😛
安全运营指南
  • 序言
  • 1 序言
    • 1.1 简介
  • 10 主动防御
    • 10 主动防御
  • 11 安全审计
    • audit
    • osquery
    • sysmon
  • 12 告警手段
    • ESalert告警
    • wazuh邮件告警
    • 自定义告警
  • 13 指标可视化
    • grafana
    • kibana
    • splunk
  • 14 SIEM框架
    • clickhouse
    • splunk
  • 15 nids
    • suricata
  • 16 SIEM集成虚拟机
    • misp
    • ossim
    • selks
    • siemonster
    • wazuh
  • 2 wazuh安装配置
    • 2.1 系统架构
    • 2.2 wazuh管理端安装
      • 2.2.1 Centos 7安装
      • 2.2.2 Ubuntu 18.04安装
    • 2.3 wazuh代理端安装
      • 2.3.3 Windows安装
      • 2.3.1 Centos 7安装
      • 2.3.2 Ubuntu 18.04安装
    • 2.4 管理端与代理端通信
      • 2.4.1 LINUX系统通信
      • 2.4.2 Windows系统通信
    • 2.5 puppet批量部署
      • 2.5.1 puppet server安装
      • 2.5.2 wazuh管理端安装
      • 2.5.3 Ubuntu代理端安装
      • 2.5.4 Windows代理端安装
      • 2.5.5 wazuh参数
    • 2.6 ansible批量部署
      • 2.6.1 ansible Linux 安装
      • 2.6.2 ansible windows安装
      • 2.6.3 wazuh参数
    • 2.7 无状态代理
  • 3 日志收集安装配置
    • 3.1 代理端收集日志
      • Linux日志收集
      • windows日志收集
      • 日志收集安装配置
      • 远程日志收集
    • 3.2 EL(F)K安装配置
      • 3.2.4 Logstash
      • 3.2.5 es集群
      • elasticsearch
      • filebeat
      • kibana
    • 3.3 EL(F)K安装配置(开源)
    • 3.4 splunk安装配置
      • 3.3.1 splunk server
      • 3.3.2 splunk wazuh app
      • 3.3.3 splunk forward
    • 3.5 ELK鉴权机制
      • 3.5.1 HTTP认证
      • 3.5.2 HTTPS认证
    • 3.6 wazuh鉴权机制
      • 3.6.1 管理端与代理端通信
      • 3.6.2 wazuhAPI认证
    • 3.7 syslog导出
  • 4 wazuh共享和集群
    • 4.1 wazuh共享
    • 4.2 wazuh集群
  • 5 文件完整性监控
    • 5.1 功能描述
    • 5.2 实战操作
  • 6 异常和恶意软件检测
    • clamav检测
    • VirusTotal检测
    • 本地规则检测
  • 7 安全基线检测
    • 7.1 安全基线简介
    • 7.2 SCA
    • 7.3 openscap
  • 8 命令内容监控
    • 8.1 命令内容监控
  • 9 主机安全漏洞检测
    • 9.1 配置漏洞扫描
由 GitBook 提供支持
在本页

这有帮助吗?

  1. 3 日志收集安装配置
  2. 3.6 wazuh鉴权机制

3.6.1 管理端与代理端通信

wazuh管理端修改配置文件/var/ossec/etc/ossec.conf,找到auth标签,里面有个子标签<use_password>,默认设置为no,即默认管理端与代理端通信是不需要密码。

现在我们需要将它设置为yes就可以通过密码验证通信,保存配置文件,并且重启wazuh管理端服务。

[root@wazuh-manager ~]# /var/ossec/bin/ossec-control restart

重启服务之后,wazuh管理端服务会在文件自动生成一个随机密码,使用以下命令可以查找密码是什么。

[root@wazuh-manager ~]# cat /var/ossec/logs/ossec.log|grep "Random password"|awk -F ":" '{print$6}'
 52c607da583fe53b5603b64100f273d4

当然,咱们也可以不喜欢它生成的随机密码,我们要自己设置,那么就需要去新建一个密码文件,这个密码文件的位置是固定的,位于/var/ossec/etc/authd.pass。

只要往里面第一行写入自己想要的密码,重新启动wazuh管理端服务即可。

[root@wazuh-manager ~]# cat /var/ossec/etc/authd.pass 
123456

由于密码是明文存储的,为了不让其他普通用户访问到密码,需要设置只有root权限才能查看密码文件。

[root@wazuh-manager ~]# chmod 400 /var/ossec/etc/authd.pass

使用agent-auth命令可以进行通信验证,使用-P参数后面加验证密码就可以成功验证通信。

[root@wazuh-centos-agent ~]# /var/ossec/bin/agent-auth -m 192.168.1.200 -P 123456
2021/07/01 10:25:44 agent-auth: INFO: Started (pid: 2086).
2021/07/01 10:25:44 agent-auth: INFO: Requesting a key from server: 192.168.1.200
2021/07/01 10:25:44 agent-auth: INFO: Using agent name as: wazuh-centos-agent
2021/07/01 10:25:44 agent-auth: INFO: Waiting for server reply
2021/07/01 10:25:44 agent-auth: INFO: Valid key received

wazuh代理端需要重启服务。

[root@wazuh-centos-agent ~]# /var/ossec/bin/ossec-control restart
Killing wazuh-modulesd... 
Killing ossec-logcollector... 
Killing ossec-syscheckd... 
Killing ossec-agentd... 
Killing ossec-execd... 
Wazuh v4.1.5 Stopped
Starting Wazuh v4.1.5...
Started ossec-execd...
Started ossec-agentd...
Started ossec-syscheckd...
Started ossec-logcollector...
Started wazuh-modulesd...
Completed.

查看管理端连接情况。

[root@wazuh-manager ~]# /var/ossec/bin/agent_control -l

Wazuh agent_control. List of available agents:
   ID: 000, Name: wazuh-manager (server), IP: 127.0.0.1, Active/Local
   ID: 002, Name: wazuh-centos-agent, IP: any, Active
上一页3.6 wazuh鉴权机制下一页3.6.2 wazuhAPI认证

最后更新于1年前

这有帮助吗?