Wazuh Server Kurulumu

Mehmet Sait YILMAZ 06/12/2020

8 2 dakika okuma süresi

Merhaba bu makalede open source dünyadan gelen intrusion detection (HIDS) sistemi olan Wazuhu size tanıtmaya çalışacağım.

Wazuh sahip olduğu yetenekler ile sisteminiz üzerinde oluşacabilecek zayıflıkları, yetkisiz erişimleri, windows kayıt defteri izleme (Windows registry monitoring), rootkit tespiti, log analizi, dosya bütünlüğü denetimi (file integrity checking) gibi daha bir çok denetimi gerçekleştirebilirsiniz.

Genel Özellikleri

Security Analytics
Intrusion Detection
Log Data Analysis
File Integrity Monitoring
Vulnerability Detection
Configuration Assessment
Incident Response
Regulatory Compliance
Cloud Security
Containers Security

All-in-one – Tüm bileşenlerin bir arada olduğu kurulum seçeneği. Bu seçenek daha çok test ortamları için uygun bir kurulum olarak duruyor.

Distributed – Dağıtık kurulum. Bu kurulum production ortamlar için uygun olan kurulum seçeneği olarak karşımıza çıkıyor.

Biz ilk kurulumu All-in-one ile yapacağız. ikinici makalede ise Distributed kurulumu göreceğiz. All-in-one veya Distributed kurulum seçenekleri tamamen yapınız ile ilgili kurulum tasarımları. Sisteminiz ne kadarlık EPS değerleri üretiyor, kaç adet log kaynağına sahipsiniz gibi bir dizi sorunun cevabına bakarak bu kurulum seçeneklerinden uygun olanını seçmek ve donanım ihtiyaçlarınıda buna göre karşılamak gerekli.

All-in-one kurulum

Yapı

Ubuntu 18.04 LTS

8 Çekirdek İşlemci

16 GB Ram

100 GB Disk alanı

İlk komutumuz aşağıdaki gibi, gerekli olan araç ve paketleri yüklemek ile başlıyoruz.

apt install curl apt-transport-https unzip wget libcap2-bin software-properties-common lsb-release gnupg2

add-apt-repository ppa:openjdk-r/ppa

apt update

export JAVA_HOME=/usr/ && apt install openjdk-11-jdk

curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | apt-key add -

echo "deb https://packages.wazuh.com/4.x/apt/ stable main" | tee -a /etc/apt/sources.list.d/wazuh.list

apt-get update

Gereklilikleri karşıladık, şimdi wazuh manager’ı kuruyoruz.

apt-get install wazuh-manager

systemctl daemon-reload
systemctl enable wazuh-manager
systemctl start wazuh-manager

Şimdi Elasticsearch kurulumu ile devam ediyoruz.

apt install elasticsearch-oss opendistroforelasticsearch

curl -so /etc/elasticsearch/elasticsearch.yml https://raw.githubusercontent.com/wazuh/wazuh-documentation/4.0/resources/open-distro/elasticsearch/7.x/elasticsearch_all_in_one.yml

curl -so /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/roles.yml https://raw.githubusercontent.com/wazuh/wazuh-documentation/4.0/resources/open-distro/elasticsearch/roles/roles.yml

curl -so usr/share/elasticsearch/plugins/opendistro_security/securityconfig/roles_mapping.yml https://raw.githubusercontent.com/wazuh/wazuh-documentation/4.0/resources/open-distro/elasticsearch/roles/roles_mapping.yml

curl -so usr/share/elasticsearch/plugins/opendistro_security/securityconfig/internal_users.yml https://raw.githubusercontent.com/wazuh/wazuh-documentation/4.0/resources/open-distro/elasticsearch/roles/internal_users.yml

rm /etc/elasticsearch/esnode-key.pem /etc/elasticsearch/esnode.pem /etc/elasticsearch/kirk-key.pem /etc/elasticsearch/kirk.pem /etc/elasticsearch/root-ca.pem -f

Tüm bileşenler arasındaki trafik SSL ile şifreleniyor. Bu yüzden SSL sertifikasını oluşturuyoruz.

mkdir /etc/elasticsearch/certs
cd /etc/elasticsearch/certs
curl -so ~/search-guard-tlstool-1.8.zip https://maven.search-guard.com/search-guard-tlstool/1.8/search-guard-tlstool-1.8.zip

unzip ~/search-guard-tlstool-1.8.zip -d ~/searchguard

curl -so ~/searchguard/search-guard.yml https://raw.githubusercontent.com/wazuh/wazuh-documentation/4.0/resources/open-distro/searchguard/search-guard-aio.yml

 ~/searchguard/tools/sgtlstool.sh -c ~/searchguard/search-guard.yml -ca -crt -t /etc/elasticsearch/certs/

rm /etc/elasticsearch/certs/client-certificates.readme /etc/elasticsearch/certs/elasticsearch_elasticsearch_config_snippet.yml ~/search-guard-tlstool-1.8.zip ~/searchguard -rf

systemctl daemon-reload
systemctl enable elasticsearch
systemctl start elasticsearch

/usr/share/elasticsearch/plugins/opendistro_security/tools/securityadmin.sh -cd /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/ -nhnv -cacert /etc/elasticsearch/certs/root-ca.pem -cert /etc/elasticsearch/certs/admin.pem -key /etc/elasticsearch/certs/admin.key

Filebeat’i yüklüyoruz. Beats kavramına ileriki makalelerde detaylı değineceğiz ancak bunu kurmaktaki amaç Wazuh sunucu üzerindeki logları görebilmek.

apt-get install filebeat

curl -so /etc/filebeat/filebeat.yml https://raw.githubusercontent.com/wazuh/wazuh-documentation/4.0/resources/open-distro/filebeat/7.x/filebeat_all_in_one.yml

curl -so /etc/filebeat/wazuh-template.json https://raw.githubusercontent.com/wazuh/wazuh/4.0/extensions/elasticsearch/7.x/wazuh-template.json

chmod go+r /etc/filebeat/wazuh-template.json

curl -s https://packages.wazuh.com/4.x/filebeat/wazuh-filebeat-0.1.tar.gz | tar -xvz -C /usr/share/filebeat/module

Öncede belirttiğim için Wazuh bileşenleri kendi aralarında SSL ile görüşüyor. Bu yüzden yine sertifika ayarlarını yapıyoruz.

mkdir /etc/filebeat/certs
cp /etc/elasticsearch/certs/root-ca.pem /etc/filebeat/certs/
mv /etc/elasticsearch/certs/filebeat* /etc/filebeat/certs/

systemctl daemon-reload
systemctl enable filebeat
systemctl start filebeat

Kibanayı kuruyoruz.

apt-get install opendistroforelasticsearch-kibana

curl -so /etc/kibana/kibana.yml https://raw.githubusercontent.com/wazuh/wazuh-documentation/4.0/resources/open-distro/kibana/7.x/kibana_all_in_one.yml

chown -R kibana:kibana /usr/share/kibana/optimize
chown -R kibana:kibana /usr/share/kibana/plugins

cd /usr/share/kibana
sudo -u kibana /usr/share/kibana/bin/kibana-plugin install https://packages.wazuh.com/4.x/ui/kibana/wazuh_kibana-4.0.3_7.9.1-1.zip

Kibana sertifika ayarlarını yapıyoruz.

mkdir /etc/kibana/certs
cp /etc/elasticsearch/certs/root-ca.pem /etc/kibana/certs/
mv /etc/elasticsearch/certs/kibana_http.key /etc/kibana/certs/kibana.key
mv /etc/elasticsearch/certs/kibana_http.pem /etc/kibana/certs/kibana.pem

setcap 'cap_net_bind_service=+ep' /usr/share/kibana/node/bin/node

systemctl daemon-reload
systemctl enable kibana
systemctl start kibana

Kurulum tamamlandı. Ara yüze erişmek için “https://ip adresi” şeklinde internet tarayıcınıza giriyorsunuz.

Default kullanıcı adı ve şifres : admin/admin

İlerdeki makalelerde şifreyi nasıl değiştirebileceğimizi göreceğiz.

Aşağıda Wazuh Dashboard’dan bir görüntü görüyorsunuz.

Bu ilk makalede Wazuh’a kısa bir giriş ve kurulum yaptık ancak daha gidecek çok yolumuz var. Devam edecek makalelerde Wazuh’un tüm detaylarını beraber incelemeye devam edeceğiz.

Keyifli okumalar, Sağlıcakla kalın.

Mehmet Sait YILMAZ 06/12/2020

8 2 dakika okuma süresi

8 Yorum

Hakan Uzuner dedi ki:

11/12/2020, 11:48

Eline sağlık Sait.

Yanıtla
Kenan dedi ki:

13/12/2020, 11:06

İlginç bir makale, devamını bekleriz.

Yanıtla
1. Mehmet Sait YILMAZ dedi ki:
  
  13/12/2020, 12:05
  
  Teşekkürler Kenan Bey, diğer seriler kısa sürede yayında olacak.
  
  Yanıtla
Cahit YOLACAN dedi ki:

23/12/2020, 08:56

Güzel makale eline sağlık.

Yanıtla
1. Mehmet Sait YILMAZ dedi ki:
  
  23/12/2020, 11:03
  
  Cahit hocam, teşekkürler.
  
  Yanıtla
deniz kadamak dedi ki:

29/06/2022, 19:59

merhaba sait hocam , export JAVA_HOME=/usr/ && apt install openjdk-11-jdk bu komutu çaklıştırdığımda export konum bulanamdı diyor

Yanıtla
Hidayet DEMİR dedi ki:

29/09/2022, 16:39

Merhaba Sait bey ubuntunun server versiyonunu mu kuracağız desktop versiyonunu mu ?

Yanıtla
1. Mehmet Sait YILMAZ dedi ki:
  
  29/09/2022, 21:14
  
  Merhaba, server versiyonunu öneriyorum. Desktop versiyonu sadece son kullanıcı bilgisayarlarında kullanılmalı.
  
  Yanıtla