morfix.ru
Когда стандартная регистрация недостаточна
Wazuh остаётся одним из лучших решений для управления безопасностью и мониторинга инфраструктуры. Однако в сложных корпоративных сетях с полной изоляцией сегментов, воздушными разрывами или специфичными политиками безопасности автоматическая регистрация агентов часто не срабатывает. Именно поэтому знание процесса ручной регистрации становится критически важным навыком для системных администраторов и специалистов в области безопасности.
Подготовка окружения: что нужно проверить перед началом
Прежде чем приступать к регистрации, убедитесь, что выполнены следующие предусловия:
- Сервер Wazuh Manager установлен и работает корректно (проверьте статус сервиса: systemctl status wazuh-manager)
- У вас есть доступ к командной строке хоста Manager с правами администратора
- На целевом хосте (где будет установлен агент) имеется соответствующая ОС с поддерживаемой версией
- Порт 1515 (по умолчанию для регистрации) доступен между Manager и агентом, либо вы знаете используемый порт
- Все брандмауэры и ACL списки настроены для разрешения трафика
Пошаговый процесс ручной регистрации агента
Шаг 1: Генерирование сертификата на сервере Manager
Процесс начинается с создания уникального ключа и сертификата для агента на машине Manager. Выполните команду:
/var/ossec/bin/manage_agents
После запуска интерактивного инструмента выберите пункт (A) для добавления нового агента. Система запросит информацию:
- Имя агента — используйте понятные названия, например web-server-prod-01 или db-server-dc2
- IP-адрес агента — внутренний IP для локальной сети или публичный для удалённых хостов
- ID агента — обычно система предлагает автоматический номер, примите его либо задайте свой
После ввода данных система создаст сертификат и покажет строку подтверждения. Запомните ID агента или скопируйте его — он потребуется на следующих шагах.
Шаг 2: Экспорт ключей агента
Теперь нужно экспортировать необходимые файлы для установки на целевом хосте. Выполните команду:
/var/ossec/bin/manage_agents -e
Система запросит ID агента. Введите значение из предыдущего шага. На выходе вы получите:
- Файл с расширением .key — приватный ключ агента
- Сертификат Manager для верификации подлинности
По умолчанию эти файлы находятся в директории /var/ossec/etc/clientkeys. Их нужно будет передать на целевой хост защищённым способом (SSH, защищённый файловый сервер, шифрованный архив).
Шаг 3: Установка агента на целевой машине
На машине, которую необходимо мониторить, установите пакет агента Wazuh. Для Linux систем команда выглядит так:
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | apt-key add –
echo “deb https://packages.wazuh.com/4.x/apt/ stable main” | tee /etc/apt/sources.list.d/wazuh.list
apt-get update && apt-get install wazuh-agent
Для систем на базе RHEL/CentOS используйте yum, для Windows — загрузите MSI установщик с официального сайта Wazuh.
Шаг 4: Размещение ключей агента в правильных директориях
После установки агента скопируйте экспортированные ключи в соответствующие места:
На Linux:
cp agent-key.key /var/ossec/etc/client.keys
cp manager-cert.crt /var/ossec/etc/client.cert
Правильно установите права доступа:
chown root:wazuh /var/ossec/etc/client.keys /var/ossec/etc/client.cert
chmod 400 /var/ossec/etc/client.keys
chmod 400 /var/ossec/etc/client.cert
На Windows файлы размещаются в C:\Program Files (x86)\ossec-agent\ с соответствующим переименованием.
Шаг 5: Конфигурация параметров подключения
Отредактируйте конфиг-файл агента:
/var/ossec/etc/ossec.conf
В секции <client> убедитесь, что указаны правильные параметры:
- <server ip> — IP адрес или хостнейм Manager
- <port> — порт подключения (1514 для данных, 1515 для регистрации)
- <crypto_method> — установите aes для современных версий
Шаг 6: Запуск и проверка агента
Перезагрузите агент для применения конфигурации:
systemctl restart wazuh-agent
Проверьте статус:
systemctl status wazuh-agent
В логах агента (/var/ossec/logs/ossec.log) должны появиться сообщения об успешном подключении к Manager.
Диагностика и решение типичных проблем
Если агент не подключается, проверьте следующее:
- Сетевая доступность — используйте telnet или nc для проверки связи между хостами на нужном порту
- Синхронизация времени — разница во времени больше 10 минут приведёт к отказу в подключении. Используйте NTP для синхронизации
- Права доступа файлов — неправильные права на ключи приведут к ошибкам при запуске агента
- Версионная совместимость — убедитесь, что версия агента соответствует версии Manager (отличие не должно быть более одной минорной версии)
Практические советы для сложных окружений
Автоматизация процесса: В больших инфраструктурах создайте bash-скрипт, который автоматизирует экспорт ключей, передачу файлов по SSH и их установку на целевых хостах. Это значительно ускорит развёртывание.
Документирование IP-адресов: Ведите реестр всех зарегистрированных агентов с их ID, IP-адресами и функциями. Это поможет при отладке и управлении инфраструктурой.
Резервное копирование конфигов: Перед массовой регистрацией сохраните резервную копию файла /var/ossec/etc/client.keys на Manager — это критический файл всей системы.
Тестирование в изолированной среде: Сначала отработайте процесс ручной регистрации в тестовом окружении, прежде чем применять в production.
Заключение
Ручная регистрация агентов в Wazuh требует внимательности и последовательности, но при соблюдении описанных шагов позволяет гибко интегрировать мониторинг безопасности даже в самые сложные и изолированные сетевые окружения. Этот подход особенно полезен для организаций с высокими требованиями к безопасности и нестандартными архитектурами сетей. Освоив процесс ручной регистрации, вы получите полный контроль над развёртыванием агентов и сможете адаптировать систему мониторинга под специфичные потребности вашей инфраструктуры.