تقديم LeadOcean: توليد العملاء المحتملين بالذكاء الاصطناعي، بيانات منتقاة، توسع سهل
Sales

ما هو Wazuh؟ كيف تقوم بتثبيت Wazuh على Debian؟

Fatih Çevik

Fatih Çevik

بلس كلاودز أوثر

Wat is Wazuh? Hoe installeer je Wazuh op Debian?

نقوم بالكشف، ومراقبة النزاهة، والاستجابة للحوادث، والامتثال لحل مراقبة الأمان المجاني، مفتوح المصدر والمجهز للمؤسسات. عندما يتم تثبيت وكلاء Wazuh على نقاط النهاية في الشبكة، يحصل المرء على رؤية لما يحدث على تلك النقاط (المضيفين). يمكن أن يعمل على أنظمة التشغيل Linux وWindows وMacOS.


يمكن دمج Wazuh مع Elastic Stack وOpenSCAP لتقديم حل أكثر شمولاً. عندما يتم دمجه واستخدامه، يصبح حلاً لمراقبة الأمان أكثر شمولاً ومناسباً للمؤسسات. مع إمكانيات Wazuh، يمكنك تنفيذ عمليات تحكم مختلفة، مثل الثغرات في نظامك، الوصول غير المصرح به، تحليل السجلات، الكشف عن التهديدات، مراقبة النزاهة، الاستجابة للحوادث، مراقبة الامتثال، فحص نزاهة الملفات، مراقبة السياسات، الكشف عن rootkit، مراقبة سجل Windows، التنبيهات في الوقت الحقيقي والاستجابة النشطة.


ما هو OpenSCAP؟



OpenSCAP هو مترجم يُستخدم لفحص تكوينات النظام وتحديد التطبيقات الضعيفة، باستخدام OVAL (لغة تقييم الثغرات المفتوحة) وXCCDF (تنسيق وصف قائمة التكوين القابلة للتمديد).

ما هو Elastic Stack؟



Elastic Stack هو حزمة برمجيات تُستخدم لجمع وتحليل وفهرسة وتخزين والبحث وعرض بيانات السجلات. يتكون Elastic Stack من ثلاثة مشاريع مفتوحة المصدر شهيرة لإدارة السجلات: Elasticsearch وLogstash وKibana. معاً، ينشئون واجهة مستخدم في الوقت الحقيقي لتنبيهات Wazuh. يأتي تكامل Elastic Stack مع Wazuh مع لوحات معلومات جاهزة للامتثال لـ PCI DSS ومعايير CIS (مركز أمن الإنترنت).

الآن بعد أن حصلنا على فكرة عن Wazuh والخدمات الأخرى، يمكننا المضي قدماً في تثبيت وتكوين Wazuh على Debian.


1. إضافة مستودع Wazuh



1. أولاً، نبدأ بتثبيت الحزم المطلوبة.

apt install curl apt-transport-https unzip wget libcap2-bin software-properties-common lsb-release gnupg


2. بعد تثبيت الحزم، يجب علينا تثبيت مفتاح GPG (حارس الخصوصية GNU، بديل لـ PGP تحت رخصة GPL).

curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | apt-key add -


3. نضيف المستودع المطلوب.

echo "deb https://packages.wazuh.com/4.x/apt/ stable main" | tee -a /etc/apt/sources.list.d/wazuh.list


4. في الخطوة الأولى من إضافة مستودع Wazuh، نقوم بتحديث معلومات الحزمة في النهاية.

apt-get update


2. تثبيت Wazuh manager



1. نقوم بتثبيت حزمة Wazuh manager باستخدام apt-get.

apt-get install wazuh-manager


2. نقوم بتفعيل وبدء خدمة Wazuh manager. يمكن تنفيذ ذلك على Debian باستخدام systemctl.

systemctl daemon-reload
systemctl enable wazuh-manager
systemctl start wazuh-manager


3. يمكننا التأكد مرة أخرى باستخدام systemctl أن خدمة Wazuh manager نشطة.

systemctl status wazuh-manager


3. تثبيت Elasticsearch



Open Distro لـ Elasticsearch هو توزيع مفتوح المصدر لـ Elasticsearch، محرك بحث نصي كامل قابل للتوسع بشكل كبير. يوفر أماناً متقدماً، تنبيهات، إدارة الفهرس، تحليل أداء متعمق والعديد من الميزات الإضافية الأخرى.

1. نقوم بتثبيت Elasticsearch OSS وOpen Distro لـ Elasticsearch.

apt install elasticsearch-oss opendistroforelasticsearch


تكوين Elasticsearch


2. نقوم بتنزيل ملف التكوين باستخدام الأمر أدناه.

curl -so /etc/elasticsearch/elasticsearch.yml https://packages.wazuh.com/resources/4.2/open-distro/elasticsearch/7.x/elasticsearch_all_in_one.yml


مستخدمو وأدوار Elasticsearch


لاستخدام Wazuh Kibana بدون مشاكل، يجب عليك إضافة مستخدمين وأدوار.

3. نقوم بإضافة مستخدمي Wazuh وأدوار إضافية لـ Kibana باستخدام الأوامر أدناه.

curl -so /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/roles.yml https://packages.wazuh.com/resources/4.2/open-distro/elasticsearch/roles/roles.yml
curl -so /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/roles_mapping.yml https://packages.wazuh.com/resources/4.2/open-distro/elasticsearch/roles/roles_mapping.yml
curl -so /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/internal_users.yml https://packages.wazuh.com/resources/4.2/open-distro/elasticsearch/roles/internal_users.yml


تم تصميم هؤلاء المستخدمين والأدوار للعمل مع مكون Wazuh Kibana الإضافي، ولكنهم محميون ولا يمكن تعديلهم من واجهة Kibana. لتعديلهم أو إضافة مستخدم جديد مع دور، يجب تشغيل سكربت securityadmin.

إنشاء الشهادات


4. إزالة الشهادات التجريبية.

rm /etc/elasticsearch/esnode-key.pem /etc/elasticsearch/esnode.pem /etc/elasticsearch/kirk-key.pem /etc/elasticsearch/kirk.pem /etc/elasticsearch/root-ca.pem -f


5. إنشاء ووضع الشهادات:



curl -so ~/wazuh-cert-tool.sh https://packages.wazuh.com/resources/4.2/open-distro/tools/certificate-utility/wazuh-cert-tool.sh
curl -so ~/instances.yml https://packages.wazuh.com/resources/4.2/open-distro/tools/certificate-utility/instances_aio.yml


  • قم بتشغيل السكربت الذي تم تحميله لتوليد الشهادة.


bash ~/wazuh-cert-tool.sh


  • قم بنقل شهادات Elasticsearch إلى المواقع المناسبة.


mkdir /etc/elasticsearch/certs/
mv ~/certs/elasticsearch* /etc/elasticsearch/certs/
mv ~/certs/admin* /etc/elasticsearch/certs/
cp ~/certs/root-ca* /etc/elasticsearch/certs/


6. بعد عمليات الشهادات، قم بتفعيل خدمة Elasticsearch وبدءها.

systemctl daemon-reload
systemctl enable elasticsearch
systemctl start elasticsearch


7. قم بتشغيل سكربت securityadmin لتحميل بيانات الشهادة الجديدة وبدء الكلاستر.

export JAVA_HOME=/usr/share/elasticsearch/jdk/ && /usr/share/elasticsearch/plugins/opendistro_security/tools/securityadmin.sh -cd /usr/share/elasticsearch/plugins/opendistro_security/securityconfig/ -nhnv -cacert /etc/elasticsearch/certs/root-ca.pem -cert /etc/elasticsearch/certs/admin.pem -key /etc/elasticsearch/certs/admin-key.pem


8. اختبر ما إذا كان التثبيت ناجحاً باستخدام الأمر أدناه.

curl -XGET https://localhost:9200 -u admin:admin -k


يجب أن تكون المخرجات النموذجية كما يلي تقريباً.

  {
 "name": "node-1",
 "cluster_name": "elasticsearch",
 "cluster_uuid": "tWYgqpgdRz6fGN8gH11flw",
 "version": {
 "number": "7.10.2",
 "build_flavor": "oss",
 "build_type": "rpm",
 "build_hash": "747e1cc71def077253878a59143c1f785afa92b9",
 "build_date": "2021-01-13T00:42:12.435326Z",
 "build_snapshot": false,
 "lucene_version": "8.7.0",
 "minimum_wire_compatibility_version": "6.8.0",
 "minimum_index_compatibility_version": "6.0.0-beta1"
 },
 "tagline": "You Know, for Search"
 }


4. تثبيت Filebeat



Filebeat هو الأداة الموجودة على خادم Wazuh التي ترسل التنبيهات والأحداث المؤرشفة بأمان إلى Elasticsearch.

1. تثبيت حزمة Filebeat.

apt-get install filebeat


2. تنزيل تكوين Filebeat المسبق الذي يُستخدم لإرسال تنبيهات Wazuh إلى Elasticsearch.

curl -so /etc/filebeat/filebeat.yml https://packages.wazuh.com/resources/4.2/open-distro/filebeat/7.x/filebeat_all_in_one.yml


3. تنزيل قوالب التنبيه لـ Elasticsearch.

curl -so /etc/filebeat/wazuh-template.json https://raw.githubusercontent.com/wazuh/wazuh/4.2/extensions/elasticsearch/7.x/wazuh-template.json
chmod go+r /etc/filebeat/wazuh-template.json


4. تنزيل وحدة Wazuh لـ Filebeat.

curl -s https://packages.wazuh.com/4.x/filebeat/wazuh-filebeat-0.1.tar.gz | tar -xvz -C /usr/share/filebeat/module


5. نسخ شهادات Elasticsearch إلى /etc/filebeat/certs.

mkdir /etc/filebeat/certs
cp ~/certs/root-ca.pem /etc/filebeat/certs/
mv ~/certs/filebeat* /etc/filebeat/certs/


6. تفعيل وبدء خدمة Filebeat.

systemctl daemon-reload
systemctl enable filebeat
systemctl start filebeat


7. تنفيذ الأمر أدناه لاختبار ما إذا كان Filebeat قد تم تثبيته بنجاح.

filebeat test output


يجب أن تكون المخرجات كما يلي تقريباً. إذا كان كل شيء على ما يرام، يمكنك الانتقال إلى الخطوة التالية.

  elasticsearch: https://127.0.0.1:9200... OK
 parse url... OK
 parse host... OK
 dns lookup... OK
 addresses: 127.0.0.1
 dial up... OK
 TLS... OK
 security: server's certificate chain verification is enabled
 handshake... OK
 TLS version: TLSv1.3
 dial up... OK
 talk to server... OK
 version: 7.10.2


5. تثبيت Kibana



Kibana هو واجهة ويب مرنة وبديهية لاستكشاف وتصور الأحداث والأرشيفات المخزنة في Elasticsearch.

1. أولاً، نقوم بتثبيت حزمة Kibana.

apt-get install opendistroforelasticsearch-kibana


2. تنزيل ملف تكوين Kibana.

curl -so /etc/kibana/kibana.yml https://packages.wazuh.com/resources/4.2/open-distro/kibana/7.x/kibana_all_in_one.yml


في ملف /etc/kibana/kibana.yml، تكون قيمة server.host هي 0.0.0.0. هذا يعني أن Kibana سيكون متاحاً من المواقع الخارجية وسيتقبل جميع الاتصالات. يمكنك تغيير هذه القيمة للوصول عبر عنوان IP محدد.


3. كخطوة تالية، نقوم بإنشاء دليل /usr/share/kibana/data ونعطي الأذونات اللازمة.

mkdir /usr/share/kibana/data
chown -R kibana:kibana /usr/share/kibana/data


4. تثبيت مكون Wazuh Kibana الإضافي. يجب أن يتم التثبيت داخل الدليل الرئيسي لـ Kibana.

cd /usr/share/kibana
sudo -u kibana /usr/share/kibana/bin/kibana-plugin install https://packages.wazuh.com/4.x/ui/kibana/wazuh_kibana-4.2.4_7.10.2-1.zip


5. نسخ شهادات Elasticsearch إلى /etc/kibana/certs.

mkdir /etc/kibana/certs
cp ~/certs/root-ca.pem /etc/kibana/certs/
mv ~/certs/kibana* /etc/kibana/certs/
chown kibana:kibana /etc/kibana/certs/*


6. ربط مقبس Kibana بالمنفذ المميز 443.

setcap 'cap_net_bind_service=+ep' /usr/share/kibana/node/bin/node


7. أخيراً، نقوم بتفعيل وبدء خدمة Kibana، وبعد ذلك يمكننا الوصول إلى واجهة الويب.

systemctl daemon-reload
systemctl enable kibana
systemctl start kibana


8. إذا قمت بكل شيء حتى هذه النقطة بدون مشاكل، يمكنك الآن الاتصال بواجهة الويب.

URL: https://
user: admin
password: admin


سنتناول تسجيل الدخول مع وكيل Wazuh في مقال آخر.

المزيد من المدونة

جميع المنشورات
استئجار خادم افتراضي: 5 عوامل حاسمة يجب مراعاتها في عام 2026
Cloud Computing

استئجار خادم افتراضي: 5 عوامل حاسمة يجب مراعاتها في عام 2026

ما هو برنامج التجسس؟
Cyber Security

ما هو برنامج التجسس؟

الذكاء الاصطناعي في حرب إيران 2026: مستقبل الذكاء الاصطناعي العسكري
Artificial Intelligence

الذكاء الاصطناعي في حرب إيران 2026: مستقبل الذكاء الاصطناعي العسكري

كيفية تغيير منفذ SSH على خادم افتراضي يعمل بنظام Linux (دليل مفصل)
Software Development

كيفية تغيير منفذ SSH على خادم افتراضي يعمل بنظام Linux (دليل مفصل)