Wazuh Mailserver: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 4: | Zeile 4: | ||
==== Agent installieren ==== | ==== Agent installieren ==== | ||
<syntaxhighlight lang="bash"> | <syntaxhighlight lang="bash"> | ||
| − | apt install -y gpg | + | apt update && apt install -y gpg |
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | gpg --no-default-keyring --keyring gnupg-ring:/usr/share/keyrings/wazuh.gpg --import | curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | gpg --no-default-keyring --keyring gnupg-ring:/usr/share/keyrings/wazuh.gpg --import | ||
chmod 644 /usr/share/keyrings/wazuh.gpg | chmod 644 /usr/share/keyrings/wazuh.gpg | ||
| Zeile 15: | Zeile 15: | ||
apt update | apt update | ||
</syntaxhighlight> | </syntaxhighlight> | ||
| − | |||
| − | |||
==== Mail-User anlegen (Mailserver) ==== | ==== Mail-User anlegen (Mailserver) ==== | ||
Version vom 26. Juni 2026, 17:03 Uhr
Wazuh Alert-Mails
Wazuh verschickt bei Alerts ab einem Schwellwert eine E-Mail über den bestehenden Mailserver mail.it213.xinmen.de. Der Manager hängt sich als reiner SMTP-Client ein. Die Alerts landen im Postfach und sind in Roundcube sichtbar — damit wird der Bogen Detection → Response greifbar.
Agent installieren
apt update && apt install -y gpg
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | gpg --no-default-keyring --keyring gnupg-ring:/usr/share/keyrings/wazuh.gpg --import
chmod 644 /usr/share/keyrings/wazuh.gpg
echo "deb [signed-by=/usr/share/keyrings/wazuh.gpg] https://packages.wazuh.com/4.x/apt/ stable main" > /etc/apt/sources.list.d/wazuh.list
apt update
WAZUH_MANAGER="wazuh.dkbi.com" WAZUH_AGENT_NAME="mail" apt install -y wazuh-agent
systemctl daemon-reload
systemctl enable --now wazuh-agent
sed -i "s/^deb /#deb /" /etc/apt/sources.list.d/wazuh.list
apt update
Mail-User anlegen (Mailserver)
Auf mail.it213.xinmen.de zwei lokale User anlegen: Absender und Empfänger.
- Absender und SOC-Postfach anlegen
useradd -m -s /usr/sbin/nologin wazuh
useradd -m -s /bin/bash soc
passwd soc
- wazuh braucht kein Login (nur Absenderadresse), soc ist das Postfach, das du in Roundcube öffnest
Relay erlauben (Mailserver)
Wazuh sendet unauthentifiziert auf Port 25. Der Mailserver muss das Server-Netz als vertrauenswürdig akzeptieren.
- Aktuelle mynetworks prüfen
- postconf mynetworks
- Falls das Server-Netz fehlt, ergänzen
postconf -e "mynetworks = 127.0.0.0/8 172.26.54.0/24"
systemctl reload postfix
Manager konfigurieren
- In /var/ossec/etc/ossec.conf den global-Block ergänzen
<global> <email_notification>yes</email_notification> <smtp_server>mail.it213.xinmen.de</smtp_server> <email_from>wazuh@it213.xinmen.de</email_from> <email_to>soc@it213.xinmen.de</email_to> <email_maxperhour>12</email_maxperhour> </global>
- Schwellwert setzen — nur Alerts ab Level 7 mailen
<alerts> <email_alert_level>7</email_alert_level> </alerts>
- Manager neu starten
- systemctl restart wazuh-manager
Funktionstest
- SMTP-Pfad direkt prüfen (vom Wazuh-Manager aus)
- echo "test" | mail -s "wazuh smtp test" -r wazuh@it213.xinmen.de soc@it213.xinmen.de
- Die Mail muss in Roundcube im Postfach soc erscheinen
- Echten Alert auslösen (Brute-Force von der Kali, Level 10)
hydra -l kit -P bad-passwords.txt ssh://<ubuntu-ip>
- Wazuh schickt die Brute-Force-Alarmmail an soc@it213.xinmen.de