Paket Listesi

Donanım Gereksinimleri

Wazuh VM'nin bir ana işletim sistemine aktarılabilmesi için aşağıdaki gereksinimlerin karşılanması gerekir:

• Ana bilgisayar işletim sisteminin 64-bit olması gerekiyor.

• Donanım sanallaştırmanın, ana bilgisayarın donanım yazılımında etkinleştirilmesi gerekir.

• Ana bilgisayara VirtualBox gibi bir sanallaştırma platformu kurulmalıdır.

Wazuh VM, kutudan çıktığı haliyle aşağıdaki özelliklerle yapılandırılmıştır:

Ancak bu donanım yapılandırması, korunan uç nokta sayısına ve dizinlenmiş uyarı verilerine bağlı olarak değiştirilebilir. Gereksinimler hakkında daha fazla bilgi burada bulunabilir .

Sanal Makineyi İçe Aktarın ve Erişin

1. OVA’yı sanallaştırma platformuna aktarın.

2. VirtualBox kullanıyorsanız, VMSVGAgrafik denetleyicisini ayarlayın. Başka bir grafik denetleyicisi ayarlamak VM penceresini dondurur.

   1. İçeri aktarılan VM'yi seçin.

   2. Ayarlar > Görüntüle'ye tıklayın

   3. Grafik denetleyicide seçeneğini seçin VMSVGA.

3. Makineyi çalıştırın.

4. Aşağıdaki kullanıcı adı ve parolayı kullanarak sanal makineye erişin. Sanallaştırma platformunu kullanabilir veya SSH üzerinden erişebilirsiniz.
   
   

   user: wazuh-user
   password: wazuh

   SSH rootkullanıcı girişi devre dışı bırakıldı; ancak wazuh-usersudo ayrıcalıkları korunuyor. Kök ayrıcalık yükseltmesi aşağıdaki komutu çalıştırarak gerçekleştirilebilir:
   
   

   sudo -i

    

Yapılandırma Dosyaları

Bu sanal görüntüde bulunan tüm bileşenler, herhangi bir ayarı değiştirmeye gerek kalmadan, kutudan çıktığı gibi çalışacak şekilde yapılandırılmıştır. Ancak, tüm bileşenler tamamen özelleştirilebilir. Yapılandırma dosyalarının konumları şunlardır:

VirtualBox Zaman Yapılandırması

VirtualBox kullanılması durumunda, sanal makine içe aktarıldığında, VirtualBox konuk makinenin saatini senkronize ettiğinde zaman kaymasından kaynaklanan sorunlarla karşılaşılabilir. Bu durumdan kaçınmak için, sanal makine yapılandırmasının sekmesindeki seçeneği etkinleştirin.Hardware Clock in UTC TimeSystem

Not:  Varsayılan olarak, ağ arabirimi türü Bridged Adapter olarak ayarlanır. VM, ağ DHCP sunucusundan bir IP adresi almaya çalışır. Alternatif olarak, VM'nin dayandığı Amazon Linux işletim sistemindeki uygun ağ dosyalarını yapılandırarak statik bir IP adresi ayarlanabilir.

Sanal makine içe aktarılıp çalıştırıldıktan sonraki adım, izlenecek sistemlere Wazuh aracılarını dağıtmaktır .

VM'yi Yükseltme

Sanal makine geleneksel kurulum gibi yükseltilebilir:

Paket Listesi

Dağıtım Alternatifleri

Bir Wazuh örneğini dağıtmak için iki alternatif vardır. Wazuh All-In-One Deployment AMI'yi doğrudan AWS Marketplace'ten başlatabilir veya AWS Management Console'u kullanarak bir örneği yapılandırabilir ve dağıtabilirsiniz.

• AWS Marketplace'ten bir örnek başlatın

• AWS Yönetim Konsolu'nu kullanarak bir örneği dağıtın

Not: Wazuh Danışmanlık Hizmeti AWS Marketplace'te de mevcuttur. Wazuh'un sunduğu Profesyonel Hizmet paketlerini kontrol edin.

Yapılandırma Dosyaları

Bu AMI'de bulunan tüm bileşenler, herhangi bir ayarı değiştirmeye gerek kalmadan kullanıma hazır şekilde yapılandırılır. Ancak, tüm bileşenler tamamen özelleştirilebilir. Yapılandırma dosyalarının konumları şunlardır.

• Wazuh yöneticisi:/var/ossec/etc/ossec.conf

• Wazuh indeksleyici:/etc/wazuh-indexer/opensearch.yml

• Filebeat-OSS:/etc/filebeat/filebeat.yml

• Wazuh gösterge paneli:

  • /etc/wazuh-dashboard/opensearch_dashboards.yml

  • /usr/share/wazuh-dashboard/data/wazuh/config/wazuh.yml

Wazuh'u yapılandırma hakkında daha fazla bilgi edinmek için Kullanım kılavuzuna bakın .

Wazuh Dashboard'a Erişin

Örnek başlatıldığında, kullanıcı parolaları otomatik olarak ilk harfi büyük olan örnek kimliğine değiştirilir. Örneğin: I-07f25f6afe4789342. Bu, yalnızca oluşturucunun arayüze erişebilmesini sağlar. Bu işlem, örneğin türüne bağlı olarak ortalama beş dakika sürebilir. Bu süre zarfında, hem SSH erişimi hem de Wazuh panosuna erişim devre dışı bırakılır.

Örnek çalışmaya başladıktan ve parola başlatma işlemi tamamlandıktan sonra kimlik bilgilerinizle Wazuh kontrol paneline erişebilirsiniz.

• URL: https://<ÖRNEĞİNİZ_IP>

• Kullanıcı adı : admin

• Şifre : <YOUR_INSTANCE_ID>

Not:  Şifre ilk harfi büyük olan örnek kimliğidir. Örneğin: I-07f25f6afe4789342.

Uyarı:  Sunucu API kullanıcıları için parola wazuh, kullanıcının parolasıyla wazuh-wuiaynıdır admin. İlk SSH erişiminde varsayılan parolaları değiştirmenizi şiddetle öneririz. Bu işlemi gerçekleştirmek için Parola yönetimi bölümüne bakın.

SSH ile İlgili Güvenlik Hususları

• Kullanıcı rootSSH ile tanımlanamıyor ve örneğe yalnızca şu kullanıcı aracılığıyla erişilebiliyor: wazuh-user.

• Parolalar aracılığıyla SSH kimlik doğrulaması devre dışı bırakıldı ve örneğe yalnızca bir anahtar çifti aracılığıyla erişilebilir. Bu, yalnızca anahtar çiftine sahip kullanıcının örneğe erişebileceği anlamına gelir.

• Örneğe bir anahtar çiftiyle erişmek için, AWS'de oluşturulan veya depolanan anahtarı indirmeniz gerekir. Ardından, örneğe bağlanmak için aşağıdaki komutu çalıştırın.

  ssh -i "<KEY_PAIR_NAME>" wazuh-user@<YOUR_INSTANCE_IP>

• Olası sorunları önlemek için ilk parola değiştirme işlemi sırasında erişim devre dışı bırakılır. Bu işlemin tamamlanması birkaç dakika sürebilir. Tamamlanmadan önce herhangi bir erişim girişimi gösterilir .wazuh-user@<INSTANCE_IP>: Permission denied (publickey,gssapi-keyex,gssapi-with-mic)

Sonraki Adımlar

Wazuh AMI artık hazır ve izlenecek sistemlere Wazuh ajanlarını dağıtmaya başlayabilirsiniz .

AMI'yi Yükseltme

Wazuh merkezi bileşenlerinin nasıl yükseltileceğine ilişkin talimatları izleyin.

• Wazuh merkezi bileşenlerinin yükseltilmesi

Gereksinimler

Docker Motoru

Linux/Unix makineleri için Docker, çekirdek sürümü 3.10 veya üzeri olan bir amd64 mimari sistemine ihtiyaç duyar.

1. Bir terminal açın ve çekirdek sürümünüzü görüntülemek ve kontrol etmek için şunu kullanın: uname -r


   
   

   uname -r

   Output

   3.10.0-229.el7.x86_64

2. Docker kurulum betiğini çalıştırın:
   
   Ubuntu/Debian Makinelerinde 
   
   

   curl -sSL https://get.docker.com/ | sh

   CentOS Makinelerinde
   
   

   yum install -y yum-utils
   yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
   yum install docker-ce docker-ce-cli containerd.io docker-compose-plugin

   Amazon Linux 2 Makinede
   
   

   yum update -y
   yum install docker

3. Docker servisini başlatın:
   
   Systemd
   
   

   systemctl start docker

   SysV Başlatma
   
   

   service docker start

   
   
   

Not:  Docker'ı kök olmayan bir kullanıcı olarak kullanmak istiyorsanız, kullanıcınızı dockeraşağıdakine benzer bir komutla gruba eklemelisiniz: . Bunun etkili olması için oturumu kapatıp tekrar oturum açın.usermod -aG docker your-user

Docker Oluşturma

Wazuh Docker dağıtımı Docker Compose 1.29 veya üzerini gerektirir. Yüklemek için şu adımları izleyin:

1. Docker Compose ikili dosyasını indirin:
   
   

   curl -L "https://github.com/docker/compose/releases/download/v2.12.2/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose

2. Yürütme izinlerini verin:
   
   

   chmod +x /usr/local/bin/docker-compose

3. Her şeyin yolunda olduğundan emin olmak için kurulumu test edin:
   
   

   docker-compose --version

   Output

   Docker Compose version v2.12.2

   Not: Kurulumdan sonra komut başarısız olursa . Yolunuzdaki herhangi bir dizine veya başka bir dizine docker-composesembolik bir bağlantı oluşturun :/usr/binln -s /usr/local/bin/docker-compose /usr/bin/docker-compose

    

   
   

Kullanım

Wazuh'u tek düğümlü veya çok düğümlü bir yığın olarak dağıtabilirsiniz.

• Tek düğümlü dağıtım : Bir Wazuh yöneticisi, dizinleyici ve pano düğümü dağıtır.

• Çoklu düğüm dağıtımı : İki Wazuh yönetici düğümü (bir ana ve bir çalışan), üç Wazuh dizinleyici düğümü ve bir Wazuh gösterge paneli düğümü dağıtır.

Her iki dağıtım da kalıcılığı kullanır ve düğümler arasındaki iletişimleri güvence altına almak için sertifikaların yapılandırılmasına izin verir. Çok düğümlü yığın, yüksek kullanılabilirlik içeren tek dağıtımdır.

Açıkta Kalan Portlar

Varsayılan olarak, yığın aşağıdaki portları açığa çıkarır:

Not:  Docker yapılandırmayı dinamik olarak yeniden yüklemez. Bir bileşenin yapılandırmasını değiştirdikten sonra yığını yeniden başlatmanız gerekir.

Hizmetlere ve Konteynerlere Erişim

1. Docker ana bilgisayar IP adresini kullanarak Wazuh panosuna erişin. Örneğin, https://localhostDocker ana bilgisayarındaysanız.
   
   

   Not:  Kendinden imzalı bir sertifika kullanmanız durumunda tarayıcınız sertifikanın gerçekliğini doğrulayamadığına dair bir uyarı verecektir.

    

2. Standart kayıt sürecini izleyerek ve Docker ana bilgisayar adresini yönetici adresi olarak kullanarak aracıları kaydedin. Daha fazla bilgi için Wazuh aracı kayıt belgelerine bakın.

3. Wazuh dosyasının bulunduğu dizindeki kapsayıcıları listeleyin docker-compose.yml:
   
   

   docker-compose ps

   Output

   NAME                            COMMAND                  SERVICE             STATUS              PORTS
   single-node-wazuh.dashboard-1   "/entrypoint.sh"         wazuh.dashboard     running             443/tcp, 0.0.0.0:443->5601/tcp
   single-node-wazuh.indexer-1     "/entrypoint.sh open…"   wazuh.indexer       running             0.0.0.0:9200->9200/tcp
   single-node-wazuh.manager-1     "/init"                  wazuh.manager       running             0.0.0.0:1514-1515->1514-1515/tcp, 0.0.0.0:514->514/udp, 0.0.0.0:55000->55000/tcp, 1516/tcp

4. docker-compose.ymlHer bir konteynerin komut satırına erişmek için dosyanın bulunduğu dizinden aşağıdaki komutu çalıştırın:
   
   

   docker-compose exec <SERVICE> bash

Wazuh Servis Veri Hacimleri

Wazuh yapılandırma ve günlük dosyalarının kapsayıcılarının dışında var olmasını ayarlayabilirsiniz. Bu, dosyaların kapsayıcıları kaldırdıktan sonra da kalıcı olmasını sağlar ve kapsayıcılarınıza özel yapılandırma dosyaları sağlayabilirsiniz.

Bir Wazuh konteynerinde kalıcılığı garantilemek için birden fazla birime ihtiyacınız var. Aşağıda docker-compose.ymlkalıcı birimlere sahip bir örnek verilmiştir:

services:
  wazuh:
    . . .
    volumes:
      - wazuh_api_configuration:/var/ossec/api/configuration

volumes:
  wazuh_api_configuration:

Kalıcı birimleri şu şekilde listeleyebilirsiniz : docker volume ls

DRIVER              VOLUME NAME
local               single-node_wazuh_api_configuration

Wazuh Indexer ve Dashboard İçin Depolama Hacmi

Wazuh dizinleyici verilerinin depolanması için bir birim eklemek de mümkündür. Varsayılan olarak, tek düğümlü ve çok düğümlü dağıtımlar zaten yapılandırılmış birimlere sahiptir. Tek düğümlü bir wazuh dizinleyici biriminin bir örneği aşağıda gösterilmiştir docker-compose.yml:

wazuh.indexer:
    . . .
     volumes:
       - wazuh-indexer-data:/var/lib/wazuh-indexer

    . . .

volumes:
  wazuh-indexer-data

Özel Komutlar ve Scriptler

Wazuh yönetici kabında komutları çalıştırmak için bir kabuk çalıştırabilirsiniz:

docker exec -it single-node-wazuh.manager-1 bash

Bu kabukta yapılan her değişiklik, veri birimleri doğru şekilde yapılandırıldığı sürece kalıcı olur.

Ön Koşullar

• Zaten dağıtılmış bir Kubernetes kümesi.

• Kubernetes 1.23 ve üzeri sürümlerini kullanan Amazon EKS dağıtımları için bir Amazon EBS CSI sürücüsü IAM rolü. CSI sürücüsünün düzgün çalışması için bir IAM rolü atamanız gerekir. Amazon EBS CSI sürücüsü IAM rolünü oluşturma talimatlarını bulmak için AWS belgelerini okuyun . Hem yeni hem de eski dağıtımlar için CSI sürücüsünü yüklemeniz gerekir. CSI sürücüsü, temel bir Kubernetes özelliğidir.

Kaynak Gereksinimi

Wazuh'u Kubernetes'e dağıtmak için kümede en azından aşağıdaki kaynakların bulunması gerekir:

• 2 CPU ünitesi

• 3 Gi hafıza

• 2 Gi depolama

Genel Bakış

Hangi Dosyaların Birime Aktarılacağının Kontrol Edilmesi

Kubernetes dağıtımımız Docker'dan Wazuh görüntülerimizi kullanır. Docker kullanarak Wazuh yapılandırmasından çıkarılan aşağıdaki koda bakarsak, yükseltmede hangi dizinlerin ve dosyaların kullanıldığını görebiliriz.

/var/ossec/api/configuration
/var/ossec/etc
/var/ossec/logs
/var/ossec/queue
/var/ossec/var/multigroups
/var/ossec/integrations
/var/ossec/active-response/bin
/var/ossec/agentless
/var/ossec/wodles
/etc/filebeat
/var/lib/filebeat
/usr/share/wazuh-dashboard/config/
/usr/share/wazuh-dashboard/certs/
/var/lib/wazuh-indexer
/usr/share/wazuh-indexer/certs/
/usr/share/wazuh-indexer/opensearch.yml
/usr/share/wazuh-indexer/opensearch-security/internal_users.yml

Bu dosyalarla ilgili herhangi bir değişiklik ilişkili birimde de yapılacaktır. Replika pod oluşturulduğunda, önceki değişiklikleri koruyarak bu dosyaları birimden alacaktır.

Sertifikaların Yeniden Oluşturulması

v4.8.0'dan önceki bir sürümden yükseltme yapmak SSL sertifikalarını yeniden oluşturmanızı gerektirir. Bunun için SSL sertifikalarını kurun bölümündeki talimatları izleyin.

Yükseltmeyi Yapılandırma

4.9 sürümüne yükseltmek için iki stratejiden birini izleyebilirsiniz.

• Varsayılan manifestoları kullanma : Bu strateji Wazuh 4.9 için varsayılan manifestoları kullanır. Güncel olmayan Wazuh sürümünüzün wazuh-kubernetes manifestolarını değiştirir.

• Özel bildirimleri tutma : Bu strateji, güncel olmayan Wazuh dağıtımınızın wazuh-kubernetes bildirimlerini korur. En son Wazuh sürümünün bildirimlerini yok sayar.

Yeni Yapılandırmayı Uygula

Son adım yeni yapılandırmayı uygulamaktır:

• EKS kümesi

  kubectl apply -k envs/eks/

• Diğer küme türleri

  kubectl apply -k envs/local-env/

 statefulset.apps "wazuh-manager-master" configured

Bu işlem eski pod'u sonlandırırken aynı birime bağlı yeni bir sürümle yeni bir pod yaratacaktır. Pod'lar başlatıldığında güncelleme hazır olacak ve yüklenen yeni Wazuh sürümünü, kümeyi ve birimlerin kullanımıyla korunan değişiklikleri kontrol edebiliriz.

SSL Sertifikalarını Kurun

Wazuh dizinleyici kümesi için kendi kendine imzalı sertifikaları adresindeki betiği kullanarak üretebilir wazuh/certs/indexer_cluster/generate_certs.shveya kendi betiğinizi sağlayabilirsiniz.

Wazuh panosu kümesi için kendi imzalı sertifikaları adresindeki betiği kullanarak üretebilir wazuh/certs/dashboard_http/generate_certs.shveya kendi betiğinizi sağlayabilirsiniz.

Gerekli sertifikalar secretGenerator aracılığıyla şu dosyaya aktarılır kustomization.yml:

secretGenerator:
    - name: indexer-certs
      files:
        - certs/indexer_cluster/root-ca.pem
        - certs/indexer_cluster/node.pem
        - certs/indexer_cluster/node-key.pem
        - certs/indexer_cluster/dashboard.pem
        - certs/indexer_cluster/dashboard-key.pem
        - certs/indexer_cluster/admin.pem
        - certs/indexer_cluster/admin-key.pem
        - certs/indexer_cluster/filebeat.pem
        - certs/indexer_cluster/filebeat-key.pem
    - name: dashboard-certs
      files:
        - certs/dashboard_http/cert.pem
        - certs/dashboard_http/key.pem
        - certs/indexer_cluster/root-ca.pem

Depolama Sınıfını Ayarlayın (EKS Olmayan Küme İçin İsteğe Bağlı)

Çalıştırdığınız kümenin türüne bağlı olarak, Depolama Sınıfı farklı bir sağlayıcıya sahip olabilir.

Sizinkini çalıştırarak kontrol edebilirsiniz . Şuna benzer bir şey göreceksiniz:kubectl get sc

kubectl get sc
NAME                          PROVISIONER            RECLAIMPOLICY   VOLUMEBINDINGMODE   ALLOWVOLUMEEXPANSION   AGE
elk-gp2                       microk8s.io/hostpath   Delete          Immediate           false                  67d
microk8s-hostpath (default)   microk8s.io/hostpath   Delete          Immediate           false                  54d

Provizyonlayıcı sütunu microk8s.io/hostpath'i gösteriyor, dosyayı düzenlemeli envs/local-env/storage-class.yaml ve bu provizyonlayıcıyı ayarlamalısınız.

Tüm Bildirimleri Kustomize Kullanarak Uygulayın

Manifest'in iki çeşidi vardır: eksve local-env. EKS kümesini kullanıyorsanız eks manifest'i kullanılmalıdır, diğer küme türleri için ise local-env manifest'i kullanılmalıdır.

Hangi bildirimi dağıtmak istediğinize bağlı olarak, yamaları düzenleyerek küme için kaynakları ayarlamak mümkündür. Her küme nesnesinin kalıcı birimleri için CPU, bellek ve depolamayı ayarlayabilirsiniz. Bu, bu yamaları kaldırarak envs/eks/veya yamaların kendilerini farklı değerlerle değiştirerek geri alınabilir.envs/local-env/kustomization.yaml

Özelleştirme dosyasını kullanarak kümeyi tek bir komutla dağıtabiliriz:

• EKS kümesi

  kubectl apply -k envs/eks/

• Diğer küme türleri

  kubectl apply -k envs/local-env/

Dağıtımın Doğrulanması

Ad alanı

kubectl get namespaces | grep wazuh

wazuh         Active    12m

Hizmetler

kubectl get services -n wazuh

NAME                  TYPE           CLUSTER-IP       EXTERNAL-IP        PORT(S)                          AGE
indexer               ClusterIP      xxx.yy.zzz.24    <none>             9200/TCP                         12m
dashboard             ClusterIP      xxx.yy.zzz.76    <none>             5601/TCP                         11m
wazuh                 LoadBalancer   xxx.yy.zzz.209   internal-a7a8...   1515:32623/TCP,55000:30283/TCP   9m
wazuh-cluster         ClusterIP      None             <none>             1516/TCP                         9m
Wazuh-indexer         ClusterIP      None             <none>             9300/TCP                         12m
wazuh-workers         LoadBalancer   xxx.yy.zzz.26    internal-a7f9...   1514:31593/TCP                   9m

Dağıtımlar

kubectl get deployments -n wazuh

NAME             DESIRED   CURRENT   UP-TO-DATE   AVAILABLE   AGE
wazuh-dashboard  1         1         1            1           11m

Durum Kümesi

kubectl get statefulsets -n wazuh

NAME                   READY   AGE
wazuh-indexer          3/3     15m
wazuh-manager-master   1/1     15m
wazuh-manager-worker   2/2     15m

Baklalar

kubectl get pods -n wazuh

NAME                              READY     STATUS    RESTARTS   AGE
wazuh-indexer-0                   1/1       Running   0          15m
wazuh-dashboard-f4d9c7944-httsd   1/1       Running   0          14m
wazuh-manager-master-0            1/1       Running   0          12m
wazuh-manager-worker-0-0          1/1       Running   0          11m
wazuh-manager-worker-1-0          1/1       Running   0          11m

Wazuh panosuna erişim

Hizmetler için alan adları oluşturduysanız, önerilen alan adını kullanarak panoya erişebilmelisiniz: https://wazuh.your-domain.com. Bulut sağlayıcıları genellikle panoya doğrudan erişim için harici bir IP adresi veya ana bilgisayar adı sağlar. Bu, hizmetleri kontrol ederek görüntülenebilir:

kubectl get services -o wide -n wazuh

 NAME                  TYPE           CLUSTER-IP       EXTERNAL-IP                      PORT(S)                          AGE       SELECTOR
 dashboard             LoadBalancer   xxx.xx.xxx.xxx   xxx.xx.xxx.xxx                   80:31831/TCP,443:30974/TCP       15m       app=wazuh-dashboard

İsteğe bağlı : Harici IP adresine erişilemeyen yerel bir küme dağıtımında şunları kullanabilirsiniz port-forward:

kubectl -n wazuh port-forward --address <INTERFACE_IP_ADDRESS> service/dashboard 8443:443

<INTERFACE_IP_ADDRESS>Kubernetes ana bilgisayarının IP adresi nerede ?

Wazuh kontrol paneline şu adresten ulaşabilirsiniz https://<INTERFACE_IP_ADDRESS>:8443: .

Varsayılan kimlik bilgileri şunlardır admin:SecretPassword: .

Wazuh Kullanıcılarının Şifresini Değiştirin

Güvenliği artırmak için Wazuh kullanıcılarının varsayılan şifresini değiştirebilirsiniz. İki tür Wazuh kullanıcısı vardır:

• Wazuh dizinleyici kullanıcıları

• Wazuh API kullanıcıları

Agentlar

Wazuh ajanları ana bilgisayarları izlemek için tasarlanmıştır. Bunları kullanmaya başlamak için:

1. Ajanı yükleyin .

2. Dosyayı değiştirerek aracı kaydedin /var/ossec/etc/ossec.conf. "Taşıma protokolünü" TCP olarak değiştirin ve 'yi MANAGER_IP1514 numaralı bağlantı noktasına işaret eden hizmetin harici IP adresiyle veya bulut sağlayıcısı tarafından sağlanan ana bilgisayar adıyla değiştirin

Acentelerin kaydedilmesi hakkında daha fazla bilgi edinmek için dokümantasyonun Wazuh acente kaydı bölümüne bakın.

Wazuh Indexer Yükleme

Wazuh dizinleyici düğümlerini kurun ve yapılandırın.

RPM

Wazuh indeksleyici düğümlerine aşağıdaki bağımlılıkların yüklenmesi gerekir.

DEB

Wazuh indeksleyici düğümlerine aşağıdaki bağımlılıkların yüklenmesi gerekir.

1. Çevrimdışı bir kurulum gerçekleştirmek için asistanı ile çalıştırın --offline-installation. Wazuh dizinleyicisini kurmak ve yapılandırmak için seçeneği --wazuh-indexerve düğüm adını kullanın. Düğüm adı, ilk yapılandırma için kullanılanla aynı olmalıdır config.yml, örneğin, node-1.
   
   

   bash wazuh-install.sh --offline-installation --wazuh-indexer node-1

   Bu adımı kümenizdeki her Wazuh dizinleyici düğümü için tekrarlayın. Ardından bir sonraki adımda tek düğümlü veya çok düğümlü kümenizi başlatmaya devam edin.
   
   

2. --start-clusterYeni sertifika bilgilerini yüklemek ve kümeyi başlatmak için herhangi bir Wazuh dizinleyici düğümünde Wazuh kurulum yardımcısını seçeneğiyle çalıştırın.
   
   

   bash wazuh-install.sh --offline-installation --start-cluster

   Not:  Kümeyi yalnızca bir kez başlatmanız yeterlidir , bu komutu her düğümde çalıştırmanıza gerek yoktur.

Küme Kurulumunu Test Etme

1. Yönetici parolasını almak için aşağıdaki komutu çalıştırın :
   
   

   tar -axf wazuh-install-files.tar wazuh-install-files/wazuh-passwords.txt -O | grep -P "\'admin\'" -A 1

2. Kurulumun başarılı olduğunu doğrulamak için aşağıdaki komutu çalıştırın. <ADMIN_PASSWORD>Önceki komutun çıktısından alınan parola ile değiştirin. <WAZUH_INDEXER_IP>Yapılandırılmış Wazuh dizinleyici IP adresi ile değiştirin:
   
   

   curl -k -u admin:<ADMIN_PASSWORD> https://<WAZUH_INDEXER_IP>:9200

   Output

   {
     "name" : "node-1",
     "cluster_name" : "wazuh-cluster",
     "cluster_uuid" : "095jEW-oRJSFKLz5wmo5PA",
     "version" : {
       "number" : "7.10.2",
       "build_type" : "rpm",
       "build_hash" : "db90a415ff2fd428b4f7b3f800a51dc229287cb4",
       "build_date" : "2023-06-03T06:24:25.112415503Z",
       "build_snapshot" : false,
       "lucene_version" : "9.6.0",
       "minimum_wire_compatibility_version" : "7.10.0",
       "minimum_index_compatibility_version" : "7.0.0"
     },
     "tagline" : "The OpenSearch Project: https://opensearch.org/"
   }
   

3. <WAZUH_INDEXER_IP>ve ile değiştirin <ADMIN_PASSWORD>ve kümenin düzgün çalışıp çalışmadığını kontrol etmek için aşağıdaki komutu çalıştırın:

   
   

   curl -k -u admin:<ADMIN_PASSWORD> https://<WAZUH_INDEXER_IP>:9200/_cat/nodes?v

Wazuh Sunucusunun Kurulumu

DEB

Paket yöneticisi olarak apt kullanılan sistemlerde Wazuh sunucu düğümlerine aşağıdaki bağımlılıkların yüklenmesi gerekmektedir.

1. Çevrimdışı bir kurulum gerçekleştirmek için asistanı ile çalıştırın --offline-installation. Wazuh sunucusunu kurmak için düğüm adının ardından gelen seçeneği kullanın --wazuh-server. Düğüm adı, ilk yapılandırma için kullanılanla aynı olmalıdır config.yml, örneğin, wazuh-1.
   
   

   bash wazuh-install.sh --offline-installation --wazuh-server wazuh-1

Wazuh sunucunuz artık başarıyla kuruldu.

• Eğer bir Wazuh sunucusu çok düğümlü kümesi istiyorsanız, bu adımı her Wazuh sunucusu düğümünde tekrarlayın.

• Eğer Wazuh sunucusunda tek node kümesi istiyorsanız her şey hazır ve doğrudan bir sonraki aşamaya geçebilirsiniz.

Wazuh Dashboard Kurulumu

RPM
Wazuh panosu düğümüne aşağıdaki bağımlılıkların yüklenmesi gerekir.

• • libcap

DEB
Wazuh panosu düğümüne aşağıdaki bağımlılıkların yüklenmesi gerekir.

• • debhelper sürüm 9 veya üzeri

  • tar

  • curl

  • libcap2-bin

1. Çevrimdışı bir kurulum gerçekleştirmek için asistanı ile çalıştırın --offline-installation. Wazuh panosunu kurmak ve yapılandırmak için seçeneği --wazuh-dashboardve düğüm adını kullanın. Düğüm adı, ilk yapılandırma için kullanılanla aynı olmalıdır config.yml, örneğin, dashboard.
   
   

   bash wazuh-install.sh --offline-installation --wazuh-dashboard dashboard

   Varsayılan Wazuh web kullanıcı arayüzü portu, Wazuh panosu tarafından kullanılan 443'tür. Bu portu isteğe bağlı parametreyi kullanarak değiştirebilirsiniz . Önerilen bazı portlar 8443, 8444, 8080, 8888 ve 9000'dir.-p|--port <port_number>

   Yardımcı kurulumu tamamladığında, çıktı erişim kimlik bilgilerini ve kurulumun başarılı olduğunu doğrulayan bir mesajı gösterir.
   
   

   INFO: --- Summary ---
   INFO: You can access the web interface https://<wazuh-dashboard-ip>
      User: admin
      Password: <ADMIN_PASSWORD>
   
   INFO: Installation finished.

   wazuh-passwords.txtArtık Wazuh'u kurdunuz ve yapılandırdınız. Wazuh kurulum asistanı tarafından oluşturulan tüm parolalar arşivin içindeki dosyada bulunabilir wazuh-install-files.tar. Bunları yazdırmak için aşağıdaki komutu çalıştırın:
   
   

   tar -O -xvf wazuh-install-files.tar wazuh-install-files/wazuh-passwords.txt

2. Kimlik bilgilerinizle Wazuh web arayüzüne erişin.

   • URL: https://<wazuh-dashboard-ip>

   • Kullanıcı adı : admin

   • Şifre : <ADMIN_PASSWORD>
     
     

   Wazuh panosuna ilk kez eriştiğinizde, tarayıcı sertifikanın güvenilir bir otorite tarafından verilmediğini belirten bir uyarı mesajı gösterir. Web tarayıcısının gelişmiş seçeneklerine bir istisna eklenebilir. Daha fazla güvenlik için, root-ca.pemdaha önce oluşturulan dosya bunun yerine tarayıcının sertifika yöneticisine aktarılabilir. Alternatif olarak, güvenilir bir otoritenin sertifikası yapılandırılabilir.

Wazuh Indexer Yükleme

RPM
Wazuh indeksleyici düğümlerine aşağıdaki bağımlılıkların yüklenmesi gerekir.

• • coreutils

DEB
Wazuh indeksleyici düğümlerine aşağıdaki bağımlılıkların yüklenmesi gerekir.

• • debconf

  • adduser

  • procps
    
    

1. Wazuh indeksleyicisini yüklemek için aşağıdaki komutları çalıştırın.
   
   RPM
   

   rpm --import ./wazuh-offline/wazuh-files/GPG-KEY-WAZUH
   rpm -ivh ./wazuh-offline/wazuh-packages/wazuh-indexer*.rpm

   
   DEB

   dpkg -i ./wazuh-offline/wazuh-packages/wazuh-indexer*.deb

   
   

2. Aşağıdaki komutları, <indexer-node-name>yapılandırdığınız Wazuh dizinleyici düğümünün adını 'de tanımlandığı gibi değiştirerek çalıştırın config.yml. Örneğin, node-1. Bu, Wazuh merkezi bileşenleri arasındaki iletişimleri şifrelemek için SSL sertifikalarını dağıtır.
   
   

   NODE_NAME=<indexer-node-name>

   mkdir /etc/wazuh-indexer/certs
   mv -n wazuh-install-files/$NODE_NAME.pem /etc/wazuh-indexer/certs/indexer.pem
   mv -n wazuh-install-files/$NODE_NAME-key.pem /etc/wazuh-indexer/certs/indexer-key.pem
   mv wazuh-install-files/admin-key.pem /etc/wazuh-indexer/certs/
   mv wazuh-install-files/admin.pem /etc/wazuh-indexer/certs/
   cp wazuh-install-files/root-ca.pem /etc/wazuh-indexer/certs/
   chmod 500 /etc/wazuh-indexer/certs
   chmod 400 /etc/wazuh-indexer/certs/*
   chown -R wazuh-indexer:wazuh-indexer /etc/wazuh-indexer/certs

   Burada node-1.pem ve node-1-key.pem gibi düğüm sertifikasını ve anahtar dosyalarını ilgili certs klasörüne taşırsınız. Bunlar düğüme özgüdür ve diğer düğümlerde gerekli değildir. Ancak, root-ca.pem sertifikasının taşınmadığını, certs klasörüne kopyalandığını unutmayın. Bu şekilde, sonraki adımlarda diğer bileşen klasörlerine dağıtmaya devam edebilirsiniz.
   
   

3. /etc/wazuh-indexer/opensearch.ymlAşağıdaki değerleri düzenleyin ve değiştirin:
   
   

   1. network.host: Bu düğümün adresini hem HTTP hem de taşıma trafiği için ayarlar. Düğüm bu adrese bağlanacak ve ayrıca bunu yayın adresi olarak kullanacaktır. Bir IP adresi veya ana bilgisayar adını kabul eder.

      config.ymlSSL sertifikalarını oluşturmak için ayarlanan aynı düğüm adresini kullanın .

   2. node.name: Dosyada tanımlandığı gibi Wazuh dizinleyici düğümünün adı config.yml. Örneğin, node-1.

   3. cluster.initial_master_nodes: Ana-uygun düğümlerin adlarının listesi. Bu adlar dosyada tanımlanmıştır config.yml. node-2ve node-3satırlarının yorumunu kaldırın, adları değiştirin veya tanımlarınıza göre daha fazla satır ekleyin config.yml.
      
      

      cluster.initial_master_nodes:
      - "node-1"
      - "node-2"
      - "node-3"
      

   4. discovery.seed_hosts:Ana uygun düğümlerin adreslerinin listesi. Her bir öğe bir IP adresi veya bir ana bilgisayar adı olabilir. Wazuh dizinleyicisini tek düğüm olarak yapılandırıyorsanız bu ayarı yorumlanmış olarak bırakabilirsiniz. Çok düğümlü yapılandırmalar için bu ayarın yorumunu kaldırın ve ana uygun düğümlerinizin adreslerini ayarlayın.
      
      

      discovery.seed_hosts:
        - "10.0.0.1"
        - "10.0.0.2"
        - "10.0.0.3"
      

   5. plugins.security.nodes_dn: Tüm Wazuh dizinleyici küme düğümlerinin sertifikalarının Ayrıcalıklı Adlarının listesi. ve satırlarının yorumunu kaldırın node-2ve node-3ortak adları (CN) ve değerleri ayarlarınıza ve config.ymltanımlarınıza göre değiştirin.
      
      

      plugins.security.nodes_dn:
      - "CN=node-1,OU=Wazuh,O=Wazuh,L=California,C=US"
      - "CN=node-2,OU=Wazuh,O=Wazuh,L=California,C=US"
      - "CN=node-3,OU=Wazuh,O=Wazuh,L=California,C=US"
      

4. Wazuh dizinleyici hizmetini etkinleştirin ve başlatın.

• Systemd
  

  systemctl daemon-reload
  systemctl enable wazuh-manager
  systemctl start wazuh-manager

  
  SysV Başlatma
  

  Kullanılan işletim sistemine göre bir seçenek seçin.

  •  RPM tabanlı işletim sistemi:

  chkconfig --add wazuh-indexer
  service wazuh-indexer start

  • Debian tabanlı işletim sistemi: 

  update-rc.d wazuh-indexer defaults 95 10
  service wazuh-indexer start

5. Çok düğümlü kümeler için, önceki adımları her Wazuh dizinleyici düğümünde tekrarlayın.

6. Tüm Wazuh dizinleyici düğümleri çalıştığında, yeni sertifika bilgilerini yüklemek ve kümeyi başlatmak için herhangi bir Wazuh dizinleyiciindexer-security-init.sh düğümünde Wazuh dizinleyici betiğini çalıştırın.

/usr/share/wazuh-indexer/bin/indexer-security-init.sh

7. Kurulumun başarılı olup olmadığını kontrol etmek için aşağıdaki komutu çalıştırın. Bu komutun kullandığını unutmayın 127.0.0.1, gerekirse Wazuh dizinleyici adresinizi ayarlayın.

curl -XGET https://127.0.0.1:9200 -u admin:admin -k

Örnek yanıtı görmek için çıktıya göz atın.

{
  "name" : "node-1",
  "cluster_name" : "wazuh-cluster",
  "cluster_uuid" : "095jEW-oRJSFKLz5wmo5PA",
  "version" : {
    "number" : "7.10.2",
    "build_type" : "rpm",
    "build_hash" : "db90a415ff2fd428b4f7b3f800a51dc229287cb4",
    "build_date" : "2023-06-03T06:24:25.112415503Z",
    "build_snapshot" : false,
    "lucene_version" : "9.6.0",
    "minimum_wire_compatibility_version" : "7.10.0",
    "minimum_index_compatibility_version" : "7.0.0"
  },
  "tagline" : "The OpenSearch Project: https://opensearch.org/"
}

Wazuh Sunucusunun Kurulumu

DEB
Paket yöneticisi olarak apt kullanılan sistemlerde Wazuh sunucu düğümlerine aşağıdaki bağımlılıkların yüklenmesi gerekmektedir.

1. Wazuh anahtarını içe aktarmak ve Wazuh yöneticisini yüklemek için aşağıdaki komutları çalıştırın.
   
   RPM
   

   rpm --import ./wazuh-offline/wazuh-files/GPG-KEY-WAZUH
   rpm -ivh ./wazuh-offline/wazuh-packages/wazuh-manager*.rpm

   
   DEB

   dpkg -i ./wazuh-offline/wazuh-packages/wazuh-manager*.deb

2. Wazuh dizinleyici kullanıcı adını ve parolasını wazuh-keystore aracını kullanarak Wazuh yöneticisi anahtar deposuna kaydedin:
   
   

   echo '<INDEXER_USERNAME>' | /var/ossec/bin/wazuh-keystore -f indexer -k username
   echo '<INDEXER_PASSWORD>' | /var/ossec/bin/wazuh-keystore -f indexer -k password

   Not:  Varsayılan çevrimdışı kurulum kimlik bilgileri şunlardır admin:admin

    

   
   

3. Wazuh yönetici servisini etkinleştirin ve başlatın.
   
   

   Systemd
   

   systemctl daemon-reload
   systemctl enable wazuh-manager
   systemctl start wazuh-manager

   
   SysV Başlatma
   

   Kullanılan işletim sistemine göre bir seçenek seçin.

   •  RPM tabanlı işletim sistemi:

   chkconfig --add wazuh-indexer
   service wazuh-indexer start

   • Debian tabanlı işletim sistemi: 

   update-rc.d wazuh-indexer defaults 95 10
   service wazuh-indexer start

   
   

4. Wazuh yöneticisi durumunun etkin olduğunu doğrulamak için aşağıdaki komutu çalıştırın.
   
   Systemd

   # systemctl status wazuh-manager

   SysV Başlatma
   

   service wazuh-manager status

   
   

Wazuh sunucusunun her node'a kurulumunu tamamladıktan sonra, yalnızca bir sunucu node'unu master olarak, geri kalanını ise workers olarak yapılandırmanız gerekiyor.

/var/ossec/bin/cluster_control -l

Wazuh Kurulumunuzun Güvenliğini Sağlama

Artık tüm Wazuh merkezi bileşenlerini yüklediniz ve yapılandırdınız. Altyapınızı olası saldırılardan korumak için varsayılan kimlik bilgilerini değiştirmenizi öneririz.

Dağıtım türünüzü seçin ve hem Wazuh API'si hem de Wazuh dizinleyici kullanıcıları için varsayılan parolaları değiştirmek üzere talimatları izleyin.
 

Hepsi Bir Arada Dağıtım

Dağıtılmış Dağıtım

Sonraki Adımlar

Wazuh ortamı hazır olduğunda, izlenecek her uç noktaya Wazuh aracıları yüklenebilir. Wazuh aracılarını yüklemek ve uç noktaları izlemeye başlamak için Wazuh aracı yükleme bölümüne bakın. Bunları çevrimdışı yüklemeniz gerekiyorsa, izlenen sisteminiz için indirilecek uygun aracı paketini Wazuh aracı paketleri listesi bölümünden kontrol edebilirsiniz.

Tüm Wazuh Central bileşenlerini kaldırmak için Wazuh Central bileşenlerini kaldırma bölümüne bakın.

Bağımlılıkları Yükleme

YUM

apt-get update
apt-get install python gcc g++ make libc6-dev curl policycoreutils automake autoconf libtool libssl-dev procps

CMake 3.18 kurulumu.

curl -OL https://packages.wazuh.com/utils/cmake/cmake-3.18.3.tar.gz && tar -zxf cmake-3.18.3.tar.gz && cd cmake-3.18.3 && ./bootstrap --no-system-curl && make -j$(nproc) && make install
cd .. && rm -rf cmake-*

İsteğe bağlı: Aşağıdaki bağımlılıkları yalnızca CPython'u kaynaklardan derlerken yükleyin. v4.2.0'dan beri, yüklenmeye hazır taşınabilir bir CPython sürümü indirecektir. Yine de, 'yi çalıştırırken bayrağı ekleyerek CPython kaynaklarını indirebilirsiniz .make deps TARGET=serverPYTHON_SOURCEmake deps

Python yorumlayıcısını derlemek için gereken bağımlılıkları yüklemek için şu adımları izleyin:

Yum

yum install epel-release yum-utils -y
yum-builddep python34 -y

echo "deb-src http://archive.ubuntu.com/ubuntu $(lsb_release -cs) main" >> /etc/apt/sources.list
apt-get update
apt-get build-dep python3 -y

Not:  Önceki komuttan alınan Python sürümü, ikili dosyaları derlemek için kullanılan işletim sistemine bağlı olarak değişebilir. Daha fazla bilgi için Bağımlılıkları yükleyin .

Wazuh yYöneticisinin Kurulumu

1. En son sürümü indirin ve çıkarın:
   
   

   curl -Ls https://github.com/wazuh/wazuh/archive/v4.9.2.tar.gz | tar zx
   cd wazuh-4.9.2

2. Daha önce başka bir platform için derleme yaptıysanız, Makefile'ı kullanarak derlemeyi temizleyin src/:
   
   

   make -C src clean
   make -C src clean-deps

3. Betiği çalıştırın install.sh. Bu, Wazuh kaynaklarını kullanarak kurulum sürecinde size rehberlik edecek bir sihirbaz görüntüler:

   
   

   Uyarı:  Veritabanı çıktısını etkinleştirmek istiyorsanız, kurulum betiğini çalıştırmadan önce bu bölümü inceleyin.

   
   
   

   ./install.sh

   İlk çalıştırma, güvenlik açığı algılama içeriğini indirip işlediği için biraz zaman alabilir . Bu süreci hızlandırmak için DOWNLOAD_CONTENTortam değişkenini önceden olarak ayarlayabilirsiniz y. Ayarlanan komut, kurulum sırasında önceden hazırlanmış bir veritabanını indirir.
   
   

   DOWNLOAD_CONTENT=y ./install.sh

4. Script size ne tür bir kurulum istediğinizi sorduğunda managerWazuh yöneticisini kurmak için şunu yazın:
   
   

   1- What kind of installation do you want (manager, agent, local, hybrid, or help)? manager

    

   Not:  Kurulum sırasında kullanıcılar kurulum yolunu belirleyebilir. Çalıştırın ./install.shve dili seçin, kurulum modunu olarak ayarlayın manager, ardından kurulum yolunu ( ) ayarlayın. Varsayılan kurulum yolu 'dir . Yaygın olarak kullanılan özel bir yol . olabilir .Choose where to install Wazuh [/var/ossec]/var/ossec/opt

    

    

   Uyarı:  Varsayılandan farklı bir yol seçerseniz kritik bir kurulum dizini seçmemeye son derece dikkat edin. Dizin zaten mevcutsa, yükleyici dizini silmenizi veya Wazuh'u içine kurarak devam etmenizi isteyecektir.
   

5. Kurulum programı kurulumun sonunda Wazuh'u başlatmak isteyip istemediğinizi sorar. Eğer istemezseniz, daha sonra şu şekilde başlatabilirsiniz:
   
   Systemd
   

   systemctl start wazuh-manager

   
   SysV Başlatma
   
   

   service wazuh-manager start

   
   

Diğer Wazuh Bileşenlerinin Kurulumu

Wazuh yöneticisi kaynaklardan yüklendikten sonra Kurulum kılavuzunu izleyerek Wazuh indeksleyicisini, Filebeat'i ve Wazuh panosunu yükleyebilirsiniz .

Kaldır

1. Wazuh yöneticisini kaldırmak için WAZUH_HOMEgeçerli kurulum yolunu ayarlayın:

   WAZUH_HOME="/WAZUH/INSTALLATION/PATH"

2. Hizmeti durdurun:

   service wazuh-manager stop 2> /dev/null

3. Daemon'u durdurun:

   $WAZUH_HOME/bin/wazuh-control stop 2> /dev/null

4. Kurulum klasörünü ve tüm içeriğini kaldırın:

   rm -rf $WAZUH_HOME

5. Hizmeti silin:
   
   Systemd
   

   find /etc/systemd/system -name "wazuh*" | xargs rm -f
   systemctl daemon-reload

   
   SysV Başlatma
   

   [ -f /etc/rc.local ] && sed -i'' '/wazuh-control start/d' /etc/rc.local
   find /etc/{init.d,rc*.d} -name "*wazuh*" | xargs rm -f

   
   

6. Wazuh kullanıcı ve grubunu kaldır:

   userdel wazuh 2> /dev/null
   groupdel wazuh 2> /dev/null

CentOS/RHEL/Fedora'ya Kurulum

Puppet yum deposunu ve ardından “puppetserver” paketini yükleyin. Linux dağıtımınız için puppet deposunu yüklemek için gereken doğru rpm dosyasını bulmak için bu dizine bakın. Örneğin, CentOS 8 veya RHEL 8 için Puppet 7'yi yüklemek için aşağıdakileri yapın:

sudo rpm -Uvh https://yum.puppet.com/puppet7-release-el-8.noarch.rpm
yum -y install puppetserver

Yüklü ikili dosya ile varsayılan ikili dosyanız arasında sembolik bir bağlantı oluşturun:

ln -s /opt/puppetlabs/bin/puppet /bin
ln -s /opt/puppetlabs/server/bin/puppetserver /bin

Debian/Ubuntu'ya Kurulum

Manifest, wazuh'u kurmak için aşağıdaki sürümleri destekler.

• Debian : 7 (hırıltılı), 8 (jessie), 9 (stretch), 10 (buster), 11 (boğa gözü), 12 (kitap kurdu)

• Ubuntu : 12.04 (Hassas Pangolin), 14.04 (Güvenilir Tahr), 15.04 (Canlı Vervet), 15.10 (Kurnaz Kurtadam), 16.04 (Xenial Xerus), 16.10 (Yakkety Yak), 18.04 (Biyonik Kunduz), 20.04 (Focal Fossa), 22.04 (Reçel Denizanası)

Kurun curlve :apt-transport-https​lsb-release

apt-get update
apt-get install curl apt-transport-https lsb-release wget

Uygun Puppet apt deposunu ve ardından “puppetserver” paketini yükleyin. Linux dağıtımınız için Puppet 7 deposunu yüklemek üzere doğru deb dosyasını bulmak için https://apt.puppetlabs.com adresine bakın.

wget https://apt.puppet.com/puppet7-release-focal.deb
dpkg -i puppet7-release-focal.deb
apt-get update
apt-get install -y puppetserver

Yüklü ikili dosya ile varsayılan ikili dosyanız arasında sembolik bir bağlantı oluşturun:

ln -s /opt/puppetlabs/bin/puppet /bin
ln -s /opt/puppetlabs/server/bin/puppetserver /bin

Bellek Tahsisi

Varsayılan olarak, Puppet Server 2 GB RAM kullanacak şekilde yapılandırılacaktır. Ancak, bir VM'de Puppet Server ile denemeler yapmak istiyorsanız, güvenli bir şekilde 512 MB kadar az bellek tahsis edebilirsiniz. Puppet Server bellek tahsisini değiştirmek için, aşağıdaki init yapılandırma dosyasını düzenleyebilirsiniz.

Değişkendeki 2g'yi JAVA_ARGSPuppet Server'a tahsis etmek istediğiniz bellek miktarıyla değiştirin. Örneğin, 1 GB bellek tahsis etmek için ; kullanın . 512 MB için .JAVA_ARGS="-Xms1g -Xmx1g"JAVA_ARGS="-Xms512m -Xmx512m"

Yapılandırma

/etc/puppetlabs/puppet/puppet.confPuppet sunucusunu yapılandırmak için dosyayı düzenleyin . [main]Bölüme aşağıdaki ayarları ekleyin. Bölüm yoksa, bölümü oluşturmanız gerekir. Kendi DNS'inizi kurduysanız puppetve yerine puppet-masterTam Nitelikli Alan Adlarınızı (FQDN'ler) koyun.

[main]
server = puppet-master
dns_alt_names = puppet, puppet-master

Not:  Yapılandırma dosyasında bulursanız templatedir=$confdir/templates, o satırı silin. Kullanım dışı bırakıldı.

Ubuntu/Debian makineleri için, puppetserver başlamazsa. puppetserver dosyasını düzenleyin, /etc/default/puppetserver. Bellek boyutunu 1G veya 512MB olarak değiştirmek için aşağıdaki satırı değiştirin:

JAVA_ARGS="-Xms512m -Xmx512m -Djruby.logger.class=com.puppetlabs.jruby_utils.jruby.Slf4jLogger"

Daha sonra Puppet Server'ınızı başlatın:

Systemd

systemctl start puppetserver
systemctl enable puppetserver
systemctl status puppetserver

SysV Başlatma 

service puppetserver start
update-rc.d puppetserver

CentOS/RHEL/Fedora'ya Kurulum

Puppet yum deposunu ve ardından "puppet-agent" paketini yükleyin. Linux dağıtımınız için puppet deposunu yüklemek için gereken doğru rpm dosyasını bulmak için bu dizine bakın. Örneğin, CentOS 7 veya RHEL 7 için Puppet 7'yi yüklemek için aşağıdakileri yapın:

sudo rpm -Uvh https://yum.puppet.com/puppet7-release-el-8.noarch.rpm
yum -y install puppet-agent

Yüklü ikili dosya ile varsayılan ikili dosyanız arasında sembolik bir bağlantı oluşturun:

ln -s /opt/puppetlabs/bin/puppet /bin

Debian/Ubuntu'ya Kurulum

Manifest, wazuh'u kurmak için aşağıdaki sürümleri destekler.

• Debian : 7 (hırıltılı), 8 (jessie), 9 (stretch), 10 (buster), 11 (boğa gözü), 12 (kitap kurdu)

• Ubuntu : 12.04 (Hassas Pangolin), 14.04 (Güvenilir Tahr), 15.04 (Canlı Vervet), 15.10 (Kurnaz Kurtadam), 16.04 (Xenial Xerus), 16.10 (Yakkety Yak), 18.04 (Biyonik Kunduz), 20.04 (Focal Fossa), 22.04 (Reçel Denizanası)

Kurun curlve :apt-transport-https​lsb-release

apt-get update
apt-get install curl apt-transport-https lsb-release wget

Uygun Puppet apt deposunu ve ardından “puppet-agent” paketini yükleyin. Linux dağıtımınız için puppet deposunu yüklemek üzere doğru deb dosyasını bulmak için https://apt.puppetlabs.com adresine bakın.

wget https://apt.puppet.com/puppet7-release-focal.deb
dpkg -i puppet7-release-focal.deb
apt-get update
apt-get install -y puppet-agent

Yüklü ikili dosya ile varsayılan ikili dosyanız arasında sembolik bir bağlantı oluşturun:

ln -s /opt/puppetlabs/bin/puppet /bin

Windows'a Kurulum

1. Windows puppet-agent paketini indirin.

   Bu paket Puppet'ın tüm ön koşullarını bir araya getiriyor.
   
   

   Not:  Bu, Puppet 7.16 sürüm aracısı için pakettir. Başka bir pakete ihtiyaç duyulursa, tüm paketlerin indirilebildiği resmi dizine gidin.

    

2. Puppet'ı kurun.

   1. Windows GUI'yi kullanma:

   • GUI'yi yükseltilmiş ayrıcalıklarla çalıştırın.

   • Kurulum sırasında Puppet sizden Puppet ana sunucunuzun ana bilgisayar adını ister.

   • Ana bilgisayara bağlanmayacak bağımsız Puppet düğümleri için varsayılan ana bilgisayar adını ( puppet ) kullanın. Ayrıca komut satırına yüklemek ve aracı başlatma modunu Devre Dışı olarak ayarlamak isteyebilirsiniz .

   • Kurulum tamamlandıktan sonra Puppet kurulmuş ve çalışır hale gelecektir.

   2. Komut satırını kullanarak:
      
      

      msiexec /qn /norestart /i puppet-agent-<VERSION>-x64.msi

   İsteğe bağlı olarak, kurulumun ilerlemesini bir dosyaya kaydetmeyi belirtebilirsiniz . Ayrıca, Puppet'ı kurarken önceden yapılandırmak için çeşitli MSI özelliklerini ayarlayabilirsiniz./l*v install.txt

[main]
server = puppet-master

puppet resource service puppet ensure=running enable=true
sudo systemctl status puppet

Wazuh Modülünü Kurun

Puppet Forge'dan Wazuh modülünü indirin ve kurun:

puppet module install wazuh-wazuh --version 4.9.2

Notice: Preparing to install into /etc/puppetlabs/code/environments/production/modules ...
Notice: Downloading from https://forgeapi.puppet.com ...
Notice: Installing -- do not interrupt ...
/etc/puppetlabs/code/environments/production/modules
└─┬ wazuh-wazuh (v4.9.2)
  ├── puppet-nodejs (v7.0.1)
  ├── puppet-selinux (v3.4.1)
  ├── puppetlabs-apt (v7.7.1)
  ├─┬ puppetlabs-concat (v6.4.0)
  │ └── puppetlabs-translate (v2.2.0)
  ├── puppetlabs-firewall (v2.8.1)
  ├─┬ puppetlabs-powershell (v4.1.0)
  │ └── puppetlabs-pwshlib (v0.10.1)
  └── puppetlabs-stdlib (v6.6.0)

Bu modül Wazuh aracısını ve yöneticisini kurar ve yapılandırır.

Puppet Aracılığıyla Bir Yığın Kurun

$discovery_type = 'single-node'
stage { 'certificates': }
stage { 'repo': }
stage { 'indexerdeploy': }
stage { 'securityadmin': }
stage { 'dashboard': }
stage { 'manager': }
Stage[certificates] -> Stage[repo] -> Stage[indexerdeploy] -> Stage[securityadmin] -> Stage[manager] -> Stage[dashboard]
Exec {
timeout => 0,
}
node "puppet-server" {
class { 'wazuh::certificates':
  indexer_certs => [['node-1','127.0.0.1']],
  manager_certs => [['master','127.0.0.1']],
  dashboard_certs => ['127.0.0.1'],
  stage => certificates,
}
}
node "puppet-aio-node" {
class { 'wazuh::repo':
stage => repo,
}
class { 'wazuh::indexer':
  stage => indexerdeploy,
}
class { 'wazuh::securityadmin':
stage => securityadmin
}
class { 'wazuh::manager':
  stage => manager,
}
class { 'wazuh::filebeat_oss':
  stage => manager,
}
class { 'wazuh::dashboard':
  stage => dashboard,
}
}

$node1host   = '<WAZUH_INDEXER_NODE1_IP_ADDRESS>'
$node2host   = '<WAZUH_INDEXER_NODE2_IP_ADDRESS>'
$node3host   = '<WAZUH_INDEXER_NODE3_IP_ADDRESS>'
$masterhost    = '<WAZUH_MANAGER_MASTER_IP_ADDRESS>'
$workerhost    = '<WAZUH_MANAGER_WORKER_IP_ADDRESS>'
$dashboardhost = '<WAZUH_DASHBOARD_IP_ADDRESS>'
$indexer_node1_name = 'node1'
$indexer_node2_name = 'node2'
$indexer_node3_name = 'node3'
$master_name = 'master'
$worker_name = 'worker'
$cluster_size = '3'
$indexer_discovery_hosts = [$node1host, $node2host, $node3host]
$indexer_cluster_initial_master_nodes = [$node1host, $node2host, $node3host]
$indexer_cluster_CN = [$indexer_node1_name, $indexer_node2_name, $indexer_node3_name]
# Define stage for order execution
stage { 'certificates': }
stage { 'repo': }
stage { 'indexerdeploy': }
stage { 'securityadmin': }
stage { 'dashboard': }
stage { 'manager': }
Stage[certificates] -> Stage[repo] -> Stage[indexerdeploy] -> Stage[securityadmin] -> Stage[manager] -> Stage[dashboard]
Exec {
timeout => 0,
}
node "puppet-server" {
class { 'wazuh::certificates':
  indexer_certs => [["$indexer_node1_name","$node1host" ],["$indexer_node2_name","$node2host" ],["$indexer_node3_name","$node3host" ]],
  manager_master_certs => [["$master_name","$masterhost"]],
  manager_worker_certs => [["$worker_name","$workerhost"]],
  dashboard_certs => ["$dashboardhost"],
  stage => certificates
}
class { 'wazuh::repo':
stage => repo
}
}
node "puppet-wazuh-indexer-node1" {
class { 'wazuh::repo':
stage => repo
}
class { 'wazuh::indexer':
  indexer_node_name => "$indexer_node1_name",
  indexer_network_host => "$node1host",
  indexer_node_max_local_storage_nodes => "$cluster_size",
  indexer_discovery_hosts => $indexer_discovery_hosts,
  indexer_cluster_initial_master_nodes => $indexer_cluster_initial_master_nodes,
  indexer_cluster_CN => $indexer_cluster_CN,
  stage => indexerdeploy
}
class { 'wazuh::securityadmin':
indexer_network_host => "$node1host",
stage => securityadmin
}
}
node "puppet-wazuh-indexer-node2" {
class { 'wazuh::repo':
stage => repo
}
class { 'wazuh::indexer':
  indexer_node_name => "$indexer_node2_name",
  indexer_network_host => "$node2host",
  indexer_node_max_local_storage_nodes => "$cluster_size",
  indexer_discovery_hosts => $indexer_discovery_hosts,
  indexer_cluster_initial_master_nodes => $indexer_cluster_initial_master_nodes,
  indexer_cluster_CN => $indexer_cluster_CN,
  stage => indexerdeploy
}
}
node "puppet-wazuh-indexer-node3" {
class { 'wazuh::repo':
stage => repo
}
class { 'wazuh::indexer':
  indexer_node_name => "$indexer_node3_name",
  indexer_network_host => "$node3host",
  indexer_node_max_local_storage_nodes => "$cluster_size",
  indexer_discovery_hosts => $indexer_discovery_hosts,
  indexer_cluster_initial_master_nodes => $indexer_cluster_initial_master_nodes,
  indexer_cluster_CN => $indexer_cluster_CN,
  stage => indexerdeploy
}
}
node "puppet-wazuh-manager-master" {
class { 'wazuh::repo':
stage => repo
}
class { 'wazuh::manager':
  ossec_cluster_name => 'wazuh-cluster',
  ossec_cluster_node_name => 'wazuh-master',
  ossec_cluster_node_type => 'master',
  ossec_cluster_key => '01234567890123456789012345678912',
  ossec_cluster_bind_addr => "$masterhost",
  ossec_cluster_nodes => ["$masterhost"],
  ossec_cluster_disabled => 'no',
  stage => manager
}
class { 'wazuh::filebeat_oss':
  filebeat_oss_indexer_ip => "$node1host",
  wazuh_node_name => "$master_name",
  stage => manager
}
}
node "puppet-wazuh-manager-worker" {
class { 'wazuh::repo':
stage => repo
}
class { 'wazuh::manager':
  ossec_cluster_name => 'wazuh-cluster',
  ossec_cluster_node_name => 'wazuh-worker',
  ossec_cluster_node_type => 'worker',
  ossec_cluster_key => '01234567890123456789012345678912',
  ossec_cluster_bind_addr => "$masterhost",
  ossec_cluster_nodes => ["$masterhost"],
  ossec_cluster_disabled => 'no',
  stage => manager
}
class { 'wazuh::filebeat_oss':
  filebeat_oss_indexer_ip => "$node1host",
  wazuh_node_name => "$worker_name",
  stage => manager
}
}
node "puppet-wazuh-dashboard" {
class { 'wazuh::repo':
stage => repo,
}
class { 'wazuh::dashboard':
  indexer_server_ip  => "$node1host",
  manager_api_host   => "$masterhost",
  stage => dashboard
}
}

puppet agent -t

Wazuh Kullanıcıları İçin Şifreyi Değiştir

Wazuh kullanıcı parolalarınızı değiştirmek için Parola Yönetimi bölümündeki talimatları izleyin . Parolaları değiştirdikten sonra, Wazuh Stack'i dağıtmak için kullanılan sınıflar içinde yeni parolaları ayarlayın.

Puppet Aracılığıyla Wazuh Agent Yükleyin

Sınıfın kurulmasıyla ajan yapılandırılır wazuh::agent.

İşte bir manifesto örneği wazuh-agent.pp(lütfen <MANAGER_IP_ADDRESS>yöneticinizin IP adresiyle değiştirin).

node "puppet-agent.com" {
  class { 'wazuh::repo':
  }
  class { "wazuh::agent":
    wazuh_register_endpoint => "<MANAGER_IP_ADDRESS>",
    wazuh_reporting_endpoint => "<MANAGER_IP_ADDRESS>"
  }
}

Dosyayı Puppet ana makinenize yerleştirin ve belirtilen düğümde ayarlanan zamandan /etc/puppetlabs/code/environments/production/manifests/sonra yürütülecektir . Ancak, önce çalıştırmak istiyorsanız, Puppet aracısında aşağıdaki komutu deneyin.runintervalpuppet.conf

puppet agent -t

Referans Wazuh Kuklası

Wazuh Modülünü Kurun

Puppet Forge'dan Wazuh modülünü indirin ve kurun:

puppet module install wazuh-wazuh --version 4.9.2

Notice: Preparing to install into /etc/puppetlabs/code/environments/production/modules ...
Notice: Downloading from https://forgeapi.puppet.com ...
Notice: Installing -- do not interrupt ...
/etc/puppetlabs/code/environments/production/modules
└─┬ wazuh-wazuh (v4.9.2)
  ├── puppet-nodejs (v7.0.1)
  ├── puppet-selinux (v3.4.1)
  ├── puppetlabs-apt (v7.7.1)
  ├─┬ puppetlabs-concat (v6.4.0)
  │ └── puppetlabs-translate (v2.2.0)
  ├── puppetlabs-firewall (v2.8.1)
  ├─┬ puppetlabs-powershell (v4.1.0)
  │ └── puppetlabs-pwshlib (v0.10.1)
  └── puppetlabs-stdlib (v6.6.0)

Bu modül Wazuh aracısını ve yöneticisini kurar ve yapılandırır.

Puppet Aracılığıyla Bir Yığın Kurun

$discovery_type = 'single-node'
stage { 'certificates': }
stage { 'repo': }
stage { 'indexerdeploy': }
stage { 'securityadmin': }
stage { 'dashboard': }
stage { 'manager': }
Stage[certificates] -> Stage[repo] -> Stage[indexerdeploy] -> Stage[securityadmin] -> Stage[manager] -> Stage[dashboard]
Exec {
timeout => 0,
}
node "puppet-server" {
class { 'wazuh::certificates':
  indexer_certs => [['node-1','127.0.0.1']],
  manager_certs => [['master','127.0.0.1']],
  dashboard_certs => ['127.0.0.1'],
  stage => certificates,
}
}
node "puppet-aio-node" {
class { 'wazuh::repo':
stage => repo,
}
class { 'wazuh::indexer':
  stage => indexerdeploy,
}
class { 'wazuh::securityadmin':
stage => securityadmin
}
class { 'wazuh::manager':
  stage => manager,
}
class { 'wazuh::filebeat_oss':
  stage => manager,
}
class { 'wazuh::dashboard':
  stage => dashboard,
}
}

$node1host   = '<WAZUH_INDEXER_NODE1_IP_ADDRESS>'
$node2host   = '<WAZUH_INDEXER_NODE2_IP_ADDRESS>'
$node3host   = '<WAZUH_INDEXER_NODE3_IP_ADDRESS>'
$masterhost    = '<WAZUH_MANAGER_MASTER_IP_ADDRESS>'
$workerhost    = '<WAZUH_MANAGER_WORKER_IP_ADDRESS>'
$dashboardhost = '<WAZUH_DASHBOARD_IP_ADDRESS>'
$indexer_node1_name = 'node1'
$indexer_node2_name = 'node2'
$indexer_node3_name = 'node3'
$master_name = 'master'
$worker_name = 'worker'
$cluster_size = '3'
$indexer_discovery_hosts = [$node1host, $node2host, $node3host]
$indexer_cluster_initial_master_nodes = [$node1host, $node2host, $node3host]
$indexer_cluster_CN = [$indexer_node1_name, $indexer_node2_name, $indexer_node3_name]
Define stage for order execution
stage { 'certificates': }
stage { 'repo': }
stage { 'indexerdeploy': }
stage { 'securityadmin': }
stage { 'dashboard': }
stage { 'manager': }
Stage[certificates] -> Stage[repo] -> Stage[indexerdeploy] -> Stage[securityadmin] -> Stage[manager] -> Stage[dashboard]
Exec {
timeout => 0,
}
node "puppet-server" {
class { 'wazuh::certificates':
  indexer_certs => [["$indexer_node1_name","$node1host" ],["$indexer_node2_name","$node2host" ],["$indexer_node3_name","$node3host" ]],
  manager_master_certs => [["$master_name","$masterhost"]],
  manager_worker_certs => [["$worker_name","$workerhost"]],
  dashboard_certs => ["$dashboardhost"],
  stage => certificates
}
class { 'wazuh::repo':
stage => repo
}
}
node "puppet-wazuh-indexer-node1" {
class { 'wazuh::repo':
stage => repo
}
class { 'wazuh::indexer':
  indexer_node_name => "$indexer_node1_name",
  indexer_network_host => "$node1host",
  indexer_node_max_local_storage_nodes => "$cluster_size",
  indexer_discovery_hosts => $indexer_discovery_hosts,
  indexer_cluster_initial_master_nodes => $indexer_cluster_initial_master_nodes,
  indexer_cluster_CN => $indexer_cluster_CN,
  stage => indexerdeploy
}
class { 'wazuh::securityadmin':
indexer_network_host => "$node1host",
stage => securityadmin
}
}
node "puppet-wazuh-indexer-node2" {
class { 'wazuh::repo':
stage => repo
}
class { 'wazuh::indexer':
  indexer_node_name => "$indexer_node2_name",
  indexer_network_host => "$node2host",
  indexer_node_max_local_storage_nodes => "$cluster_size",
  indexer_discovery_hosts => $indexer_discovery_hosts,
  indexer_cluster_initial_master_nodes => $indexer_cluster_initial_master_nodes,
  indexer_cluster_CN => $indexer_cluster_CN,
  stage => indexerdeploy
}
}
node "puppet-wazuh-indexer-node3" {
class { 'wazuh::repo':
stage => repo
}
class { 'wazuh::indexer':
  indexer_node_name => "$indexer_node3_name",
  indexer_network_host => "$node3host",
  indexer_node_max_local_storage_nodes => "$cluster_size",
  indexer_discovery_hosts => $indexer_discovery_hosts,
  indexer_cluster_initial_master_nodes => $indexer_cluster_initial_master_nodes,
  indexer_cluster_CN => $indexer_cluster_CN,
  stage => indexerdeploy
}
}
node "puppet-wazuh-manager-master" {
class { 'wazuh::repo':
stage => repo
}
class { 'wazuh::manager':
  ossec_cluster_name => 'wazuh-cluster',
  ossec_cluster_node_name => 'wazuh-master',
  ossec_cluster_node_type => 'master',
  ossec_cluster_key => '01234567890123456789012345678912',
  ossec_cluster_bind_addr => "$masterhost",
  ossec_cluster_nodes => ["$masterhost"],
  ossec_cluster_disabled => 'no',
  stage => manager
}
class { 'wazuh::filebeat_oss':
  filebeat_oss_indexer_ip => "$node1host",
  wazuh_node_name => "$master_name",
  stage => manager
}
}
node "puppet-wazuh-manager-worker" {
class { 'wazuh::repo':
stage => repo
}
class { 'wazuh::manager':
  ossec_cluster_name => 'wazuh-cluster',
  ossec_cluster_node_name => 'wazuh-worker',
  ossec_cluster_node_type => 'worker',
  ossec_cluster_key => '01234567890123456789012345678912',
  ossec_cluster_bind_addr => "$masterhost",
  ossec_cluster_nodes => ["$masterhost"],
  ossec_cluster_disabled => 'no',
  stage => manager
}
class { 'wazuh::filebeat_oss':
  filebeat_oss_indexer_ip => "$node1host",
  wazuh_node_name => "$worker_name",
  stage => manager
}
}
node "puppet-wazuh-dashboard" {
class { 'wazuh::repo':
stage => repo,
}
class { 'wazuh::dashboard':
  indexer_server_ip  => "$node1host",
  manager_api_host   => "$masterhost",
  stage => dashboard
}
}

puppet agent -t

Wazuh Kullanıcıları İçin Şifreyi Değiştir

Wazuh kullanıcı parolalarınızı değiştirmek için Parola Yönetimi bölümündeki talimatları izleyin . Parolaları değiştirdikten sonra, Wazuh Stack'i dağıtmak için kullanılan sınıflar içinde yeni parolaları ayarlayın.

Puppet Aracılığıyla Wazuh Agent Yükleyin

Sınıfın kurulmasıyla ajan yapılandırılır wazuh::agent.

İşte bir manifesto örneği wazuh-agent.pp(lütfen <MANAGER_IP_ADDRESS>yöneticinizin IP adresiyle değiştirin).

node "puppet-agent.com" {
  class { 'wazuh::repo':
  }
  class { "wazuh::agent":
    wazuh_register_endpoint => "<MANAGER_IP_ADDRESS>",
    wazuh_reporting_endpoint => "<MANAGER_IP_ADDRESS>"
  }
}

Dosyayı Puppet ana makinenize yerleştirin ve belirtilen düğümde ayarlanan zamandan /etc/puppetlabs/code/environments/production/manifests/sonra yürütülecektir . Ancak, önce çalıştırmak istiyorsanız, Puppet aracısında aşağıdaki komutu deneyin.runintervalpuppet.conf

puppet agent -t

Wazuh kullanıcı parolalarınızı değiştirmek için Parola Yönetimi bölümündeki talimatları izleyin . Parolaları değiştirdikten sonra, Wazuh Stack'i dağıtmak için kullanılan sınıflar içinde yeni parolaları ayarlayın.

Puppet Aracılığıyla Wazuh Agent Yükleyin

Sınıfın kurulmasıyla ajan yapılandırılır wazuh::agent.

İşte bir manifesto örneği wazuh-agent.pp(lütfen <MANAGER_IP_ADDRESS>yöneticinizin IP adresiyle değiştirin).

node "puppet-agent.com" {
  class { 'wazuh::repo':
  }
  class { "wazuh::agent":
    wazuh_register_endpoint => "<MANAGER_IP_ADDRESS>",
    wazuh_reporting_endpoint => "<MANAGER_IP_ADDRESS>"
  }
}

Dosyayı Puppet ana makinenize yerleştirin ve belirtilen düğümde ayarlanan zamandan /etc/puppetlabs/code/environments/production/manifests/sonra yürütülecektir . Ancak, önce çalıştırmak istiyorsanız, Puppet aracısında aşağıdaki komutu deneyin.runintervalpuppet.conf

puppet agent -t