share/wazuh-indexer/plugins/opensearch-security/tools/wazuh-passwords-tool.sh -u admin -p 123-Start
 +
 +
==Ordentliches Zertifikat einspielen==
 +
;Standard-Abholung (legt nach /etc/ssl/own.crt + own.key)
 +
*dnf install -y tar
 +
*get-cert.sh
 +
;Für Wazuh-Dashboard an die richtige Stelle
 +
*cp -f /etc/ssl/own.crt /etc/wazuh-dashboard/certs/wazuh-dashboard.pem
 +
*cp -f /etc/ssl/own.key /etc/wazuh-dashboard/certs/wazuh-dashboard-key.pem
 +
*chown wazuh-dashboard:wazuh-dashboard /etc/wazuh-dashboard/certs/wazuh-dashboard.pem /etc/wazuh-dashboard/certs/wazuh-dashboard-key.pem
 +
*chmod 400 /etc/wazuh-dashboard/certs/wazuh-dashboard-key.pem
 +
*systemctl restart wazuh-dashboard
  
 
== Dashboard aufrufen ==
 
== Dashboard aufrufen ==
 
;Im Browser
 
;Im Browser
*https://172.26.54.11
+
*https://wazuh.dkbi.com
  
 
;Login
 
;Login
 
:User: admin
 
:User: admin
:Passwort: <aus wazuh-passwords.txt>
+
:Passwort: 123-Start
 +
 
 +
=Repository deaktivieren (empfohlen)=
 +
 
 +
;Nach der Installation das Repo deaktivieren um ungewollte Updates zu verhindern
 +
*sed -i "s/^enabled=1/enabled=0/" /etc/yum.repos.d/wazuh.repo
  
:Beim ersten Aufruf meckert der Browser wegen selbstsigniertem Zertifikat - Ausnahme hinzufügen, ist im Lab so gewollt.
+
[[Kategorie:WAZUH]]

Aktuelle Version vom 1. Juli 2026, 06:51 Uhr

Hardware-Anforderungen

Agents CPU RAM Storage (90 Tage)
1–25 4 vCPU 8 GB 50 GB
25–50 8 vCPU 8 GB 100 GB
50–100 8 vCPU 8 GB 200 GB

Klonen der Maschine

rocky-template

Konfiguration

Parameter Wert Erläuterung
RAM 12288MB Arbeitsspeicher
CPUs 8 Kerne
HD 80GB Dyamisch
Netzwerk (NIC) port16 Internal Network
IP 172.26.54.11/24 Statische IP
CIDR 24 Classless Inter-Domain Routing Präfixlänge
GW 172.26.54.1 GATEWAY
NS 1.1.1.1 Resolver
FQDN wazuh.dkbi.com Fully Qualified Domain Name
SHORT wazuh Short Name
DOM dkbi.com Domain Name

Wir arbeiten als root

  • sudo -i

Anpassen des Templates

Hier bekommt ihr angezeigt was ihr machen müsst.
  • rocky-setup -h

Benötigte Ports freigeben

  • firewall-cmd --permanent --add-port=443/tcp
  • firewall-cmd --permanent --add-port=1514/tcp
  • firewall-cmd --permanent --add-port=1515/tcp
  • firewall-cmd --reload

SELinux (nur falls es zickt)

Hintergrund
Der Stack läuft normal unter enforcing. Nur wenn Indexer/Dashboard wegen Permission-Fehlern nicht starten, auf permissive umstellen.
Dauerhaft auf permissive setzen (rebootfest)
  • sed -i "s/^SELINUX=enforcing/SELINUX=permissive/" /etc/selinux/config
Sofort aktiv ohne Reboot
  • setenforce 0
Prüfen
  • getenforce

Installation Wazuh

System aktualisieren
  • dnf update -y
Wazuh-Installer holen
All-in-One Installation (Indexer + Manager + Dashboard auf einer Maschine)
  • bash ./wazuh-install.sh -a -i

Zugangsdaten

Passwörter aus dem Archiv auslesen
  • tar -O -xvf wazuh-install-files.tar wazuh-install-files/wazuh-passwords.txt
Wichtig
Am Ende der Installation wird der admin-Login einmalig ausgegeben - nicht wegklicken. Falls doch zu spät: obiger tar-Befehl holt sie zurück.
oder Passwort ändern
  • /usr/share/wazuh-indexer/plugins/opensearch-security/tools/wazuh-passwords-tool.sh -u admin -p 123-Start

Ordentliches Zertifikat einspielen

Standard-Abholung (legt nach /etc/ssl/own.crt + own.key)
  • dnf install -y tar
  • get-cert.sh
Für Wazuh-Dashboard an die richtige Stelle
  • cp -f /etc/ssl/own.crt /etc/wazuh-dashboard/certs/wazuh-dashboard.pem
  • cp -f /etc/ssl/own.key /etc/wazuh-dashboard/certs/wazuh-dashboard-key.pem
  • chown wazuh-dashboard:wazuh-dashboard /etc/wazuh-dashboard/certs/wazuh-dashboard.pem /etc/wazuh-dashboard/certs/wazuh-dashboard-key.pem
  • chmod 400 /etc/wazuh-dashboard/certs/wazuh-dashboard-key.pem
  • systemctl restart wazuh-dashboard

Dashboard aufrufen

Im Browser
Login
User: admin
Passwort: 123-Start

Repository deaktivieren (empfohlen)

Nach der Installation das Repo deaktivieren um ungewollte Updates zu verhindern
  • sed -i "s/^enabled=1/enabled=0/" /etc/yum.repos.d/wazuh.repo