Implementación de agentes Wazuh en Debian/Ubuntu

Artículos Guías Manuales Sistemas Linux Windows Binario 0

El agente se ejecuta en el host que deseas monitorear y se comunica con el servidor Wazuh, enviando datos en tiempo real a través de un canal cifrado y autenticado.

El proceso de implementación del agente Wazuh en un sistema Linux utiliza variables de despliegue que simplifican la instalación, registro y configuración del agente. Alternativamente, puedes descargar directamente el paquete del agente Wazuh consultando la sección de lista de paquetes.

Nota: Necesitas privilegios de usuario root para ejecutar todos los comandos descritos a continuación.

Añadir el repositorio de Wazuh

Sigue los pasos a continuación para añadir el repositorio oficial de Wazuh y descargar los paquetes necesarios.

Instalación de la clave GPG

Ejecuta el siguiente comando para instalar la clave GPG:

curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | gpg --no-default-keyring --keyring gnupg-ring:/usr/share/keyrings/wazuh.gpg --import && chmod 644 /usr/share/keyrings/wazuh.gpg

Añadir el repositorio

Agrega el repositorio de Wazuh con el siguiente comando:

echo "deb [signed-by=/usr/share/keyrings/wazuh.gpg] https://packages.wazuh.com/4.x/apt/ stable main" | tee -a /etc/apt/sources.list.d/wazuh.list

Actualizar información de paquetes

Ejecuta:

apt-get update

Nota: Para sistemas Debian 7, 8 y Ubuntu 14, utiliza estos comandos para importar la clave GPG y añadir el repositorio:

apt-get install gnupg apt-transport-https
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | apt-key add -
echo "deb https://packages.wazuh.com/4.x/apt/ stable main" | tee -a /etc/apt/sources.list.d/wazuh.list

Desplegar el agente Wazuh

Para instalar el agente en tu endpoint, selecciona el gestor de paquetes de tu sistema y edita la variable WAZUH_MANAGER para incluir la dirección IP o el nombre de host de tu gestor Wazuh:

WAZUH_MANAGER="10.0.0.2" apt-get install wazuh-agent

Nota: Si deseas instalar el agente sin registrarlo, omite las variables de despliegue. Para más información sobre los métodos de registro, consulta la sección Registro del agente Wazuh.

Habilitar e iniciar el servicio del agente Wazuh

Activa y arranca el servicio del agente con los siguientes comandos (para sistemas con systemd):

systemctl daemon-reload
systemctl enable wazuh-agent
systemctl start wazuh-agent

Con esto, el agente Wazuh estará en ejecución y correctamente configurado en tu sistema Linux.

Recomendación: Desactivar actualizaciones automáticas de Wazuh

Para garantizar la compatibilidad entre el agente y el gestor Wazuh, recomendamos desactivar el repositorio de Wazuh para evitar actualizaciones accidentales. Usa el siguiente comando:

sed -i "s/^deb/#deb/" /etc/apt/sources.list.d/wazuh.list
apt-get update

Como alternativa, puedes configurar el estado del paquete en "hold", lo que evitará actualizaciones automáticas pero permitirá actualizaciones manuales con apt-get install:

echo "wazuh-agent hold" | dpkg --set-selections