O que é o Wazuh e Por Que Deve Usá-lo?

O Wazuh é uma plataforma de segurança de código aberto que fornece deteção de intrusões, monitorização de integridade, resposta a incidentes e auditoria de conformidade. A sua versatilidade torna-o ideal tanto para pequenas empresas quanto para grandes corporações. Além disso, sendo de código aberto, o Wazuh é completamente gratuito e permite modificações para atender a quaisquer necessidades específicas.

Preparações Iniciais Antes da Instalação

Antes de mergulhar na instalação do Wazuh, é crucial que prepare o seu sistema. Isso envolve garantir que o sistema operativo esteja atualizado e configurar o ambiente para suportar a instalação do Wazuh através do Docker. Eis como fazer isso:

Primeiro, é necessário desativar o firewall para impedir que interfira no processo de instalação. Para fazer isso, simplesmente execute no terminal:

ufw disable

Este comando desativará o firewall, garantindo que ele não bloqueie nenhuma das conexões necessárias durante a instalação.

Em seguida, deve garantir que todos os pacotes do sistema estejam atualizados e que o git esteja instalado, pois precisará dele para clonar o repositório do Wazuh. Execute:

apt update && apt install git

Com estes comandos, o seu sistema estará atualizado e pronto para a próxima fase.

Instalando o Docker

O Wazuh no Docker simplifica a gestão de dependências e garante que a plataforma possa funcionar de forma isolada e segura. Para instalar o Docker, pode usar o script fornecido pelo Docker, que configura tudo automaticamente:

curl -sSL https://get.docker.com/ | sh

Uma vez instalado o Docker, é essencial garantir que ele seja executado automaticamente na inicialização do sistema:

systemctl start docker
systemctl enable docker

Estes comandos iniciarão o serviço Docker e configurá-lo-ão para iniciar automaticamente a cada arranque do sistema.

Docker Compose

Se instalar o Docker conforme indicado anteriormente, não precisa instalar esta ferramenta, mas se já tem o Docker e ele não suporta “docker compose”, pode instalar o docker-compose assim:

curl -L "https://github.com/docker/compose/releases/download/v2.12.2/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose
chmod +x /usr/local/bin/docker-compose

Os comandos seguintes que têm “docker compose” devem ser executados como docker-compose.

Configurando o Ambiente Wazuh

Com o Docker já configurado, o próximo passo é preparar o ambiente específico para o Wazuh. Dirija-se ao diretório ótimo para manter organizados os ficheiros relacionados à segurança:

cd /opt

Agora, é hora de clonar a versão mais recente do repositório Wazuh para Docker:

git clone https://github.com/wazuh/wazuh-docker.git -b v4.7.3

Este comando baixa todos os ficheiros necessários para executar o Wazuh num contêiner Docker.

Gerando Certificados e Iniciando o Wazuh

Antes de iniciar o Wazuh, deve gerar os certificados necessários para o bom funcionamento dos componentes do Wazuh. Navegue até o diretório correto e execute o gerador de certificados:

cd wazuh-docker/single-node/
docker compose -f generate-indexer-certs.yml run --rm generator

Com os certificados gerados, agora está pronto para iniciar todos os serviços Wazuh:

docker compose up -d

Este último comando levanta todos os contêineres necessários para o Wazuh operar corretamente num modo de único nó, ideal para ambientes de teste ou implementações pequenas.

Verificação da Instalação

Uma vez concluídos todos os passos anteriores, é importante verificar que tudo está a funcionar conforme esperado. Pode verificar o estado dos contêineres Docker para garantir que todos os serviços Wazuh estão ativos e a funcionar. Além disso, aceda à interface web do Wazuh para começar a explorar as funcionalidades e configurações disponíveis.

Personalização e Monitorização

Com o seu servidor Wazuh agora operacional, o próximo passo é personalizar a configuração para adaptá-la às suas necessidades específicas. O Wazuh oferece uma grande variedade de opções para configurar regras, alertas e respostas automáticas a incidentes. Aproveite a documentação disponível para explorar todas as possibilidades que o Wazuh oferece.

Instalar e configurar o seu próprio servidor Wazuh pode parecer uma tarefa complexa, mas seguindo estes passos, terá um sistema robusto de segurança informática sem necessidade de grandes investimentos. Não só melhorará a segurança da sua informação, mas também lhe fornecerá uma ferramenta poderosa para monitorizar e responder proativamente a qualquer incidente.

Mudança de Senha do Wazuh

Pare o serviço usando o Docker Compose:

docker compose down

Gerar o hash da nova senha usando o contêiner Wazuh:

Execute o seguinte comando para iniciar o script de hash:

docker run --rm -ti wazuh/wazuh-indexer:4.6.0 bash /usr/share/wazuh-indexer/plugins/opensearch-security/tools/hash.sh

Digite a nova senha quando solicitado e copie o hash gerado.

Atualize o ficheiro de utilizadores internos com o hash da nova senha:

Abra o ficheiro com um editor de texto como o vim:

vim config/wazuh_indexer/internal_users.yml

Cole o hash gerado para o utilizador admin.

Atualize o ficheiro docker-compose.yml com a nova senha:

Abra o ficheiro docker-compose.yml:

vim docker-compose.yml

Digite a nova senha nas linhas 24 e 81 onde diz INDEXER_PASSWORD.

Levante os serviços novamente com o Docker Compose:

docker compose up -d

Isso reinicia a pilha de serviços.

Acesse o contêiner e execute o script de segurança:

Acesse o contêiner:

docker exec -it single-node-wazuh.indexer-1 bash

Defina as variáveis e execute o script de segurança:

export INSTALLATION_DIR=/usr/share/wazuh-indexer
CACERT=$INSTALLATION_DIR/certs/root-ca.pem
KEY=$INSTALLATION_DIR/certs/admin-key.pem
CERT=$INSTALLATION_DIR/certs/admin.pem
export JAVA_HOME=/usr/share/wazuh-indexer/jdk
bash /usr/share/wazuh-indexer/plugins/opensearch-security/tools/securityadmin.sh -cd /usr/share/wazuh-indexer/opensearch-security/ -nhnv -cacert $CACERT -cert $CERT -key $KEY -p 9200 -icl

Saia do contêiner:

exit

Este processo permite-lhe atualizar a senha do admin para o Wazuh usando o Docker, assegurando que segue todos os passos corretamente para garantir que as alterações sejam eficazes.

La entrada Instale o Seu Próprio Servidor Wazuh no Ubuntu se publicó primero en Aprende IT.

Compreendendo a Importância da Segurança do Docker
Antes de nos aprofundarmos no mundo do Docker e na sua segurança, é fundamental perceber porque é tão crítico. O Docker revolucionou a forma como implantamos aplicações, tornando o processo mais eficiente. No entanto, como qualquer tecnologia, não está isento de vulnerabilidades. Um contentor Docker mal configurado pode ser uma porta de entrada para cibercriminosos. E como todos sabemos, mais vale prevenir do que remediar.

O Princípio do Mínimo Privilégio
Para começar, falemos do princípio do mínimo privilégio. É uma regra de ouro na segurança informática. A ideia é dar aos programas e processos apenas os privilégios de que realmente necessitam para desempenhar as suas funções. Nada mais.

No contexto do Docker, isso significa que deves evitar correr contentores com privilégios de root a menos que seja absolutamente necessário. Se um atacante conseguir aceder a um contentor com privilégios de root, poderia potencialmente controlar todo o sistema anfitrião. Por isso, sempre que possível, limita esses privilégios.

Imagens de Confiança
Agora, foquemo-nos nas imagens. São a base dos nossos contentores. Mas de onde as retiras? Nem todas as imagens disponíveis no Docker Hub são seguras. Algumas podem ter vulnerabilidades conhecidas ou até malware escondido.

Recomendo que utilizes apenas imagens de fontes fidedignas. Se possível, opta por imagens oficiais ou de fornecedores reconhecidos. E se decidires construir as tuas próprias imagens, certifica-te de que as manténs atualizadas e que segues boas práticas de segurança no seu design.

Análise de Vulnerabilidades
Vamos falar de ferramentas! Atualmente, existem soluções específicas para analisar contentores Docker em busca de vulnerabilidades. Estas ferramentas podem identificar problemas nas imagens antes de serem implantadas. É uma abordagem proativa para lidar com os riscos.

Aconselho-te a integrar estas análises no teu processo de integração e entrega contínua. Assim, sempre que preparares uma nova versão da tua aplicação, podes estar certo de que os contentores estão limpos e prontos para a ação.

Redes e Comunicações
Outro aspeto crucial é a rede. O Docker permite criar redes virtuais para que os teus contentores se comuniquem entre si. No entanto, nem todos os contentores devem comunicar-se entre si. Aliás, em muitos casos, é preferível que estejam isolados.

Ao familiarizares-te com as redes Docker, podes configurá-las para que apenas determinados contentores tenham acesso a outros. Isso reduz a superfície de ataque e limita o movimento lateral de eventuais intrusos.

Atualizações Regulares
Uma coisa que nunca deve faltar na tua rotina de segurança são as atualizações. Manter o Docker, os teus contentores, e as aplicações que neles correm atualizadas é vital. As atualizações não só trazem novas funcionalidades, mas também corrigem vulnerabilidades.

Por isso, mantém-te sempre atento às notícias e atualizações do mundo Docker. Se surgir uma vulnerabilidade crítica, vais querer estar entre os primeiros a resolvê-la.

Limita o Acesso
Por último, mas não menos importante, limita o acesso aos teus contentores. Nem todos na tua organização precisam de aceder a todas as funcionalidades do Docker. Define papéis e permissões e concede-os de forma prudente. E, claro, garante que qualquer acesso é protegido por autenticação robusta e, se possível, multi-fator.

Então, o que achaste desta viagem pela segurança do Docker? Espero que tenhas encontrado útil e que ponhas em prática estas recomendações. A cibersegurança é uma tarefa contínua que requer atenção e cuidado da nossa parte. Mas com as ferramentas certas e as melhores práticas, podes descansar sabendo que os teus contentores Docker estão bem protegidos. Até à próxima!

La entrada Segurança de Contentores Docker: Melhores Práticas e Recomendações se publicó primero en Aprende IT.

Neste artigo, vou-te fornecer uma série de dicas práticas para otimizares os teus desdobramentos no Kubernetes, o sistema de orquestração de contentores que está a revolucionar a maneira como as empresas gerem as suas aplicações na nuvem.

Aperfeiçoa as tuas Habilidades de Manobra: Elabora um Plano de Desdobramento Eficaz

Não se pode negar a importância de ter um plano de desdobramento eficaz. Se começas a correr sem um plano claro, podes enfrentar vários desafios e possíveis erros. Desenha cuidadosamente a tua estratégia de desdobramento, compreendendo o estado do teu cluster, as dependências das tuas aplicações e como esperas que as tuas aplicações se comportem uma vez que estejam em produção.

Autópsia aos teus Fracassos: Aprende com o Feedback e os Erros

Kubernetes, como qualquer outra plataforma, tem uma curva de aprendizagem. Nem tudo vai correr como planeaste. Quando algo corre mal, tira algum tempo para analisar e entender o que aconteceu. Este feedback permitirá que faças ajustes e previne que os mesmos erros se repitam no futuro. Lembra-te, no mundo do desenvolvimento, os erros não são falhas, mas oportunidades de aprendizagem.

Fá-lo à tua maneira: Personaliza os teus Desdobramentos

Kubernetes é altamente personalizável. Aproveita esta flexibilidade para adaptar os teus desdobramentos às tuas necessidades específicas. Podes configurar aspetos como o número de réplicas, políticas de reinício, variáveis de ambiente, volumes e muitos outros aspetos. Experimenta com diferentes configurações até encontrares a que melhor se adapta às tuas necessidades.

É uma questão de confiança: Realiza Testes de Carga e Resistência

Uma vez que configuraste o teu desdobramento, é importante verificar se ele vai funcionar conforme esperado em diferentes condições de carga. Realizar testes de carga e resistência permitir-te-á identificar pontos fracos no teu desdobramento e fazer os ajustes necessários para garantir a sua estabilidade e desempenho.

Não desistas ao primeiro: Usa Técnicas de Desdobramento Gradual

O desdobramento gradual é uma técnica que te permite lançar novas funcionalidades ou alterações a uma pequena percentagem de utilizadores antes de as implementares em todo o sistema. Isto pode ajudar-te a detetar problemas e resolvê-los antes de afetarem todos os utilizadores. Kubernetes facilita este tipo de desdobramentos com conceitos como desdobramentos canary e desdobramentos azul-verde.

Mantém a calma e monitoriza: Usa Ferramentas de Monitorização

A monitorização é essencial para manter os teus desdobramentos no Kubernetes saudáveis e a funcionar corretamente. Existem muitas ferramentas de monitorização disponíveis que te dão uma visão clara de como as tuas aplicações estão a comportar-se em tempo real. Esta monitorização pode ajudar-te a identificar rapidamente problemas e a tomar medidas corretivas.

Fala a sua língua: Aprende e Usa a Linguagem do Kubernetes

Para tirares o máximo partido do Kubernetes, é importante compreender e usar a sua linguagem. Conhece os diferentes componentes do Kubernetes e como eles interagem uns com os outros. Isto permitirá que crias desdobramentos mais eficientes e resolvas problemas mais rapidamente quando eles surgem.

Não percas de vista os teus objetivos: Define e Monitoriza Métricas Importantes

Não podes melhorar o que não podes medir. Define as métricas que são importantes para o teu desdobramento, como a utilização de CPU, memória, latência de rede, entre outras. Em seguida, usa ferramentas de monitorização para acompanhares estas métricas e fazeres os ajustes necessários nos teus desdobramentos.

Constrói um Forte Perímetro de Segurança: Protege os teus Desdobramentos

A segurança deve ser uma prioridade em qualquer desdobramento no Kubernetes. Deves garantir que as tuas aplicações estão seguras e que os teus dados estão protegidos. Isto pode implicar a configuração de políticas de rede, a gestão de certificados SSL, a restrição dos privilégios das aplicações, entre outras medidas de segurança.

Mantém os teus Sistemas Atualizados: Usa a Última Versão do Kubernetes

Finalmente, certifica-te de que usas a última versão do Kubernetes. Cada nova versão traz melhorias de desempenho, correções de bugs e novas funcionalidades que podem ajudar-te a otimizar os teus desdobramentos. Não fiques para trás e atualiza os teus clusters de Kubernetes regularmente.

Em resumo, otimizar os teus desdobramentos no Kubernetes pode parecer uma tarefa assustadora, mas com estas dicas, estás um passo mais perto de o fazer com confiança e eficiência. Portanto, mãos à obra, tenho a certeza de que consegues fazer isto!

La entrada Domina Kubernetes: Dez Dicas Eficazes para Melhorar os teus Desdobramentos se publicó primero en Aprende IT.

La entrada Otimização do Desempenho de Contêineres Docker: Dicas Práticas para Melhor Performance se publicó primero en Aprende IT.

Compreendendo o Docker e os contentores

Antes de nos aprofundarmos nas complexidades da depuração, é bom esclarecer brevemente o que é o Docker e por que os contentores são tão relevantes no desenvolvimento moderno de aplicações. O Docker é uma ferramenta que permite aos desenvolvedores como tu, empacotar aplicações e suas dependências em contentores. Estes contentores são leves e portáteis, permitindo-te executar as tuas aplicações em qualquer sistema operativo que suporte Docker, sem te preocupares com tarefas de configuração tediosas.

Ferramentas para depuração no Docker

Depurando a partir do host

Primeiro, vamos falar sobre como podes depurar as tuas aplicações a partir do mesmo host onde o contentor Docker está a ser executado. Isto é útil em situações em que queres acompanhar o que está a acontecer na tua aplicação em tempo real, sem a necessidade de aceder ao contentor.

Podes utilizar ferramentas como docker logs, que te permite visualizar os logs das tuas aplicações em tempo real. Além disso, podes usar docker top para ver os processos que estão a ser executados dentro do teu contentor. Isto permite-te ver o que está a consumir recursos e se há algum processo que não deveria estar a ser executado.

Acedendo ao contentor

Ocasionalmente, precisarás aceder diretamente ao contentor para depurar a tua aplicação. O Docker permite que faças isso usando o comando docker exec, que te permite executar comandos dentro do teu contentor como se estivesses no sistema operativo host.

Uma vez dentro do contentor, poderás usar as ferramentas de depuração instaladas na tua imagem. Por exemplo, se estiveres a trabalhar com uma aplicação em Python, poderias usar o pdb para depurar o teu código.

Depurando com Docker Compose

O Docker Compose é outra ferramenta que será útil na depuração das tuas aplicações. O Docker Compose permite-te definir e executar aplicações multi-contentor com uma simples descrição num ficheiro YAML.

Tal como com o Docker, podes aceder aos logs das tuas aplicações com docker-compose logs, e também podes aceder ao contentor com docker-compose exec.

Técnicas para depurar aplicações no Docker

Depuração em tempo de execução

A depuração em tempo de execução permite-te inspecionar o estado da tua aplicação enquanto ela está a ser executada. Podes fazer isto usando ferramentas como pdb (para Python) ou gdb (para C/C++) dentro do teu contentor.

Estas ferramentas permitem-te colocar pontos de parada no teu código, inspecionar variáveis e avançar passo a passo na execução da tua aplicação, permitindo-te ver exatamente o que está a acontecer a cada momento.

Depuração post-mortem

A depuração post-mortem é realizada depois de a tua aplicação ter falhado. Isto permite-te inspecionar o estado da tua aplicação no momento da falha.

A depuração post-mortem é especialmente útil quando te deparas com erros intermitentes ou difíceis de reproduzir. Nestes casos, podes configurar a tua aplicação para gerar um dump de memória em caso de falha, que poderás analisar mais tarde para encontrar o problema.

Tracing e Profiling

Outra técnica útil na depuração de aplicações no Docker é o tracing e profiling. Isto permite-te obter informações detalhadas sobre a execução da tua aplicação, como o tempo que cada função demora a executar ou a utilização da memória.

Existem várias ferramentas que te permitem fazer tracing e profiling das tuas aplicações no Docker, como strace (para sistemas baseados em Linux) ou DTrace (para sistemas baseados em Unix).

Dicas finais

Antes de terminar, gostaria de te dar algumas dicas para tornar a tua experiência de depuração de aplicações no Docker o mais suave possível:

• Certifica-te de que tens uma boa compreensão de como funciona o Docker. Quanto melhor entenderes o Docker, mais fácil será depurar as tuas aplicações.
• Familiariza-te com as ferramentas de depuração disponíveis para a tua linguagem de programação.
• Não te esqueças da importância de ter bons logs. Um bom sistema de logs pode ser o teu melhor aliado ao depurar problemas nas tuas aplicações.
• Usa Docker Compose para orquestrar as tuas aplicações multi-contentor. Isto facilitará a tarefa de depurar problemas que surjam da interação entre vários contentores.

Em resumo, depurar aplicações em contentores Docker pode ser uma tarefa complexa, mas com as ferramentas e técnicas adequadas, poderás fazê-lo de maneira eficiente e eficaz. Lembra-te, a prática leva à perfeição, por isso não te frustres se parecer complicado no início. Força e vamos à depuração!

La entrada Como depurar aplicações em contentores Docker: O teu guia definitivo se publicó primero en Aprende IT.

La entrada Microserviços e Contentores: Como Transformar a Tua Arquitetura de Software se publicó primero en Aprende IT.

La entrada Conhece as principais diferenças entre o Docker e outras plataformas de contentores? se publicó primero en Aprende IT.

La entrada Descobre como os contentores estão a transformar a forma como desenvolvemos, empacotamos e implantamos aplicações se publicó primero en Aprende IT.

Em Dockerfiles, a encomenda é muito importante. Por exemplo, não é a mesma coisa executar uma instrução COPY ou ADD para adicionar um ficheiro executável e depois executá-lo do que tentar executá-lo antes de o adicionar. Isto parece óbvio mas é um dos principais erros que fazem com que um Dockerfile não funcione correctamente quando se tenta criar uma imagem a partir dele.

Iluminar a imagem apagando ficheiros

Sempre que criar uma imagem, lembre-se de apagar ficheiros temporários de que não necessita ao executar a aplicação, pois isso poupará espaço em disco. Por exemplo, se descarregar um ficheiro comprimido para executar a aplicação, descomprimir o seu conteúdo e este conteúdo é o que irá utilizar, deverá apagar o ficheiro comprimido para tornar a imagem mais leve.

Reduzir o número de ficheiros

Evitar a instalação de pacotes desnecessários. Se não o fizer, poderá ter um maior consumo de memória e disco com a imagem que está a criar e poderá também ter mais problemas de segurança, pois terá de manter e actualizar estes ficheiros em cada versão.

Evite incluir ficheiros que não deve usar “.dockerignore”.

Evite incluir ficheiros que não devem ser incluídos, tais como ficheiros contendo dados pessoais, utilizando ficheiros “.dockerignore”. Estes ficheiros são semelhantes aos ficheiros “.gitignore” e com algumas linhas podemos evitar a filtragem de informação.

Especifica a versão da imagem de base e as dependências

É importante utilizar versões concretas e não utilizar imagens de base e dependências sem especificar uma versão. A não especificação de versões pode levar a bugs imprevistos que são difíceis de localizar.

Usar a imagem de base correcta

É importante utilizar as menores imagens de base possíveis, tais como Alpine ou Busybox, sempre que possível. Por outro lado, é possível que com algumas aplicações precisemos de imagens específicas para que a aplicação funcione, neste caso não há muito mais a comentar, utilizá-las.

Finalmente, sempre que possível utilizar imagens de base oficiais, isto evitará problemas tais como a utilização de imagens com malware incorporado.

Reutilização de imagens

Se todas as imagens em execução nos seus anfitriões forem baseadas no Ubuntu:20.04 por exemplo, a utilização desta imagem base pode poupar-lhe mais espaço em disco do que a utilização de uma pequena imagem como Alpine ou Busybox, uma vez que já tem a outra imagem guardada no disco.

La entrada Melhores práticas de construção de imagens com Dockerfiles se publicó primero en Aprende IT.

Então porquê “perder tempo” a passar a aplicação para contentores?

Quando preparamos uma aplicação para correr em contentores, não estamos a perder tempo. Pelo contrário, estamos a poupar tempo no futuro.

Deixe-me explicar, quando uma aplicação está preparada para funcionar em contentores, estamos a tornar a aplicação mais independente de um sistema porque podemos actualizar o sistema onde os contentores funcionam sem afectar a aplicação e, pelo contrário, podemos actualizar a imagem da aplicação sem afectar o sistema base. Por conseguinte, fornecemos uma camada de isolamento à aplicação.

É importante notar que a imagem que preparamos para a candidatura deve estar em conformidade com as normas da OCI ou Open Container Initiative (como pode ser verificado em https://opencontainers.org/ ), ou seja, a imagem está em conformidade com a OCI, podemos executar a imagem da nossa aplicação em todas as rotinas compatíveis, tais como:

• Docker
• Containerd
• Cri-o
• Rkt
• Runc

Bem, o que mais ganhamos em ter a aplicação pronta a correr num contentor?

Para além do acima referido, podemos tirar partido das rotinas anteriores e gestores autónomos como o Docker com orquestradores como os orquestradores:

• Docker-swarm (não é o mais utilizado)
• Kubernetes (o derradeiro orquestrador)

Este tipo de orquestrador oferece grandes vantagens para a nossa aplicação, tais como alta disponibilidade, escalabilidade, monitorização, flexibilidade, etc. Fornecem uma camada extra de abstracção que facilita a gestão de redes, volumes, gestão de instâncias, e tudo relacionado com a gestão de contentores.

Por exemplo, utilizando Kubernetes pode ter uma aplicação em produção e tê-la à escala baseada na utilização de CPU ou RAM. Pode também certificar-se de que há um certo número de casos. E, mais importante ainda, é possível deslocar-se sem causar um desastre, gerindo muito rapidamente um rollback, se necessário.

Conclusões

Há apenas alguns anos atrás, a indústria em geral só via isto como viável para ambientes não produtivos (excepto para os mais ousados), mas recentemente estamos a assistir a uma adopção cada vez mais generalizada deste tipo de tecnologia. De facto, a grande maioria dos principais actores da tecnologia das nuvens tem serviços relacionados com as nuvens no local.

La entrada Por que razão devemos contêiner as nossas aplicações se publicó primero en Aprende IT.