Wazuh 4.3 – Installazione

Published by Lello on

In questi serie di articoli vedremo come effettuare l’installazione della piattaforma Wazuh 4.3 tramite l’installazione dei singoli componenti: Indexer, Server e Dashboard. La nostra installazione sarà single-node, tutti i componenti verranno installati ed eseguiti in una singola VM.

In alternativa, esiste anche la possibilità di scaricare una macchina virtuale (OVA) da questo indirizzo. Questa VM può essere importata in un qualunque ambiente di virtualizzazione che supporti OVA (VirtualBox, VMWare). È basata su CentOS 7, Wazuh 4.3 (Indexer, Server e Dashboard) e Filebeat-OSS (la versione opensource di Filebeat dello stack Elastic).
Un’altra metodologia di installazione prevede l’utilizzo di uno script (Wazuh installation assistant); l’assistant ci guiderà step-by-step nell’installazione e configurazione del nostro ambiente (nodi e servizi).

Come macchina ospite, utilizzeremo una VM con AlmaLinux 9 (una distribuzione opensource derivata da CentOS). Dopo aver effettuato un’installazione di tipo minimal, procediamo con la disabilitazione del modulo selinux e del firewalld: Provvederemo anche ad installare tutte le patch disponibili al momento.

Creazione certificati

Dopo aver installato la VM, la successiva operazione da effettuare è la creazione dei certificati, che permettono ai vari componenti di interagire tra loro ed ai client di trasmettere i dati in sicurezza. Utilizzeremo uno degli script messi a disposizione, che ci permetterà di generare in automatico tali certificati:

# mkdir /usr/src/wazuh_install
# cd /usr/src/wazuh_install
# curl -sO https://packages.wazuh.com/4.3/wazuh-certs-tool.sh
# curl -sO https://packages.wazuh.com/4.3/config.yml

Editiamo il file config.yml; modifichiamo il nome del nodo per l’Indexer, il Server e la Dashboard (con relativo indirizzo IP); se ci fossero stati più nodi, tale operazione andrebbe ripetuta per gli altri nodi della piattaforma:

nodes:
  # Wazuh indexer nodes
  indexer:
    - name: wazuh
      ip: 192.168.100.100
    # - name: wazuh-2
    #   ip: <indexer-node-ip>
    # ...

  # Wazuh server nodes
  # Use node_type only with more than one Wazuh manager
  server:
    - name: wazuh
      ip: 192.168.100.100
    # node_type: master
    # - name: wazuh-2
    #   ip: <wazuh-manager-ip>
    # node_type: worker
    # ....

  # Wazuh dashboard node
  dashboard:
    - name: wazuh
      ip: 192.168.100.100
    # ....

Prima di generare i certificati, modifichiamo il file wazuh-cert-tool.sh per adattarlo alla nostra organizzazione:

# sed -i "s/C *= *US/C=IT/" wazuh-certs-tool.sh
# sed -i "s/L *= *California/L=Italy/" wazuh-certs-tool.sh
# sed -i "s/O *= *Wazuh/O=Anthesia Ltd./" wazuh-certs-tool.sh
# sed -i "s/OU *= *Wazuh/OU=Anthesia Ltd./" wazuh-certs-tool.sh

Eseguendo il comando, verrà creata la cartella wazuh-certificates. All’interno di tale cartella, troveremo tutti i certificati generati:

# bash ./wazuh-certs-tool.sh -ca -A -v

Procediamo ora con l’installazione di Wazuh Indexer 4.3.

← Wazuh 4.3 releasedWazuh Indexer 4.3 →