Какие системные требования для установки Wazuh на Ubuntu?

Минимум 4 ГБ ОЗУ (рекомендуется 8+ ГБ), 2 CPU ядра (4+ для production), 30 ГБ свободного места, Ubuntu 22.04 LTS или 20.04 LTS. Для production-окружения рекомендуется разделение компонентов на разные серверы.

Как проверить, что Wazuh установлен корректно?

Проверьте статусы всех служб: sudo systemctl status wazuh-manager, wazuh-indexer, wazuh-dashboard. Убедитесь, что агенты подключены через sudo /var/ossec/bin/agent_control -l. Проверьте веб-интерфейс по адресу https://IP:5601.

Какие порты нужно открыть для работы Wazuh?

Основные порты: 443 (Wazuh Dashboard), 1514 (агенты, TCP/UDP), 1515 (агенты, TCP/UDP), 9200 (Wazuh Indexer). Для внутренней коммуникации также используются порты 55000 (API) и 1516 (внутренняя коммуникация).

Можно ли установить Wazuh на другую версию Ubuntu?

Официально поддерживаются Ubuntu 22.04 LTS и 20.04 LTS. На других версиях возможны проблемы с зависимостями. Для Ubuntu 18.04 требуется дополнительная настройка и установка старых версий компонентов.

Как добавить мониторинг Windows-серверов в Wazuh?

Скачайте установщик агента с packages.wazuh.com, установите на Windows, зарегистрируйте агент командой agent-auth.exe с адресом Wazuh Manager. Настройте правила для Windows в конфигурации Wazuh Manager.

Установка Wazuh на Ubuntu: пошаговая инструкция для DevOps

Представь, что ты создаешь централизованную систему мониторинга безопасности для своей инфраструктуры. Wazuh — это open-source платформа SIEM и XDR, которая объединяет обнаружение вторжений, мониторинг целостности файлов и анализ уязвимостей. В этом руководстве мы разберем, как установить Wazuh на Ubuntu шаг за шагом — от настройки сервера до подключения агентов.

Важно: Для production-окружения рекомендуется разделить компоненты Wazuh (сервер, индексатор, дашборд) на разные серверы. В этом руководстве мы рассмотрим установку всех компонентов на одну машину для тестирования.

Предварительные требования для установки Wazuh

Перед началом установки убедись, что у тебя есть:

Сервер с Ubuntu 22.04 LTS или Ubuntu 20.04 LTS (рекомендуется свежая версия)
Минимум 4 ГБ ОЗУ (8+ ГБ для production)
Минимум 2 CPU ядра (4+ для production)
Не менее 30 ГБ свободного места на диске
Статический IP-адрес или доменное имя
Права суперпользователя (sudo)
Открытые порты (если нужен доступ извне): 443 (Wazuh Dashboard), 1514 (агенты), 1515 (агенты)

Шаг 1: Подготовка системы Ubuntu к установке

Давай начнем с обновления системы и установки необходимых зависимостей:

bash

# Обновляем список пакетов и систему
sudo apt update && sudo apt upgrade -y

# Устанавливаем необходимые зависимости
sudo apt install -y curl apt-transport-https software-properties-common gnupg lsb-release

# Добавляем репозиторий Wazuh
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | \
  sudo gpg --no-default-keyring --keyring gnupg-ring:/etc/apt/trusted.gpg.d/wazuh.gpg --import
sudo chmod 644 /etc/apt/trusted.gpg.d/wazuh.gpg

echo "deb [signed-by=/etc/apt/trusted.gpg.d/wazuh.gpg] https://packages.wazuh.com/4.x/apt/ stable main" | \
  sudo tee -a /etc/apt/sources.list.d/wazuh.list

Проверка доступности репозитория

bash

# Обновляем список пакетов после добавления репозитория
sudo apt update

# Проверяем доступность пакетов Wazuh
apt-cache search wazuh | head -10

Внимание: Если у тебя уже установлен Elastic Stack (Elasticsearch, Kibana), могут возникнуть конфликты версий. Рекомендуется использовать совместимые версии компонентов Wazuh.

Шаг 2: Установка Wazuh Manager (Сервера)

Wazuh Manager — это ядро системы, которое обрабатывает события от агентов и применяет правила анализа:

bash

# Устанавливаем Wazuh Manager
sudo apt install -y wazuh-manager

# Проверяем статус службы
sudo systemctl status wazuh-manager

# Запускаем и включаем автозагрузку
sudo systemctl start wazuh-manager
sudo systemctl enable wazuh-manager

Проверка работоспособности Wazuh Manager

bash

# Проверяем логи на наличие ошибок
sudo tail -f /var/ossec/logs/ossec.log

# Альтернативная проверка через API (должен вернуть версию)
curl -k -u foo:bar https://localhost:55000?pretty 2>/dev/null | grep version

Шаг 3: Установка Wazuh Indexer (Elasticsearch)

Wazuh Indexer основан на Elasticsearch и отвечает за хранение и индексацию данных:

bash

# Устанавливаем Wazuh Indexer
sudo apt install -y wazuh-indexer

# Генерируем сертификаты для кластера
sudo /usr/share/wazuh-indexer/bin/indexer-security-init.sh

# Настраиваем heap memory для Java (рекомендуется 50% от ОЗУ)
sudo sed -i 's/-Xms1g/-Xms2g/g' /etc/wazuh-indexer/jvm.options
sudo sed -i 's/-Xmx1g/-Xmx2g/g' /etc/wazuh-indexer/jvm.options

# Запускаем и включаем службу
sudo systemctl start wazuh-indexer
sudo systemctl enable wazuh-indexer

Проверка состояния кластера

bash

# Ждем 30 секунд для запуска индексатора
sleep 30

# Проверяем статус кластера
curl -k -u admin:admin https://localhost:9200/_cluster/health?pretty

Совет: Если команда curl возвращает ошибку "Connection refused", подожди еще минуту — Elasticsearch может дольше запускаться при первом старте.

Шаг 4: Установка Wazuh Dashboard (Kibana)

Wazuh Dashboard предоставляет веб-интерфейс для визуализации и анализа данных:

bash

# Устанавливаем Wazuh Dashboard
sudo apt install -y wazuh-dashboard

# Копируем сертификаты Wazuh Indexer
sudo cp /etc/wazuh-indexer/certs/admin.pem /etc/wazuh-dashboard/certs
sudo cp /etc/wazuh-indexer/certs/admin-key.pem /etc/wazuh-dashboard/certs
sudo cp /etc/wazuh-indexer/certs/root-ca.pem /etc/wazuh-dashboard/certs

# Устанавливаем права доступа
sudo chown -R wazuh-dashboard:wazuh-dashboard /etc/wazuh-dashboard/certs
sudo chmod 500 /etc/wazuh-dashboard/certs
sudo chmod 400 /etc/wazuh-dashboard/certs/*

# Запускаем и включаем службу
sudo systemctl start wazuh-dashboard
sudo systemctl enable wazuh-dashboard

Настройка конфигурации Dashboard

yaml

# Редактируем конфигурацию Wazuh Dashboard
sudo nano /etc/wazuh-dashboard/opensearch_dashboards.yml

# Добавляем или изменяем следующие параметры:
server.host: "0.0.0.0"  # Для доступа из сети
opensearch.hosts: ["https://localhost:9200"]
opensearch.ssl.verificationMode: none  # Только для тестов!
opensearch.username: "admin"
opensearch.password: "admin"
opensearch.requestHeadersWhitelist: ["authorization", "securitytenant"]

# После изменений перезапускаем службу
sudo systemctl restart wazuh-dashboard

Шаг 5: Настройка интеграции компонентов

Теперь нужно связать Wazuh Manager с Wazuh Indexer:

bash

# Устанавливаем плагин Wazuh для Dashboard
sudo -u wazuh-dashboard /usr/share/wazuh-dashboard/bin/opensearch-dashboards-plugin \
  install https://packages.wazuh.com/4.x/ui/dashboard/wazuh-4.7.4_2.15.0.zip

# Перезапускаем Dashboard
sudo systemctl restart wazuh-dashboard

bash

# Настраиваем интеграцию Manager с Indexer
sudo /var/ossec/framework/python/bin/python3 /var/ossec/api/scripts/wazuh-apid.py

Шаг 6: Установка и настройка Wazuh Agent

Агенты устанавливаются на мониторируемые системы и отправляют данные на Wazuh Manager:

bash

# На Ubuntu-клиенте добавляем репозиторий (как в шаге 1)
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | \
  sudo gpg --no-default-keyring --keyring gnupg-ring:/etc/apt/trusted.gpg.d/wazuh.gpg --import
sudo chmod 644 /etc/apt/trusted.gpg.d/wazuh.gpg

echo "deb [signed-by=/etc/apt/trusted.gpg.d/wazuh.gpg] https://packages.wazuh.com/4.x/apt/ stable main" | \
  sudo tee -a /etc/apt/sources.list.d/wazuh.list

# Устанавливаем агент
sudo apt update
sudo apt install -y wazuh-agent

# Регистрируем агент на сервере (IP_SERVER - адрес Wazuh Manager)
sudo /var/ossec/bin/agent-auth -m IP_SERVER -A "Ubuntu-Client"

# Настраиваем адрес сервера в конфиге
sudo sed -i 's/MANAGER_IP/IP_SERVER/g' /var/ossec/etc/ossec.conf

# Запускаем агент
sudo systemctl start wazuh-agent
sudo systemctl enable wazuh-agent

Шаг 7: Проверка работоспособности всей системы

После установки всех компонентов проверим, что система работает корректно:

bash

# Проверяем статус всех служб
sudo systemctl status wazuh-manager
sudo systemctl status wazuh-indexer
sudo systemctl status wazuh-dashboard
sudo systemctl status wazuh-agent  # на клиенте

# Проверяем подключение агента на сервере
sudo /var/ossec/bin/agent_control -l

# Проверяем индексы в Wazuh Indexer
curl -k -u admin:admin https://localhost:9200/_cat/indices?v

Доступ к веб-интерфейсу

Открой браузер и перейди по адресу:

https://ТВОЙ_IP:5601

Логин: admin
Пароль: admin

При первом входе система предложит сменить пароль — обязательно сделай это!

Таблица сравнения методов установки Wazuh

Метод	Сложность	Рекомендация	Использование
APT (этот гайд)	Средняя	Для production и тестов	Стабильные версии, автообновления
Docker	Низкая	Для быстрого тестирования	Разработка, демо-стенды
Вручную из исходников	Высокая	Только для разработчиков	Кастомизация, отладка

Частые проблемы и их решение

Проблема: Wazuh Indexer не запускается

Решение: Проверь логи sudo journalctl -u wazuh-indexer -f. Частая причина — недостаточно памяти. Увеличь значения в /etc/wazuh-indexer/jvm.options.

Проблема: Агент не подключается к серверу

Решение: Проверь firewall sudo ufw status. Открой порты 1514-1515 TCP/UDP. Убедись, что в /var/ossec/etc/ossec.conf указан правильный IP сервера.

Проблема: Dashboard показывает ошибку "No data available"

Решение: Проверь связь между Manager и Indexer: sudo /var/ossec/bin/wazuh-control status. Перезапусти интеграцию: sudo systemctl restart wazuh-manager.

Дальнейшие шаги после установки

Настройка оповещений: Интеграция с Slack, Email, Telegram
Добавление правил: Кастомизация правил обнаружения в /var/ossec/etc/rules/
Мониторинг Windows-систем: Установка агентов на Windows-серверы
Настройка резервного копирования: Конфигурация бэкапов индексов и правил
Тюнинг производительности: Оптимизация Elasticsearch под нагрузку

🎯 Ключевые моменты установки Wazuh

Ты успешно установил Wazuh на Ubuntu! Помни главное:

Всегда используй официальные репозитории для стабильности
Настрой мониторинг самих компонентов Wazuh
Регулярно обновляй правила и движки
Для production разделяй компоненты на разные серверы
Используй SSL/TLS для всех соединений

Теперь у тебя есть мощный инструмент для мониторинга безопасности, который поможет обнаруживать угрозы, анализировать логи и соблюдать compliance-требования.