Wazuh aufsetzen
Version vom 1. Juli 2026, 06:48 Uhr von Thomas.will (Diskussion | Beiträge) (→Ordentliches Zertifikat einspielen)
Hardware-Anforderungen
| Agents | CPU | RAM | Storage (90 Tage) |
|---|---|---|---|
| 1–25 | 4 vCPU | 8 GB | 50 GB |
| 25–50 | 8 vCPU | 8 GB | 100 GB |
| 50–100 | 8 vCPU | 8 GB | 200 GB |
Klonen der Maschine
- rocky-template
Konfiguration
| Parameter | Wert | Erläuterung |
|---|---|---|
| RAM | 12288MB | Arbeitsspeicher |
| CPUs | 8 | Kerne |
| HD | 80GB | Dyamisch |
| Netzwerk (NIC) | port16 | Internal Network |
| IP | 172.26.54.11/24 | Statische IP |
| CIDR | 24 | Classless Inter-Domain Routing Präfixlänge |
| GW | 172.26.54.1 | GATEWAY |
| NS | 1.1.1.1 | Resolver |
| FQDN | wazuh.dkbi.com | Fully Qualified Domain Name |
| SHORT | wazuh | Short Name |
| DOM | dkbi.com | Domain Name |
Wir arbeiten als root
- sudo -i
Anpassen des Templates
- Hier bekommt ihr angezeigt was ihr machen müsst.
- rocky-setup -h
Benötigte Ports freigeben
- firewall-cmd --permanent --add-port=443/tcp
- firewall-cmd --permanent --add-port=1514/tcp
- firewall-cmd --permanent --add-port=1515/tcp
- firewall-cmd --reload
SELinux (nur falls es zickt)
- Hintergrund
- Der Stack läuft normal unter enforcing. Nur wenn Indexer/Dashboard wegen Permission-Fehlern nicht starten, auf permissive umstellen.
- Dauerhaft auf permissive setzen (rebootfest)
- sed -i "s/^SELINUX=enforcing/SELINUX=permissive/" /etc/selinux/config
- Sofort aktiv ohne Reboot
- setenforce 0
- Prüfen
- getenforce
Installation Wazuh
- System aktualisieren
- dnf update -y
- Wazuh-Installer holen
- All-in-One Installation (Indexer + Manager + Dashboard auf einer Maschine)
- bash ./wazuh-install.sh -a -i
Zugangsdaten
- Passwörter aus dem Archiv auslesen
- tar -O -xvf wazuh-install-files.tar wazuh-install-files/wazuh-passwords.txt
- Wichtig
- Am Ende der Installation wird der admin-Login einmalig ausgegeben - nicht wegklicken. Falls doch zu spät: obiger tar-Befehl holt sie zurück.
- oder Passwort ändern
- /usr/share/wazuh-indexer/plugins/opensearch-security/tools/wazuh-passwords-tool.sh -u admin -p 123-Start
Ordentliches Zertifikat einspielen
- Standard-Abholung (legt nach /etc/ssl/own.crt + own.key)
- dnf install -y tar
- get-cert.sh
- Für Wazuh-Dashboard an die richtige Stelle
- cp /etc/ssl/own.crt /etc/wazuh-dashboard/certs/wazuh-dashboard.pem
- cp /etc/ssl/own.key /etc/wazuh-dashboard/certs/wazuh-dashboard-key.pem
- chown wazuh-dashboard:wazuh-dashboard /etc/wazuh-dashboard/certs/wazuh-dashboard.pem /etc/wazuh-dashboard/certs/wazuh-dashboard-key.pem
- chmod 400 /etc/wazuh-dashboard/certs/wazuh-dashboard-key.pem
- systemctl restart wazuh-dashboard
Dashboard aufrufen
- Im Browser
- Login
- User: admin
- Passwort: 123-Start
Repository deaktivieren (empfohlen)
- Nach der Installation das Repo deaktivieren um ungewollte Updates zu verhindern
- sed -i "s/^enabled=1/enabled=0/" /etc/yum.repos.d/wazuh.repo