Wazuh aufsetzen
Hardware-Anforderungen
| Agents | CPU | RAM | Storage (90 Tage) |
|---|---|---|---|
| 1–25 | 4 vCPU | 8 GB | 50 GB |
| 25–50 | 8 vCPU | 8 GB | 100 GB |
| 50–100 | 8 vCPU | 8 GB | 200 GB |
Klonen der Maschine
- rocky-template
Netzkonfiguration
| Parameter | Wert | Erläuterung |
|---|---|---|
| RAM | 12288MB | Arbeitsspeicher |
| CPUs | 8 | Kerne |
| HD | 80GB | Dyamisch |
| Netzwerk (NIC) | port16 | Internal Network |
| IP | 172.26.54.11/24 | Statische IP |
| CIDR | 24 | Classless Inter-Domain Routing Präfixlänge |
| GW | 172.26.54.1 | GATEWAY |
| NS | 1.1.1.1 | Resolver |
| FQDN | wazuh.dkbi.com | Fully Qualified Domain Name |
| SHORT | wazuh | Short Name |
| DOM | dkbi.com | Domain Name |
Wir arbeiten als root
- sudo -i
Anpassen des Templates
- Hier bekommt ihr angezeigt was ihr machen müsst.
- rocky-setup -h
Benötigte Ports freigeben
- firewall-cmd --permanent --add-port=443/tcp
- firewall-cmd --permanent --add-port=1514/tcp
- firewall-cmd --permanent --add-port=1515/tcp
- firewall-cmd --reload
SELinux (nur falls es zickt)
- Hintergrund
- Der Stack läuft normal unter enforcing. Nur wenn Indexer/Dashboard wegen Permission-Fehlern nicht starten, auf permissive umstellen.
- Dauerhaft auf permissive setzen (rebootfest)
- sed -i "s/^SELINUX=enforcing/SELINUX=permissive/" /etc/selinux/config
- Sofort aktiv ohne Reboot
- setenforce 0
- Prüfen
- getenforce
Installation Wazuh
- System aktualisieren
- dnf update -y
- Wazuh-Installer holen
- All-in-One Installation (Indexer + Manager + Dashboard auf einer Maschine)
- bash ./wazuh-install.sh -a -i
Zugangsdaten
- Passwörter aus dem Archiv auslesen
- tar -O -xvf wazuh-install-files.tar wazuh-install-files/wazuh-passwords.txt
- Wichtig
- Am Ende der Installation wird der admin-Login einmalig ausgegeben - nicht wegklicken. Falls doch zu spät: obiger tar-Befehl holt sie zurück.
Dashboard aufrufen
- Im Browser
- Login
- User: admin
- Passwort: <aus wazuh-passwords.txt>
- Beim ersten Aufruf meckert der Browser wegen selbstsigniertem Zertifikat - Ausnahme hinzufügen, ist im Lab so gewollt.
Passwort ändern
- /usr/share/wazuh-indexer/plugins/opensearch-security/tools/wazuh-passwords-tool.sh -u admin -p 123-Start
Repository deaktivieren (empfohlen)
- Nach der Installation das Repo deaktivieren um ungewollte Updates zu verhindern
- sed -i "s/^enabled=1/enabled=0/" /etc/yum.repos.d/wazuh.repo