Tabla de contenido
- 1 ¿Qué es Wazuh y por qué deberías usarlo?
- 2 Preparativos iniciales antes de la instalación
- 3 Instalación de Docker
- 4 Docker compose
- 5 Configuración del entorno de Wazuh
- 6 Generación de certificados y puesta en marcha de Wazuh
- 7 Verificación de la instalación
- 8 Personalización y monitorización
- 9 Cambio de password de Wazuh
- 9.1 Generar el hash de la nueva contraseña utilizando el contenedor de Wazuh:
- 9.2 Actualizar el archivo de usuarios internos con el hash de la nueva contraseña:
- 9.3 Actualizar el archivo docker-compose.yml con la nueva contraseña:
- 9.4 Levantar los servicios nuevamente con Docker Compose:
- 9.5 Acceder al contenedor y ejecutar el script de seguridad:
Wazuh se ha convertido en una herramienta esencial para la gestión de la seguridad en sistemas de información. Gracias a su capacidad para detectar intrusiones, asegurar la integridad de los datos y monitorizar la seguridad, muchas empresas y particulares optan por configurar su propio servidor de Wazuh. Aquí te explicaré cómo puedes instalar y configurar tu servidor Wazuh, paso a paso, sin utilizar complicadas listas o enumeraciones.
¿Qué es Wazuh y por qué deberías usarlo?
Wazuh es una plataforma de seguridad de código abierto que proporciona detección de intrusiones, monitorización de integridad, respuesta a incidentes y auditoría de cumplimiento. Su versatilidad lo hace ideal tanto para pequeñas empresas como para grandes corporaciones. Además, al ser de código abierto, Wazuh es completamente gratuito y permite modificaciones para adaptarse a cualquier necesidad específica.
Preparativos iniciales antes de la instalación
Antes de lanzarte a la instalación de Wazuh, es crucial que prepares tu sistema. Esto implica asegurarse de que el sistema operativo esté actualizado y configurar el entorno para que soporte la instalación de Wazuh mediante Docker. Aquí te explicamos cómo:
Primero, es necesario desactivar el firewall para evitar que interfiera en el proceso de instalación. Para esto, simplemente ejecuta en la terminal:
ufw disable
Este comando desactivará el firewall, asegurando que no bloqueará ninguna de las conexiones necesarias durante la instalación.
Después, debes asegurarte de que todos los paquetes del sistema están actualizados y que git está instalado, ya que lo necesitarás para clonar el repositorio de Wazuh. Ejecuta:
apt update && apt install git
Con estos comandos, tu sistema estará actualizado y listo para la siguiente fase.
Instalación de Docker
Wazuh en Docker simplifica la gestión de dependencias y asegura que la plataforma pueda ejecutarse de manera aislada y segura. Para instalar Docker, puedes usar el script proporcionado por Docker, que configura todo automáticamente:
curl -sSL https://get.docker.com/ | sh
Una vez instalado Docker, es esencial que asegures su ejecución automática al iniciar el sistema:
systemctl start docker systemctl enable docker
Estos comandos iniciarán el servicio de Docker y lo configurarán para que se inicie automáticamente en cada arranque del sistema.
Docker compose
Si instalas docker como hemos indicado anteriormente, no es necesario que instales esta herramienta, pero si ya tienes docker y no soporta «docker compose», puedes instalar docker-compose así:
curl -L "https://github.com/docker/compose/releases/download/v2.12.2/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose chmod +x /usr/local/bin/docker-compose
Los siguiente comandos que tengan «docker compose» deben ejecutarse como docker-compose.
Configuración del entorno de Wazuh
Con Docker ya configurado, el siguiente paso es preparar el entorno específico para Wazuh. Dirígete al directorio óptimo para mantener organizados los archivos relacionados con la seguridad:
cd /opt
Ahora, es el momento de clonar la versión más reciente del repositorio de Wazuh para Docker:
git clone https://github.com/wazuh/wazuh-docker.git -b v4.7.3
Este comando descarga todos los archivos necesarios para ejecutar Wazuh en un contenedor Docker.
Generación de certificados y puesta en marcha de Wazuh
Antes de iniciar Wazuh, debes generar los certificados necesarios para el correcto funcionamiento de los componentes de Wazuh. Navega al directorio correcto y ejecuta el generador de certificados:
cd wazuh-docker/single-node/ docker compose -f generate-indexer-certs.yml run --rm generator
Con los certificados generados, ya estás listo para iniciar todos los servicios de Wazuh:
docker compose up -d
Este último comando levanta todos los contenedores necesarios para que Wazuh funcione adecuadamente en un modo de nodo único, ideal para entornos de prueba o pequeñas implementaciones.
Verificación de la instalación
Una vez completados todos los pasos anteriores, es importante verificar que todo esté funcionando como se espera. Puedes comprobar el estado de los contenedores de Docker para asegurarte de que todos los servicios de Wazuh están activos y ejecutándose. Además, accede a la interfaz web de Wazuh para comenzar a explorar las funcionalidades y configuraciones disponibles.
Personalización y monitorización
Con tu servidor de Wazuh ahora en funcionamiento, el siguiente paso es personalizar la configuración para adaptarla a tus necesidades específicas. Wazuh ofrece una gran variedad de opciones para configurar reglas, alertas y respuestas automáticas ante incidentes. Aprovecha la documentación disponible para explorar todas las posibilidades que te ofrece Wazuh.
Instalar y configurar tu propio servidor de Wazuh puede parecer una tarea compleja, pero siguiendo estos pasos podrás tener un sistema robusto de seguridad informática sin necesidad de grandes inversiones. No solo mejorará la seguridad de tu información, sino que también te proporcionará una herramienta poderosa para monitorizar y responder proactivamente a cualquier incidente.
Cambio de password de Wazuh
Detener el servicio usando Docker Compose:
docker compose down
Generar el hash de la nueva contraseña utilizando el contenedor de Wazuh:
Ejecuta el siguiente comando para iniciar el script de hash:
docker run --rm -ti wazuh/wazuh-indexer:4.6.0 bash /usr/share/wazuh-indexer/plugins/opensearch-security/tools/hash.sh
Ingresa la nueva contraseña cuando se te solicite y copia el hash generado.
Actualizar el archivo de usuarios internos con el hash de la nueva contraseña:
Abre el archivo con un editor de texto como vim:
vim config/wazuh_indexer/internal_users.yml
Pega el hash generado para el usuario admin.
Actualizar el archivo docker-compose.yml con la nueva contraseña:
Abre el archivo docker-compose.yml:
vim docker-compose.yml
Ingresa la nueva contraseña en las líneas 24 y 81 donde dice INDEXER_PASSWORD.
Levantar los servicios nuevamente con Docker Compose:
docker compose up -d
Esto reinicia la pila de servicios.
Acceder al contenedor y ejecutar el script de seguridad:
Accede al contenedor:
docker exec -it single-node-wazuh.indexer-1 bash
Define las variables y ejecuta el script de seguridad:
export INSTALLATION_DIR=/usr/share/wazuh-indexer CACERT=$INSTALLATION_DIR/certs/root-ca.pem KEY=$INSTALLATION_DIR/certs/admin-key.pem CERT=$INSTALLATION_DIR/certs/admin.pem export JAVA_HOME=/usr/share/wazuh-indexer/jdk bash /usr/share/wazuh-indexer/plugins/opensearch-security/tools/securityadmin.sh -cd /usr/share/wazuh-indexer/opensearch-security/ -nhnv -cacert $CACERT -cert $CERT -key $KEY -p 9200 -icl
Sal del contenedor:
exit
Este proceso te permite actualizar la contraseña de administrador para Wazuh utilizando Docker, asegurándote de seguir correctamente todos los pasos para garantizar que los cambios sean efectivos.