Wazuh aufsetzen: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
Zeile 93: Zeile 93:
 
== Dashboard aufrufen ==
 
== Dashboard aufrufen ==
 
;Im Browser
 
;Im Browser
*https://172.26.54.11
+
*https://wazuh.dkbi.com
  
 
;Login
 
;Login
 
:User: admin
 
:User: admin
:Passwort: <aus wazuh-passwords.txt>
+
:Passwort: 123-Start
 
 
:Beim ersten Aufruf meckert der Browser wegen selbstsigniertem Zertifikat - Ausnahme hinzufügen, ist im Lab so gewollt.
 
  
 
=Repository deaktivieren (empfohlen)=
 
=Repository deaktivieren (empfohlen)=

Version vom 21. Juni 2026, 07:59 Uhr

Hardware-Anforderungen

Agents CPU RAM Storage (90 Tage)
1–25 4 vCPU 8 GB 50 GB
25–50 8 vCPU 8 GB 100 GB
50–100 8 vCPU 8 GB 200 GB

Klonen der Maschine

rocky-template

Netzkonfiguration

Parameter Wert Erläuterung
RAM 12288MB Arbeitsspeicher
CPUs 8 Kerne
HD 80GB Dyamisch
Netzwerk (NIC) port16 Internal Network
IP 172.26.54.11/24 Statische IP
CIDR 24 Classless Inter-Domain Routing Präfixlänge
GW 172.26.54.1 GATEWAY
NS 1.1.1.1 Resolver
FQDN wazuh.dkbi.com Fully Qualified Domain Name
SHORT wazuh Short Name
DOM dkbi.com Domain Name

Wir arbeiten als root

  • sudo -i

Anpassen des Templates

Hier bekommt ihr angezeigt was ihr machen müsst.
  • rocky-setup -h

Benötigte Ports freigeben

  • firewall-cmd --permanent --add-port=443/tcp
  • firewall-cmd --permanent --add-port=1514/tcp
  • firewall-cmd --permanent --add-port=1515/tcp
  • firewall-cmd --reload

SELinux (nur falls es zickt)

Hintergrund
Der Stack läuft normal unter enforcing. Nur wenn Indexer/Dashboard wegen Permission-Fehlern nicht starten, auf permissive umstellen.
Dauerhaft auf permissive setzen (rebootfest)
  • sed -i "s/^SELINUX=enforcing/SELINUX=permissive/" /etc/selinux/config
Sofort aktiv ohne Reboot
  • setenforce 0
Prüfen
  • getenforce

Installation Wazuh

System aktualisieren
  • dnf update -y
Wazuh-Installer holen
All-in-One Installation (Indexer + Manager + Dashboard auf einer Maschine)
  • bash ./wazuh-install.sh -a -i

Zugangsdaten

Passwörter aus dem Archiv auslesen
  • tar -O -xvf wazuh-install-files.tar wazuh-install-files/wazuh-passwords.txt
Wichtig
Am Ende der Installation wird der admin-Login einmalig ausgegeben - nicht wegklicken. Falls doch zu spät: obiger tar-Befehl holt sie zurück.
oder Passwort ändern
  • /usr/share/wazuh-indexer/plugins/opensearch-security/tools/wazuh-passwords-tool.sh -u admin -p 123-Start

Ordentliches Zertifikat einspielen

Standard-Abholung (legt nach /etc/ssl/own.crt + own.key)
  • get-cert.sh
Für Wazuh-Dashboard an die richtige Stelle
  • cp /etc/ssl/own.crt /etc/wazuh-dashboard/certs/wazuh-dashboard.pem
  • cp /etc/ssl/own.key /etc/wazuh-dashboard/certs/wazuh-dashboard-key.pem
  • chown wazuh-dashboard:wazuh-dashboard /etc/wazuh-dashboard/certs/wazuh-dashboard.pem /etc/wazuh-dashboard/certs/wazuh-dashboard-key.pem
  • chmod 400 /etc/wazuh-dashboard/certs/wazuh-dashboard-key.pem
  • systemctl restart wazuh-dashboard

Dashboard aufrufen

Im Browser
Login
User: admin
Passwort: 123-Start

Repository deaktivieren (empfohlen)

Nach der Installation das Repo deaktivieren um ungewollte Updates zu verhindern
  • sed -i "s/^enabled=1/enabled=0/" /etc/yum.repos.d/wazuh.repo