Hướng dẫn cài đặt Wazuh Server trên Ubuntu

Wazuh là một nền tảng giám sát an ninh mã nguồn mở, cung cấp khả năng phát hiện xâm nhập, quản lý log và phản ứng sự cố. Trong bài viết này, chúng ta sẽ đi qua các bước cài đặt Wazuh Server trên hệ điều hành Ubuntu.

Wazuh là gì?

Wazuh là một nền tảng mã nguồn mở chuyên về giám sát an ninh mạng, giúp phát hiện xâm nhập, phân tích bảo mật và quản lý log một cách hiệu quả, theo thời gian thực. Được phát triển từ dự án OSSEC, Wazuh đã mở rộng và tích hợp thêm nhiều công nghệ hiện đại như Elasticsearch, Filebeat và Kibana, mang đến giao diện trực quan và khả năng xử lý dữ liệu mạnh mẽ.

Những tính năng nổi bật của Wazuh:

• Phát hiện xâm nhập (IDS/IPS): Wazuh theo dõi hệ thống để phát hiện các hành vi bất thường hoặc nghi ngờ là mối đe dọa, dựa trên các tập luật linh hoạt có thể tùy chỉnh.

• Thu thập và quản lý log: Hệ thống có khả năng thu thập log từ nhiều nguồn khác nhau như máy chủ, ứng dụng và thiết bị mạng, phục vụ cho việc phân tích và giám sát tập trung.

• Kiểm soát tính toàn vẹn tệp (File Integrity Monitoring): Giám sát và cảnh báo khi có sự thay đổi trái phép đối với các tệp quan trọng trong hệ thống.

• Phân tích và cảnh báo bảo mật: Cung cấp báo cáo chuyên sâu và cảnh báo kịp thời về các nguy cơ bảo mật tiềm ẩn, hỗ trợ các đội ngũ an ninh phản ứng nhanh chóng.

• Tích hợp với Elastic Stack: Kết hợp cùng Elasticsearch để lưu trữ dữ liệu log và Kibana để hiển thị trực quan, giúp người dùng dễ dàng theo dõi và phân tích thông tin.

• Khả năng mở rộng linh hoạt: Wazuh hỗ trợ triển khai trên cả môi trường on-premise và cloud, phù hợp với hạ tầng CNTT ở nhiều quy mô và có thể tích hợp với các công cụ bảo mật khác.

Yêu cầu hệ thống

• Hệ điều hành: Ubuntu 20.04 hoặc 22.04

• RAM: Tối thiểu 4GB (khuyến nghị 8GB)

• CPU: Tối thiểu 2 nhân

• Dung lượng đĩa: Tối thiểu 20GB trống

• Quyền truy cập: Quyền root hoặc sudo

Hướng dẫn cài đặt tự động Wazuh Server

Bước 1: Cập nhật hệ điều hành ttoàn bộ gói phần mềm của hệ thống để đảm bảo khả năng tương thích và tránh lỗi trong quá trình cài

sudo apt update && sudo apt upgrade -y

Bước 2: Tải script cài đặt Wazuh để tự động hóa quá trình cài đặt, Wazuh cung cấp một script chính thức giúp thiết lập toàn bộ hệ thống nhanh chóng.

curl -sO https://packages.wazuh.com/4.3/wazuh-install.sh


Bước 3: Cấp quyền và chạy script cài đặt Wazuh sau khi tải xong, cần cấp quyền thực thi cho file script để có thể chạy nó

chmod 700 wazuh-install.sh

Script cài đặt chính thức của Wazuh sẽ tự động thiết lập toàn bộ các thành phần cần thiết để hệ thống hoạt động đầy đủ, bao gồm Wazuh Manager :dùng để xử lý log, phân tích sự kiện và đưa ra cảnh báo, Elasticsearch: để lưu trữ và tìm kiếm log hiệu quả, Filebeat: làm nhiệm vụ thu thập và gửi log từ các thành phần khác đến Elasticsearch và Kibana cung cấp giao diện hiển thị và trực quan hóa dữ liệu bảo mật. Để bắt đầu quá trình cài đặt, bạn chỉ cần chạy lệnh

sudo bash wazuh-install.sh -a

Lưu ý khi sử dụng lệnh -a để cài đặt Wazuh:

Tham số -a sẽ thực hiện cài đặt toàn bộ các thành phần của Wazuh theo mô hình All-in-one. Quá trình này có thể kéo dài vài phút, tùy thuộc vào cấu hình phần cứng và tốc độ kết nối mạng của bạn.

Trong quá trình chạy, script sẽ tự động thực hiện các bước sau:

• Cài đặt đầy đủ các gói phụ thuộc cần thiết.

• Tải xuống và cấu hình các thành phần: Wazuh Manager, Elasticsearch, Filebeat và Kibana.

• Tạo các chứng chỉ SSL cơ bản để bảo đảm các kết nối được mã hóa và an toàn.

• Khởi động tất cả các dịch vụ liên quan để hệ thống sẵn sàng hoạt động.

Sau khi hoàn tất, script sẽ cung cấp thông tin đăng nhập mặc định để bạn có thể truy cập giao diện Wazuh. Bạn có thể xem thông tin này ngay trên màn hình đầu ra của script hoặc trong file ghi log tại đường dẫn:
/var/ossec/logs/wazuh-install-results.log.

Hãy lưu lại các thông tin đăng nhập này để thuận tiện cho việc truy cập và quản lý hệ thống.

Bước 4: Truy cập giao diện Wazuh sau khi cài đặt hoàn tất, bạn có thể truy cập Wazuh thông qua giao diện Kibana bằng cách mở trình duyệt và nhập địa chỉ:

https://<địa_chỉ_IP_máy_chủ>:5601

Kết luận

Việc sử dụng script cài đặt tự động của Wazuh giúp quá trình triển khai Wazuh Server trên Ubuntu trở nên nhanh chóng và dễ dàng hơn. Sau khi cài đặt hoàn tất, bạn có thể bắt đầu theo dõi hệ thống, phân tích các tệp log và phát hiện sớm các mối nguy về bảo mật. Trong trường hợp gặp sự cố, hãy xem chi tiết trong file log tại đường dẫn /var/ossec/logs/ossec.log hoặc truy cập tài liệu hướng dẫn chính thức từ Wazuh để được hỗ trợ.

Chúc bạn cài đặt và sử dụng hệ thống thành công.

Công Ty TNHH VPSMMOCLOUD