#Wazuh Wazuh - это система мониторинга безопасности (SIEM + HIDS).
Она умеет:
- анализировать логи
- обнаруживать вторжения
- проверять целостность файлов
- искать уязвимости
- мониторить rootkit
Компоненты Wazuh:
- Wazuh Manager - сервер анализа
- Wazuh Agent - агент на хосте
- Wazuh Dashboard - веб интерфейс
- Indexer (OpenSearch) - хранение событий
Установка Wazuh Agent
В Arch пакет доступен в AUR.
Установка через yay:
yay -S wazuh-agent
или вручную:
git clone https://aur.archlinux.org/wazuh-agent.git
cd wazuh-agent
makepkg -si
Структура файлов
После установки создаётся каталог:
/var/ossec/
Основные директории:
/var/ossec/etc
/var/ossec/logs
/var/ossec/queue
/var/ossec/ruleset
Главный конфиг:
/var/ossec/etc/ossec.conf
Настройка агента
Редактируем конфиг:
sudo nano /var/ossec/etc/ossec.conf
Указываем адрес сервера:
<client>
<server>
<address>192.168.1.10</address>
<port>1514</port>
<protocol>tcp</protocol>
</server>
</client>
Регистрация агента
На Wazuh Manager:
/var/ossec/bin/manage_agents
Выбираем:
A -> add agent
После добавления сервер выдаст agent key.
Импорт ключа на агенте
На машине агента:
sudo /var/ossec/bin/manage_agents
Выбираем:
I -> import key
Вставляем полученный ключ.
Запуск агента
sudo systemctl enable wazuh-agent
sudo systemctl start wazuh-agent
Проверка:
systemctl status wazuh-agent
Логи:
tail -f /var/ossec/logs/ossec.log
Проверка подключения
На сервере:
/var/ossec/bin/agent_control -l
Пример вывода:
ID: 001
Name: arch-host
IP: any
Status: Active
File Integrity Monitoring
Wazuh умеет отслеживать изменения файлов.
Добавляем в ossec.conf:
<syscheck>
<directories check_all="yes">/etc</directories>
<directories check_all="yes">/usr/bin</directories>
<directories check_all="yes">/usr/sbin</directories>
</syscheck>
Отслеживаются:
- изменение файлов
- удаление
- создание
Rootkit detection
Включается в конфиге:
<rootcheck>
<disabled>no</disabled>
</rootcheck>
Проверяет:
- скрытые процессы
- подозрительные порты
- известные сигнатуры rootkit.
Мониторинг логов
Можно анализировать системные логи.
Например:
<localfile>
<log_format>syslog</log_format>
<location>/var/log/auth.log</location>
</localfile>
Или:
<location>/var/log/pacman.log</location>
Это позволяет обнаруживать:
- brute force SSH
- sudo действия
- подозрительную активность.
Проверка уязвимостей
Включаем vulnerability detector:
<vulnerability-detector>
<enabled>yes</enabled>
</vulnerability-detector>
Полезные команды
Перезапуск агента:
sudo systemctl restart wazuh-agent
Логи:
tail -f /var/ossec/logs/ossec.log
Информация об агенте:
/var/ossec/bin/agent_control -i 001
Минимальный workflow
yay -S wazuh-agent
sudo nano /var/ossec/etc/ossec.conf
sudo systemctl enable wazuh-agent
sudo systemctl start wazuh-agent
Итог
Wazuh - мощная система безопасности.
Возможности:
|Возможность|Есть| |---|---| |IDS|✓| |Log analysis|✓| |File integrity|✓| |Rootkit detection|✓| |Vulnerability scanning|✓| |SIEM интеграция|✓|
Используется для:
- мониторинга серверов
- SOC
- обнаружения атак
- security auditing