Instalace a konfigurace Wazuh na Raspberry Pi

Publikováno , autor:
Wazuh

Wazuh je open-source platforma pro detekci narušení (IDS/IPS), monitorování bezpečnosti, řízení shody (compliance) a analýzu logů.
V praxi funguje podobně jako nástroje typu Splunk nebo Elastic Security, ale je zcela zdarma.
Skládá se ze tří hlavních částí:

  • Wazuh Manager – přijímá a vyhodnocuje logy z agentů
  • Wazuh Agent – běží na koncových zařízeních (např. Raspberry Pi, serverech, PC)
  • Wazuh Dashboard – webové rozhraní pro analýzu a správu alertů

Na Raspberry Pi 5 lze Wazuh využít např. pro:

  • lokální SIEM systém pro domácí síť,
  • monitorování logů z Linuxových zařízení,
  • detekci anomálií a útoků,
  • sběr telemetrie z bezpečnostních nástrojů (firewally, honeypoty, atd.).

Instalace Wazuh na Raspberry Pi

Níže je návod pro Raspberry Pi OS Bookworm (64-bit).

Aktualizace systému

sudo apt update && sudo apt upgrade -y
sudo reboot

Instalace závislostí

sudo apt install curl apt-transport-https unzip gnupg -y

Instalace Wazuh Agent (pro připojení k Wazuh serveru)

Přidej repozitář Wazuh a nainstaluj agenta:

curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | sudo apt-key add -
echo "deb https://packages.wazuh.com/4.x/apt stable main" | sudo tee /etc/apt/sources.list.d/wazuh.list
sudo apt update
sudo apt install wazuh-agent -y

Konfigurace agenta

Uprav konfigurační soubor:

sudo nano /var/ossec/etc/ossec.conf

Najdi sekci <client> a doplň IP adresu svého Wazuh serveru:

<client>
  <server>
    <address>192.168.1.10</address> <!-- IP adresa Wazuh serveru -->
    <port>1514</port>
    <protocol>tcp</protocol>
  </server>
</client>

Aktivace a spuštění agenta

sudo systemctl enable wazuh-agent
sudo systemctl start wazuh-agent
sudo systemctl status wazuh-agent

Pokud je připojení funkční, agent se po chvíli objeví v Wazuh DashboarduAgents > Manage Agents.

Lokální Wazuh Manager na Raspberry Pi

Pokud chceš mít celý systém Wazuh přímo na Raspberry Pi 5 (bez centrálního serveru), můžeš nainstalovat kompletní stack (manager + indexer + dashboard) pomocí Dockeru:

curl -sO https://packages.wazuh.com/4.8/wazuh-install.sh
sudo bash wazuh-install.sh -a

Po instalaci bude webové rozhraní dostupné na adrese:
https://<IP_RaspberryPi>:5601

Výchozí přihlašovací údaje:

uživatel: admin
heslo: SecretPassword

Konfigurace a využití

  • Monitorování logů: automaticky se sbírají z /var/log/.
  • Bezpečnostní pravidla: definována v /var/ossec/rules/.
  • Integrace: lze napojit na Suricatu, Zeek, syslog, či externí API.
  • Notifikace: alerty lze odesílat přes e-mail, Slack nebo webhook.
Wazuh Dashboard umožňuje:
  • sledovat detekované útoky a podezřelé události,
  • zobrazovat grafy CPU/RAM/využití sítě,
  • auditovat přihlášení a systémové změny,
  • spravovat stovky agentů z jednoho místa.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *