Wazuh nedir?
Wazuh, ölçeklenebilir, multi platformu, açık kaynaklı bir host-tabanlı intrusion detection (HIDS) sistemidir. Güçlü bir korelasyon ve analiz motoru olan OSSEC’in bir forku olarak doğmuştur. Elastic Stack ve OpenSCAP ile entegre edilerek daha kapsamlı bir çözüm haline gelmiştir. Wazuh, Log analizi, dosya bütünlüğü denetimi (file integrity checking), Windows kayıt defteri izleme (Windows registry monitoring), rootkit tespiti, gerçek zamanlı uyarı ve aktif response yapısına sahip olmakla birlikte Linux, OpenBSD, FreeBSD, dahil olmak üzere MacOS, Solaris ve Windows gibi çoğu işletim sistemlerinde çalışmaktadır.
Wazuh nasıl kurulur?
Wazuh kurulumu için aşağıdaki scriptten yararlanabiliriz.
curl -sO https://packages.wazuh.com/4.3/wazuh-install.sh && sudo bash ./wazuh-install.sh -a
Kurulum aşamalarında ekranı takip ederseniz kurulumu sorunsuz halletmiş olursunuz.
Pardus da kurulum yapmak için repoya aşağıdaki satırı ekleyelim.
deb [trusted=yes] https://updates.atomicorp.com/channels/atomic/debian bullseye/amd64/
Pardus da kurulum yaparken ilk önce wazuh agent i kurup daha sonra wazuh server ı kurmamız gerekiyor.
Kurulum bittikten sonra size admin şifresini verecektir. Not almayı unutmayın.
Wazuh mail atma işlemi
Wazuh alert oluşturduğunda mail atmasını istiyorsak sendmail gibi bir smtp relay kurmalıyız. Sendmail kurulumunu yaptıktan sonra postfix conf dosyasına aşağıdaki ayarları eklemelisiniz.
smtp_tls_CApath=/etc/ssl/certs
smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination
myhostname = localhost
relayhost = [smtp.yandex.com.tr]:587
smtp_use_tls = yes
compatibility_level = 2
mydestination = pardus.localdomain, localhost.localdomain, localhost
mynetworks = 127.0.0.1/32 10.0.16.32/32 [::1]/128 [fe80::8e89:a5ff:fe20:3446]/128
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
inet_protocols = all
smtp_sasl_auth_enable=yes
smtp_sasl_security_options = noanonymous
smtp_sasl_password_maps = hash:/etc/postfix/sasl/sasl_passwd
smtp_tls_security_level = encrypt
smtp_tls_CAfile = /etc/postfix/private/yandex.crtAşağıdaki komut ile yandex mailin sertifika bilgilerini kayıt edebilirsiniz.
openssl s_client -starttls smtp -crlf -connect smtp.yandex.com.tr:25
Yandex üzerinden mail atabilmek için mail adresimizi ve şifremizi bir dosyaya kayıt ediyoruz. Yandex mail şifresi için mailinize giriş yaptıktan sonra ayarlardan uygulama şifresi oluşturup onu ayar dosyasına yazmalısınız.
/etc/postfix/sasl/sasl_passwd
[smtp.yandex.com.tr]:587 [email protected]:sifrenerdeburda
#Şifreyi kayıt ettikten sonra aşağıdaki komutları çalıştıralım.
postmap /etc/postfix/sasl/sasl_passwd
sudo chown root:root /etc/postfix/sasl/sasl_passwd /etc/postfix/sasl/sasl_passwd.db
sudo chmod 0600 /etc/postfix/sasl/sasl_passwd /etc/postfix/sasl/sasl_passwd.dbAyarlarımız bitti. Wazuh üzerinden mail atmak için wazuh conf dosyasında bulunan mail_to ve mail_from alanlarını dolduruyoruz. Daha sonra Wazuh hangi oluşturduğu alert de mail atmasını istiyorsak onun numarasını yazıyoruz.
<3