Wazuh Agent Kurulumu ve Yaygınlaştırılması

Wazuh Agent kurulumu ve yaygınlaştırılması makalemizde, Wazuh Yönetici = Ossec Server ve  Aget = Aracı şeklinde konumlandırılmıştır. 

Wazuh Agent Kurulumları

Wazuh agentı, izlemek istediğiniz makineler üzerinde çalışır. Çoklu platform desteği vardır ve aşağıdaki yetenekleri sağlar.

• Log ve Veri toplama,
• File Integrity (dosya bütünlüğüizleme)
• Rootkit ve Malware tespiti
• Security Policy izleme (güvenlik politikası izleme) 

…ve bunlara ek olarak, şifrelenmiş ve kimliği doğrulanmış bir kanal vasıtasıyla neredeyse gerçek zamanlı veri gönderen Wazuh yöneticisi ile konuşur. İşletim sistemine ve kaynaktan inşa etmek isteyip istemediğinize bağlı olarak bir Wazuh agent kurabilmek için birkaç seçenek kullanılabilir.

CentOS/RHEL/Fedora (RPM) Üzerine Kurulum

RPM paketi, Red Hat, CentOS ve diğer RPM tabanlı sistemlere kurulum için uygundur. Aşağıda açıklanan komutların birçoğunun root kullanıcı ayrıcalıklarıyla yürütülmesi gerekir.

Wazuh Deposunu Eklemek

Centos deposunu eklemek;

$ cat > /etc/yum.repos.d/wazuh.repo <<\EOF
[wazuh_repo]
gpgcheck=1
gpgkey= https://packages.wazuh.com /key/GPG-KEY-WAZUH
enabled=1
name=CentOS-$releasever – Wazuh
baseurl= https://packages.wazuh.com /yum/el/$releasever/$basearch
protect=1
EOF

Centos-5 deposunu eklemek;

$ cat > /etc/yum.repos.d/wazuh.repo <<\EOF
[wazuh_repo]
gpgcheck=1
gpgkey= https://packages.wazuh.com /key/RPM-GPG-KEY-OSSEC-RHEL5
enabled=1
name=CentOS-$releasever – Wazuh
baseurl= https://packages.wazuh.com /yum/el/$releasever/$basearch
protect=1
EOF

Rhel deposunu ekleme;

$ cat > /etc/yum.repos.d/wazuh.repo <<\EOF
[wazuh_repo]
gpgcheck=1
gpgkey= https://packages.wazuh.com /key/GPG-KEY-WAZUH
enabled=1
name=RHEL-$releasever – Wazuh
baseurl= https://packages.wazuh.com /yum/rhel/$releasever/$basearch
protect=1
EOF

Rhel-5 deposunu eklemek;

$ cat > /etc/yum.repos.d/wazuh.repo <<\EOF
[wazuh_repo]
gpgcheck=1
gpgkey= https://packages.wazuh.com /key/RPM-GPG-KEY-OSSEC-RHEL5
enabled=1
name=RHEL-$releasever – Wazuh
baseurl= https://packages.wazuh.com /yum/rhel/$releasever/$basearch
protect=1
EOF

Fedora deposunu ekleme;

$ cat > /etc/yum.repos.d/wazuh.repo <<\EOF
[wazuh_repo]
gpgcheck=1
gpgkey= https://packages.wazuh.com /key/GPG-KEY-WAZUH
name=Fedora-$releasever – Wazuh
enabled=1
baseurl= https://packages.wazuh.com /yum/fc/$releasever/$basearch
protect=1
EOF

Amazon Linux deposunu eklemek;

$ cat > /etc/yum.repos.d/wazuh.repo <<\EOF
[wazuh_repo]
gpgcheck=1
gpgkey= https://packages.wazuh.com /key/GPG-KEY-WAZUH
name=Amazon Linux – Wazuh
enabled=1
baseurl= https://packages.wazuh.com /yum/el/7/$basearch
protect=1
EOF

Wazuh Agent Kurulum Adımı;

Depo ekleme işlemi tamamlandıktan sonra Wazuh agent kurulumu aşağıdaki komut ile tamamlanır.

$ yum install wazuh-agent

Bu noktada agent yüklenmiş olmaktadır ve yalnızca kendi yöneticinizle konuşacak şekilde kayıt yaptırmanız ve yapılandırmanız yeterlidir. Bu işlem hakkında daha fazla bilgi için lütfen Agent Kayıt bölümünü ziyaret edin.

Debian/Ubuntu üzerine Kurulumu

DEB paketi Debian, Ubuntu ve diğer Debian tabanlı sistemler için uygundur.

Aşağıda açıklanan komutların birçoğunun root kullanıcı ayrıcalıklarıyla yürütülmesi gerekir.

Debian/Ubuntu Wazuh Deposunu Ekleme

İhtiyacınız olan ilk şey, Wazuh deposunu sunucunuza eklemektir. Alternatif olarak, doğrudan wazuh-agent paketini indirmeyi tercih ederseniz, buradan bulabilirsiniz.

• Bu işlemi doğru bir şekilde gerçekleştirmek için curl, apt-transport-https ve lsb-release  paketleri sisteminizde bulunmalıdır. Yoksa aşağıdaki şekilde  yükleyin:

$ apt-get install curl apt-transport-https lsb-release

•  Wazuh depo GPG anahtarını yükleyin:

$ curl -s https://packages.wazuh.com /key/GPG-KEY-WAZUH | apt-key add – 

• Dağıtım kod adı alma ve depoyu ekleme:

CODENAME=$(lsb_release -cs)
echo “deb https://packages.wazuh.com/apt $CODENAME main” \
| tee /etc/apt/sources.list.d/wazuh.list

Desteklenen Dağıtım isimleri:

Debian: wheezy, jessie, stretch and sid
Ubuntu: trusty, vivid, wily, xenial andyakkety

• Depoları Güncelleme

$ apt-get update

Wazuh Agent Kurulum Adımı

$ apt-get install wazuh-agent

Bu noktada agent yüklenmiş olmaktadır ve yalnızca kendi yöneticinizle konuşacak şekilde kayıt yaptırmanız ve yapılandırmak yeterlidir. Bu işlem hakkında daha fazla bilgi için lütfen Agent Kayıt bölümünü ziyaret edin.

Windows Üzerine Kurulumu

Bu kılavuzu kullanarak wazuh agent yüklemek için yönetici ayrıcalıklarına sahip olmanız gerekir.

Paketler listesindenWindows yükleyicisini indirin. Şunları kullanarak yükleyebilirsiniz:

Komut Satırı ile Yükleme

wazuh-agent-2.0.exe/S

Grafiksel Arayüz ile Kurulum

İndirilen dosyayı çift tıklayın ve sihirbazı takip edin. Emin değilseniz, varsayılan cevapları kullanın. Agent yüklendikten sonra yapılandırma, log dosyalarını açma veya hizmeti başlatmak /durdurmak için kullanılabilen bir grafik kullanıcı ara birimi içermektedir.

Varsayılan olarak, tüm agent dosyaları aşağıdaki konumda bulunmaktadır:

C: \Program Files (x86) \ ossec-agent

Bu noktada agent yüklenmiş olmaktadır ve yalnızca kendi yöneticinizle konuşacak şekilde kayıt yaptırmanız ve yapılandırmanız yeterlidir. Bu işlem hakkında daha fazla bilgi için lütfen Agent Kayıt bölümünü ziyaret edin.

MacOS üzerine Kurulumu

Mac OS X agentları paketler listemizden indirilebilir.Geçerli sürüm Mac OS X 10.12’de test edilmiştir ve diğer sürümlerle uyumlu olmalıdır. Şunları kullanarak yükleyebilirsiniz.

Komut Satırı ile Kurulum

installer –pkgwazuh–agent–2.0–2.pkg –target /

Grafiksel Arayüz ile Kurulum

İndirilen dosyayı çift tıklayın ve sihirbazı takip edin. Emin değilseniz, varsayılan cevapları kullanın.

Varsayılan olarak, tüm agent dosyaları aşağıdaki konumda bulunabilir:
/ Library / Ossec /

Bu noktada agent yüklenmiş olmaktadır ve yalnızca kendi yöneticinizle konuşacak şekilde kayıt yaptırmanız ve yapılandırmanız yeterlidir. Bu işlem hakkında daha fazla bilgi için lütfen Agent Kayıt bölümünü ziyaret edin.

Solaris Üzerine Kurulum

Solaris agentları paketler listemizden indirilebilir.Geçerli sürüm, Solaris 11 sürüm 5.11 ve Solaris 10 sürüm 5.10’da test edilmiştir.

Kurulum aşaması:

Solaris 11 i386

pkg install –dwazuh–agent_2.1.0–sol11–i386.p5p wazuh–agent

Solaris 10 i386

pkgadd –dwazuh–agent_2.1.0–sol10–i386.pkg

Solaris 11 sparc

pkg install -d wazuh-agent_2.1.0-sol11-sparc.p5p wazuh-agent

Solaris 10 sparc

pkgadd –dwazuh–agent_2.1.0–sol10–sparc.pkg

Bu noktada agent yüklenmiş olmaktadır ve yalnızca kendi yöneticinizle konuşacak şekilde kayıt yaptırmanız ve yapılandırmanız yeterlidir. Bu işlem hakkında daha fazla bilgi için lütfen Agent Kayıt bölümünü ziyaret edin.

Kaynak Koddan Wazuh Agent Kurulumu

Bu kılavuz bir Wazuh agent’ın kaynak kodundan nasıl yükleneceğini açıklamaktadır.

Bu kılavuzu kullanarak wazuh agent yüklemek için yönetici ayrıcalıklarına sahip olmanız gerekir.

Linux Üzerinde Kaynak Koddan Kurulum

RPM İçin

sudo yum install make gcc
# If you want to use Auth, also install:
sudo yum install openssl-devel

Debian Tabanlı Dağıtımlar İçin

sudo apt-get install gccmake libc6-dev

# If you want to use Auth, also install:
sudo apt-get install libssl-dev

En son sürümü indirin ve çıkarın

$ curl -Lshttps://github.com/wazuh/wazuh/archive/v2.1.0.tar.gz | tar zx

Install.sh komut dosyasını çalıştırın; bu, Wazuh kaynaklarını kullanarak kurulum sürecinde sizi yönlendirecek bir sihirbaz görüntüleyecektir.

$ cd wazuh-*
$ ./install.sh

Senaryo, ne tür bir kurulum istediğini soracaktır. Bir Wazuh agent kurmak için “agent” yazın.

1- What kind of installation do you want (server, agent, local, hybrid or help)? agent

Windows Üzerinde Kaynak Koddan Kurulum

Bu bölüm, Wazuh HIDS Windows agentının kaynaklardan nasıl indireceğini ve kurulacağını açıklamaktadır. Aşağıdaki prosedür, bina ortamı olarak Ubuntu 16.04 ile çalışmak üzere test edilmiştir,diğer Debian / Ubuntu sürümleriyle de iyi çalışabilir.

Ubuntuyapı ortamını kurma

Ubuntu’da Windows Wazuh agent yükleyicisini kurmak için bu bağımlılıkları yükleyin.

$ apt-get install gcc-mingw-w64
$ apt-get install nsis
$ apt-get install make

Kaynak kodu indirin

$ curl -Ls https://github.com /wazuh/wazuh/archive/v2.1.0.tar.gz | tar zx
$ cd wazuh-*/src

Agent derleme

Make komutunu çalıştırın:

$ make TARGET=winagent

Yapı sürecinin sonlarına doğru aşağıdaki çıktıyı beklemelisiniz.

…

Output: “wazuh-agent-2.0.exe”
Install: 7 pages (448 bytes), 3 sections (3144 bytes), 774 instructions (21672 bytes), 322 strings (32417 bytes), 1 language table (346 bytes).
Uninstall: 5 pages (320 bytes), 1 section (1048 bytes), 351 instructions (9828 bytes), 186 strings (3380 bytes), 1 language table (290 bytes).
Datablock optimizer saved 99975 bytes (~6.7%).

Using zlib compression.

EXE header size:               77312 / 75264 bytes
Install code:                  14910 / 58403 bytes
Install data:                1290055 / 3762640 bytes
Uninstall code+data:           20917 / 21333 bytes
CRC (0x44FA2346):                  4 / 4 bytes

Total size:                  1403198 / 3917644 bytes (35.8%)
…
Done building winagent

Windows için bir Wazuh agent yükleyiciniz oluşmuş olmalıdır: ./win32/wazuh-agent-2.0.exe

Bu noktada agent yüklenmiş olmaktadır ve yalnızca kendi yöneticinizle konuşacak şekilde kayıt yaptırmanız ve yapılandırmanız yeterlidir. Bu işlem hakkında daha fazla bilgi için lütfen Agent Kayıt bölümünü ziyaret edin.

Wazuh Agent’larının Kayıt Edilmesi

Agent Kayıt İşlemi; Her Wazuh Agent’ı, iletileri önceden paylaşılan bir anahtar kullanarak şifreleyen OSSEC ileti protokolü adı verilen güvenli bir yolla Wazuh Yöneticisine gönderir. Başlangıçta yeni bir Wazuh Agent’ı başarıyla kurduğunuzda, bu, önceden paylaşılan anahtar eksikliği nedeniyle Wazuh Yöneticisi ile iletişim kuramaz.Kayıt işlemi, Yönetici ile bir Agent arasında bir güven ilişkisi yaratmak için bir mekanizma içerir; bu işlem, bir Yöneticinin kendisi üzerinde veya bir kayıt servisiyle yapılabilir. Bu hizmet yöneticinin dinlediği bir hizmettir.

Kayıt Anahtarı Nedir?

Yönetici /var/ossec/etc/client.keys dosyasını, her agentın kayıt kaydını depolamak için kullanır; ID, isim, IP ve anahtar içerir.

Örnek:

001 Server1 any e20e0394dc a71bacdea57 d4ca25d 203f836 eca12eeca1 ec150c2e5f4 309a653a
002 ServerProd 192.246.247.247 b0c5548beda53 7daddb4 da698424d085 6c3d4e 760eaced 803d58c0 7ad1a95f4c
003 DBServer 192.168.0.1/24 8ec4843da 9e61647d1ec3facab542acc 26bd0e08 ffc0100 86bb3a6fc2 2f6f65b

Agentlar ayrıca /var/ossec/etc/client.keys dosyasına yalnızca kendi kayıt kayıtlarını içerir.

Server1 agentı için örnek:

001 Server1 any e20e039 4dca71bac dea57d4c a25d203f 836eca12 eeca1ec1 50c2e5f43 09a653a

Bir agentı kaydetmek için temel veriler gerekmektedir. Bir agentı kaydetmek için agentın adını ve IP’sini girmeniz gerekir. Agent IP’yi ayarlamanın birkaç yolu vardır:

• Herhangi bir IP: Agent’ın herhangi bir IP adresinden bağlanmasına izin verin. Örnek: Server1’in bir IP adresi var.
• Sabit IP: Agent’ın yalnızca belirtilen IP’den bağlanmasına izin verin. Örnek: ServerProd, IP 192.246.247.247’ye sahiptir.

• IP Aralığı: Agent’ların belirtilen IP aralığından bağlanmasına izin verin. Örnek: DBServer’ın 192.168.0.1/24 IP aralığı vardır.

Kayıt Yöntemleri

Komut Satırını Kullanarak Kayıt Etme

Yönetici üzerinde manage_agents komutunu çalıştırın:

$/var/ossec/bin/manage_agents

****************************************
* Wazuh v2.0 Agent manager.            *
* The following options are available: *
****************************************
   (A)dd an agent (A).
   (E)xtract key for an agent (E).
   (L)ist already added agents (L).
   (R)emove an agent (R).
   (Q)uit.
Choose your action: A,E,L,R or Q:

Bir agent’ı eklemek için A ve Enter tuşuna basın. Agentınızın adı (agent’ın ana bilgisayar adı veya başka bir keyfi ad kullanın), IP ve agent kimliği (bu kimliği otomatik olarak atamak için boş bırakabilirsiniz) istenecektir.

Bu örnekte, “Örnek” adı, dinamik IP (herhangi) ve otomatik kimliği olan bir agent ekleyeceğiz:

Choose your action: A,E,L,R or Q: A

– Adding a new agent (use ‘\q’ to return to the main menu).
  Please provide the following:
   * A name for the new agent: Example
   * The IP Address of the new agent: any
   * An ID for the new agent[001]:
Agent information:
   ID:001
   Name:Example
   IP Address:any

Confirm adding it?(y/n): y
Agent added with ID 001.

Yeni agent anahtarını çıkarın. Agent için ona ihtiyacınız olacak:

Choose your action: A,E,L,R or Q: E

Available agents:
   ID: 001, Name: Example, IP: any
Provide the ID of the agent to extract the key (or ‘\q’ to quit): 001

Agent key information for ‘001’ is:
MDAxIDE4N WVlNjE1Y2Y zYiBhbnkgM GNmMDFiYT M3NmMxY2 JjNjU0NDAw YmFhZDY1Z WU1YjcyMG I2NDY3ODh kNGQzMjM5 ZTdlNGVmN zQzMGFjMDA4Nw==

Q ve Enter tuşlarına basarak manage_agents’tan çıkın.

Şimdi agenttaki manage_agents’i çalıştırın:

$/var/ossec/bin/manage_agents

****************************************
* Wazuh v2.0 Agent manager.            *
* The following options are available: *
****************************************
   (I)mport key from the server (I).

(Q)uit.
Choose your action: I or Q:

Bir anahtarı içe aktarmak için I ve Enter tuşuna basın. Ardından, yöneticiye ayıkladığınız anahtarı yapıştırın:

Choose your action: I or Q:I

* Provide the Key generated by the server.
* The best approach is to cut and paste it.
*** OBS: Do not include spaces or new lines.

Paste it here (or ‘\q’ to quit):MDAxID E4NWVlNj E1Y2YzYi BhbnkgMG NmMDFiYT M3NmMxY2 JjNjU0NDA wYmFhZDY1 ZWU1Yjc yMGI2NDY3 ODhkN GQzMjM5ZT dlNGVmN zQzMGFjM DA4Nw=

Agent information:
   ID:013
   Name:Example
   IP Address:any

Confirm adding it?(y/n): y
Added.

Manage_agents’ten çıkmak için Q ve Enter tuşuna basın.

Wazuh yöneticisi IP adresini eklemek için /var/ossec/etc/ossec.conf dosyasındaki wazuh-agent yapılandırmasını düzenleyin. <Client> bölümünde MANAGE_IP değerini Wazuh yöneticisi adresini değiştirin:

<client>
<server–ip>MANAGE_IP</server–ip>
</client>

Agent’ı yeniden başlatın:

/var/ossec/bin/ossec–control restart

Kayıt Hizmetini Kullanarak

Agentları otomatik olarak authd’ye kaydetmek mümkündür. İhtiyaçlarınızı en iyi karşılayan yöntemi seçin:

• Basit Yöntem: En kolay yöntem. Kimlik doğrulama veya ana makine doğrulaması yok.
• Agentları yetkilendirmek için bir parola kullanma: Agentların paylaşılan bir parolayla kimliğini doğrulamasına izin verir. Bu yöntem kolaydır ancak ana makine doğrulamasını gerçekleştirmez.
• Yöneticiyi SSL ile doğrulama: Yöneticinin sertifikası, agentların sunucuyu doğrulamak için kullandığı bir CA tarafından imzalanır. Bu, ana makine denetimi içerebilir.
• Yöneticiyi SSL ile doğrulama: 
  • Ana bilgisayar doğrulama var: Yukarıdaki ile aynıdır,ancak yönetici agentın sertifikasını ve adresini doğrular. Ajan başına birer sertifika olmalıdır.
  • Ana bilgisayar doğrulama yok: Yönetici agentı CAtarafından doğrulamaktadır, ancak ana bilgisayar adresini doğrulamaktadır. Buyöntem, paylaşılan bir temsilci sertifikasının kullanılmasına izin verir.

Basit Yöntem

SSL sertifikası alın: İlk adım bir SSLanahtarı ve sertifika almaktır. Bu, authd’nin çalışması için gereklidir.

• Anahtarıyla geçerli bir SSL sertifikanız varsa,bunları etc klasörüne kopyalayın.

# (Manager)
cp <ssl_cert> /var/ossec/etc/sslmanager.cert
cp <ssl_key> /var/ossec/etc/sslmanager.key

Aksi takdirde, kendinden imzalı bir sertifika oluşturabilirsiniz:

# (Manager)
openssl req –x509 –batch –nodes –days 365 –newkey rsa:2048 –keyout  /var/ossec/etc/sslmanager.key –out /var/ossec/etc/sslmanager.cert

Kayıt işlemi:

• Authd sunucusunu başlatın:

# (Manager)
/var/ossec/bin/ossec–authd

Agent üzerinde auth istemcisini çalıştırın. Aşağıdaki gibi authd sunucusunun IP adresini girmelisiniz:

/var/ossec/bin/agent–auth –m 192.168.1.2

Bazı İpuçları:

Varsayılan olarak, authd, (“manage_agents’de” any “kullanarak gibi) dinamik bir IP ile agent ekler. Statik IP adresleri olan agentları eklemek isterseniz, sunucu tarafında -i kullanın:

# (Manager)
/var/ossec/bin/ossec–authd –i

Öte yandan, yinelenen IP’lere izin verilmez,bu nedenle, aynı IP ile başka bir agent kayıtlıysa, bir agent eklenmeyecektir. -f seçeneğini kullanarak, authd’ye aynı IP’ye sahip daha eski bir agentı bulursa kaydı zorlaması söylenebilir – eski agentın kaydı silinir:

# (Manager)
/var/ossec/bin/ossec–authd –i –f 0

0, eski agentın (silinecek olanın) son bağlantısından bu yana geçen minimum süreyi saniye cinsinden belirtir. Bu durumda, 0 eski temsilcinin kaydını ne zamana kadar girmiş olduğuna bakılmaksızın silmek demektir.

Güvenli Yöntem

Varsayılan seçeneklerle authd arka plan programını başlatmak, herhangi bir agentın kendisini kaydetmesine ve daha sonra bir yöneticiye bağlanmasına izin verecektir. Aşağıdaki seçenekler, bağlantıları yetkilendirmek için bazı mekanizmalar sağlar:

• Agentları yetkilendirmek için bir parola kullanma: Agentların paylaşılan bir parolayla kimliğini doğrulamasına izin verir. Bu yöntem kolaydır ancak ana makine doğrulamasını gerçekleştirmez.
• Yöneticiyi SSL ile doğrulama: Yöneticinin sertifikası, agentların sunucuyu doğrulamak için kullandığı bir CA tarafından imzalanır. Bu,ana makine denetimi içerebilir.
• Yöneticiyi SSL ile doğrulama: 
  • Ana bilgisayar doğrulama var: Yukarıdaki ile aynıdır,ancak yönetici agentın sertifikasını ve adresini doğrular. Ajan başına birer sertifika olmalıdır.
  • Ana bilgisayar doğrulama yok: Yönetici agentı CA tarafından doğrulamaktadır, ancak ana bilgisayar adresini doğrulamaktadır. Bu yöntem, paylaşılan bir temsilci sertifikasının kullanılmasına izin verir.

Agentları yetkilendirmek için parola kullanımı

Yönetici bir parola kullanarak yetkisiz kayıtlardan korunabilir. Kendimizden birini seçebilir veya authd’ye rasgele bir parola oluşturabiliriz.

• Elle bir şifre belirtmek için,bunu etc / authd.pass dosyasına yazmanız yeterlidir. Örneğin, anahtar “TopSecret” olsaydı:

Yönetici bir parola kullanarak yetkisiz kayıtlardan korunabilir. Kendimizden birini seçebilir veya authd’ye rasgele bir parola oluşturabiliriz.

• Elle bir şifre belirtmek için,bunu etc / authd.pass dosyasına yazmanız yeterlidir. Örneğin, anahtar “TopSecret” olsaydı:

# (Manager)
echo “TopSecret” > /var/ossec/etc/authd.pass
/var/ossec/bin/ossec–authd –P

Accepting connections. Using password specified on file: /var/ossec/etc/authd.pass

Bir parola belirtmezseniz, authd kendisi bir parola oluşturur ve bunun ne olduğunu söyleyecektir:

# (Manager)
/var/ossec/bin/ossec–authd –P

Accepting connections. Random password chosen for agent authentication: abcd1234

Agent tarafında, anahtar aynı adı taşıyan bir dosyaya konabilir veya bir komut satırı bağımsız değişkeni olarak belirtilebilir.

authd.pass dosyasını kullanma:

# (Agent)
echo “abcd1234” > /var/ossec/etc/authd.pass
/var/ossec/bin/agent-auth -m 192.168.1.2

Parolayı komut satırına girerek:

# (Agent)
/var/ossec/bin/agent-auth -m 192.168.1.2 -P “abcd1234”

Ana bilgisayarı doğrulamak için SSL kullanma

Önce, yönetici ve temsilcilerin sertifikalarını imzalamak için kullanacağımız bir yetki sertifikası (CA) oluşturacağız. Ana makineler, uzak sertifikayı doğrulamak için bu sertifikanın bir kopyasını alacaktır:

openssl req –x509 –new –nodes –newkey rsa:2048 –keyout rootCA.key –out rootCA.pem –batch

Yeni oluşturduğumuz rootCA.key dosyası, yetki belgesinin özel anahtarıdır. Diğer sertifikaları imzalamak gerekmektedir ve güvenliğini sağlamak çok önemlidir. Bu dosyayı başka ana makinelere hiçbir zaman kopyalayacağımızı unutmayın.

Yöneticiyi SSL ile doğrulama

Sunucuya bağlanmak için kullanacağı ana makine adını veya IP adresini girerek authd sunucusu için bir sertifika sorun ve imzalayın. Örneğin, sunucunun IP’si 192.168.1.2 ise:

openssl req –new –nodes –newkey rsa:2048 –keyout sslmanager.key –out sslmanager.csr –subj ‘/C=US/CN=192.168.1.2’
openssl x509 –req –days 365 -in sslmanager.csr –CA root CA.pem –CAkey rootCA.key –out sslmanager.cert –CA createserial

Yeni oluşturulan sertifikayı ve anahtarı yöneticinin etc klasörüne kopyalayın ve ossec-authd dosyasını başlatın:

# (Manager)
cp sslmanager.cert sslmanager.key /var/ossec/etc
ossec–authd

CA’yı (ancak anahtarı değil) agentın etc klasörüne kopyalayın ve agent-auth’i çalıştırın.

# (Agent)
cp rootCA.pem /var/ossec/etc
agent–auth –m 192.168.1.2 –v /var/ossec/etc/rootCA.pem

Agentları SSL ile doğrulama

Bu örnekte, aynı sertifikanın birçok agent tarafından kullanılabilmesi için, ana makine adını belirtmeden agentlar için bir sertifika oluşturacağız. Bu, agentların nereden bağlandıklarına bakılmaksızın, temsilcilerin CA’mız tarafından imzalanmış bir sertifikasına sahip olduklarını doğrular.

• Agent için bir sertifika çıkarın ve imzalayın. Ortak ad alanına girilmeyeceğimizi unutmayın:

openssl req -new -nodes -newkey rsa:2048 -keyout sslagent.key -out sslagent.csr -batch
openssl x509 -req -days 365 -in sslagent.csr -CA rootCA.pem -CAkey rootCA.key -out sslagent.cert -CAcreateserial

• CA’yı (ancak anahtarı değil) yöneticinin etc klasörüne kopyalayın (eğer orada değilse) ve ossec-authd’yi başlatın:

# (Manager)
cp rootCA.pem /var/ossec/etc
ossec–authd –v /var/ossec/etc/rootCA.pem

• Yeni oluşturulan sertifikayı ve anahtarı agent’ın etc klasörüne kopyalayın ve agent-auth komutunu çalıştırın. Örneğin, sunucunun IP’si 192.168.1.2 ise:

# (Agent)
cp sslagent.cert sslagent.key /var/ossec/etc
agent–auth –m 192.168.1.2 –x /var/ossec/etc/sslagent.cert –k /var/ossec/etc/sslagent.key

Agentları SSL yoluyla doğrulama (ana makine doğrulama)

Bu son bölüm için alternatif bir yöntemdir. Bu durumda, temsilcinin sertifikasını, yöneticinin gördüğü şekilde temsilci IP adresine bağlanmaktadır.

• Agent için bir sertifika çıkarın ve imzalayın. Ardından genel ad alanına ana makine adını veya IP adresini girin. Örneğin, temsilcinin IP’si 192.168.1.3 ise:

openssl req –new –nodes –newkey rsa:2048 –keyout sslagent.key –out sslagent.csr –subj ‘/C=US/CN=192.168.1.3’
openssl x509 –req –days 365 -in sslagent.csr –CA rootCA.pem –CAkey rootCA.key –out sslagent.cert –CAcreateserial

• CA’yı (ancak anahtarı değil) yöneticinin etc klasörüne kopyalayın (eğer orada değilse) ve ossec-authd’yi başlatın. Agent barındırma doğrulamasını etkinleştirmek için -s seçeneğini kullandığımıza dikkat edin:

# (Manager)
cp rootCA.pem /var/ossec/etc
ossec–authd –v /var/ossec/etc/rootCA.pem –s

• Yeni oluşturulan sertifikayı ve anahtarı agentın etc klasörüne kopyalayın ve agent-auth komutunu çalıştırın. Örneğin, sunucunun IP’si 192.168.1.2 ise:

# (Agent)
cp sslagent.cert sslagent.key  /var/ossec/etc
agent–auth –m 192.168.1.2 –x   /var/ossec/etc/sslagent.cert –k /var/ossec/etc/sslagent.key

Ekleme Zorlaması

Varolan bir kayıtta halihazırda listelenen bir IP’yi içeren bir agent’ı eklemeyi denerseniz, ossec-authd bir hata üretmektedir. Eklemeyi zorlamak için -f değişkenini kullanabilirsiniz.

Örnek:

Daha önce bir Wazuh agentını Server1’e IP 10.0.0.10 ve ID 005 ile kurduk ve kaydettik. Daha sonra Server1’i tamamen yeniden yüklememiz gerekti ve şimdi Wazuh agentını Server1’e kurmalı ve yeniden kaydettirmeliyiz. Bu durumda, önceki agentın (005) kaldırılmasına (yedekleme ile) ve yeni bir agentın başarıyla kaydedilmesine neden olan “-f 0″parametresini kullanabiliriz. Yeni agent’ın yeni bir kimliği olacaktır.