Instalación del servidor Wazuh paso a paso en Debian/Ubuntu

Artículos Guías Manuales Sistemas Linux Windows Binario 0

Sigue estas instrucciones detalladas para instalar y configurar el servidor Wazuh como un nodo único o como parte de un clúster multinodo. El servidor Wazuh es un componente central que incluye el Wazuh Manager y Filebeat. El Wazuh Manager recopila y analiza datos de los agentes Wazuh desplegados, generando alertas cuando detecta amenazas o anomalías. Filebeat, por su parte, envía de forma segura estas alertas y eventos archivados al Wazuh Indexer.

El proceso de instalación se divide en dos etapas:

  1. Instalación del nodo del servidor Wazuh.
  2. Configuración del clúster para despliegues multinodo.

Nota: Necesitas privilegios de superusuario (root) para ejecutar todos los comandos descritos.

1. Instalación del nodo del servidor Wazuh

Agregar el repositorio de Wazuh

Nota: Si estás instalando el servidor Wazuh en el mismo host que el Wazuh Indexer, puedes omitir estos pasos, ya que probablemente ya hayas agregado el repositorio de Wazuh.

1. Instalar paquetes necesarios
Si faltan, instala los siguientes paquetes:

apt-get install gnupg apt-transport-https

2. Instalar la clave GPG

curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | gpg --no-default-keyring --keyring gnupg-ring:/usr/share/keyrings/wazuh.gpg --import && chmod 644 /usr/share/keyrings/wazuh.gpg

3. Agregar el repositorio

echo "deb [signed-by=/usr/share/keyrings/wazuh.gpg] https://packages.wazuh.com/4.x/apt/ stable main" | tee -a /etc/apt/sources.list.d/wazuh.list

4. Actualizar la información de los paquetes

apt-get update

Instalación del Wazuh Manager

Instala el paquete del Wazuh Manager:

apt-get -y install wazuh-manager

Instalación de Filebeat

Instala el paquete de Filebeat:

apt-get -y install filebeat

Configuración de Filebeat

1. Descargar el archivo de configuración preconfigurado de Filebeat

curl -so /etc/filebeat/filebeat.yml https://packages.wazuh.com/4.9/tpl/wazuh/filebeat/filebeat.yml

2. Editar el archivo de configuración /etc/filebeat/filebeat.yml

  • Reemplaza la lista de hosts con la dirección de tu Wazuh Indexer.
    Por ejemplo:
output.elasticsearch:
hosts: ["10.0.0.1:9200"]
protocol: https
username: ${username}
password: ${password}

Si tienes más de un nodo Indexer, separa las direcciones con comas:

hosts: ["10.0.0.1:9200", "10.0.0.2:9200", "10.0.0.3:9200"]

3. Crear el almacén de credenciales para Filebeat

filebeat keystore create

4. Agregar credenciales al almacén

echo admin | filebeat keystore add username --stdin --force
echo admin | filebeat keystore add password --stdin --force

5. Descargar la plantilla de alertas para el Indexer

curl -so /etc/filebeat/wazuh-template.json https://raw.githubusercontent.com/wazuh/wazuh/v4.9.2/extensions/elasticsearch/7.x/wazuh-template.json
chmod go+r /etc/filebeat/wazuh-template.json

6. Instalar el módulo de Wazuh para Filebeat

curl -s https://packages.wazuh.com/4.x/filebeat/wazuh-filebeat-0.4.tar.gz | tar -xvz -C /usr/share/filebeat/module

Despliegue de certificados

Nota: Asegúrate de tener una copia del archivo wazuh-certificates.tar generado en la configuración inicial.

  • Reemplaza <SERVER_NODE_NAME> con el nombre del certificado de tu nodo del servidor Wazuh:
NODE_NAME=<SERVER_NODE_NAME>

mkdir /etc/filebeat/certs
tar -xf ./wazuh-certificates.tar -C /etc/filebeat/certs/ ./$NODE_NAME.pem ./$NODE_NAME-key.pem ./root-ca.pem
mv -n /etc/filebeat/certs/$NODE_NAME.pem /etc/filebeat/certs/filebeat.pem
mv -n /etc/filebeat/certs/$NODE_NAME-key.pem /etc/filebeat/certs/filebeat-key.pem
chmod 500 /etc/filebeat/certs
chmod 400 /etc/filebeat/certs/*
chown -R root:root /etc/filebeat/certs

Configuración de la conexión al Wazuh Indexer

Guardar credenciales en el Wazuh Manager

echo '<INDEXER_USERNAME>' | /var/ossec/bin/wazuh-keystore -f indexer -k username
echo '<INDEXER_PASSWORD>' | /var/ossec/bin/wazuh-keystore -f indexer -k password

Editar el archivo de configuración del Wazuh Manager

  • Ubicación del archivo: /var/ossec/etc/ossec.conf.
  • Configura los hosts del indexador:
<indexer>
<enabled>yes</enabled>
<hosts>
<host>https://10.0.0.1:9200</host>
</hosts>
<ssl>
<certificate_authorities>
<ca>/etc/filebeat/certs/root-ca.pem</ca>
</certificate_authorities>
<certificate>/etc/filebeat/certs/filebeat.pem</certificate>
<key>/etc/filebeat/certs/filebeat-key.pem</key>
</ssl>
</indexer>

Iniciar el Wazuh Manager

systemctl daemon-reload
systemctl enable wazuh-manager
systemctl start wazuh-manager
systemctl status wazuh-manager

Iniciar el servicio de Filebeat

systemctl daemon-reload
systemctl enable filebeat
systemctl start filebeat
filebeat test output

Tu nodo del servidor Wazuh está ahora instalado correctamente. Si estás configurando un clúster multinodo, repite este proceso en cada nodo. Para un único nodo, puedes continuar con la instalación del dashboard Wazuh.