综述在中大型网络环境中，单台Allinone的Wazuh系统或者单节点的分布式部署Wazuh系统从性能上已经无法满足日志分析和漏洞扫描的需求，因此应当采用高可用、多节点的分布式部署来满足Wazuh对CPU和存储的要求。 序号 系统描述 配置 网络地址 系统角色 1 Lvsnode1 1c/1g 192.168.79.51 LVS+KeepLived 提供VIP和负载均衡 2 Lvsnode2 1c/1g 192.168.79.52 LVS+KeepLived 提供VIP和负载均衡 3 Wazuhnode0 2c/2g 192.168.79.60 Wazuh主节点，提供认证以及cve库 4 Wazuhnode1 1c/1g 192.168.79.61 WazuhWorker，工作节点，提供事件日志分析和漏洞扫描 5 Wazuhnode2 1c/1g 192.168.79.62 WazuhWorker，工作节点，提供事件日志分析和漏洞扫描 6 KibanaNode 2c/4g 192.168.79. ...

节点状态相关 检查节点是否运行 curl -XGET http://localhost:9200 检查节点健康状态 curl -XGET http://localhost:9200/_cluster/health\?pretty 检查群集节点状态 curl -XGET http://192.168.248.148:9200/_cat/nodes?v 分片状态相关 检查分片健康curl http://localhost:9200/_cat/indices 检查所有分片curl -XGET http://localhost:9200/_cat/shards 删除分片curl -XDELETE http://127.0.0.1:9200/wazuh-alerts-3.x-2021.05.16 设置分片数curl -XPUT "127.0.0.1:9200/_cluster/settings" -H 'Content-Type: application/json' -d '{"transient": ...

在运维工作中，我们经常会用到公用手机不在手边的情况。比如，我们在休假或者外出期间紧急对公司注册的云资源进行变更的时候，相关验证码必须要使用短信接收，而手机却在半个城市之外的公司办公室。还有一种情况就是每天都有人来找公用手机翻检验证码，这样对当值运维人员不胜其烦。 为了避免这种情况的蔓延，找到了使用旧安卓机进行SMS2Email改造的小程序。 具体设置如下图： 效果： 该程序名称为 TranspondSMS 官网地址为：http://tsms.allmything.com Github代码库：https://github.com/xiaoyuanhost/ 除了邮件之外，它还支持钉钉、微信机器人已经web页面等告警方式，以后会慢慢深入它的应用。

ClamAV本来是为了Postfix邮件网关而开发的防毒软件，主要目的是对邮件队列里面的邮件进行病毒查杀。然后，这个防毒模块独立出来成为一个提供病毒、恶意软件、蠕虫的查杀能力的开源软件，成为了Linux环境下实现文件安全的主要选择。� 部署ClamAV 添加EPEL源# ClamAV的RHEL/CentOS源是直接用epel来发布的yum cleanallyum makecacheyum install -y git python3-pipyum install -y epel-release# 添加华为云源sed -i "s/#baseurl/baseurl/g" /etc/yum.repos.d/epel.reposed -i "s/metalink/#metalink/g" /etc/yum.repos.d/epel.reposed -i "s@https\?://download.example/pub@https://repo.huaweicloud.com@g" /etc/yum.repos.d/epel.repo ...

本文的源于领导的一句问句，Wazuh能监控PG数据库的漏洞么？然后结合实际环境搭建了一套环境进行了测试。结论是：能，然而并不能。 使用操作系统官方软件库 安装数据库 yum makecache# 系统自带版本为10yum install -y postgresql postgresql-server 启动数据库 # 启动服务postgresql-setup initdbsystemctl enable postgresql.service --now 执行漏洞检测 使用数据库官方软件库 安装数据库# 安装PG官方源yum install -y https://download.postgresql.org/pub/repos/yum/reporpms/EL-8-x86_64/pgdg-redhat-repo-latest.noarch.rpm# 更新源，时间较长，需要确认添加那个版本PG，我们以12版本为例yum makecache# 安装数据库yum install -y postgresql12 postgresql12-server 启动数据库# 创建目录mkdir - ...

Wazuh是个复杂的积木式系统，由ossec、ElasticStack和wazuh插件以及第三方的漏扫、病毒查杀、文件监控等等安全工具组合而成。本文将简述Wazuh的漏洞扫描模块的使用。 应用原理 Wazuh不是一个漏洞扫描工具，它只是借助本身的功能模块来实现对操作系统的漏洞监控； Wazuh的漏扫依赖于Agent的对系统软件版本的扫描，上传至Master节点之后，通过在线或者离线加载的各个操作系统官方发布的CVE数据库以及美国政府发布的NVD数据库来进行对比，从而实现漏洞的检查和告警； Wazuh不使用爬虫、端口扫描等传统漏扫技术路径，所以对客户端主机的性能影响极小； Wazuh官方支持对数据库、中间件等软件进行漏洞扫描，但只支持操作系统发行官方库中的包，因为它是简单的按照软件包名来进行对比的； Wazuh可以对接Clamav、Suricata等其他安全系统。 漏洞扫描模块 配置离线文件# 在wazuh-master上安装Nginxyum install -y nginxmkdir -p /var/www/wazuh/oschown -R nginx:nginx /var/www ...

本次将部署一套分布式Wazuh方案，实现其基本功能。其中： wazuh-master启用全功能组件； ElasticStack将使用官方基本授权，不启用X-pack和加密连接； Linux版本Agent将安装到Kibana主机和ElasticSearch主机上，不再额外安装示例主机； 各个功能组件采用单节点部署； Wazuh使用4.1.5版本，搭配官方指定7.11.2ElasticStack版本。 部署方案 部署拓扑 网络地址 系统角色 版本 网络地址 ElasticSearch 7.11.2 192.168.248.146 Kibana 7.11.2 192.168.248.145 WazuhMaster 4.1.5 192.168.248.150 WazuhAgent 4.1.5 192.168.248.1 部署实施 ElasticSearch的安装 # 安装前置软件yum install -y zip unzip curl# 导入秘钥rpm --import https://artifacts.elastic.co/GPG-KEY-el ...

简介[Wazuh](Wazuh · The Open Source Security Platform)是一整套基于ossec安全检测工具和EFK日志工具构成的终端安全管理工具。不管是将其分类至HIDS，还是EDR，它都是一套通过监控主机日志行为，提供安全检测、分析和完整报告的开源、免费利器。Wazuh基于C/S架构，它的Agent支持Windows、MacOS、Linux、HP-UX、AIX等主流操作系统。其服务端负责提供认证和数据收集，然后通过filebeat进行日志清洗，最后导入ElasticSearch，通过Kinbana进行展示和输出日志。它不仅可以收集主机的事件日志进行一般的入侵检测功能，还可以通过第三方提供的系统漏洞检测feed文件，来实现主机的漏洞扫描和合规检查。 功能示例 组件模块Wazuh的组件分为三部分： 客户端的功能 收集日志和事件日志； 文件和注册表的监控； 运行进程和安装软件的信息收集； 监控系统端口和网络配置； 检测恶意软件； 配置管理和策略监控 检测主机响应 服务端 客户端的服务器注册； 实现客户端的连接服务； 根据各项规则实现 ...

因为本站点是运行在阿里云最便宜的虚拟主机上面的，为提高运行效率、节约成本以及学习使用相关技术。现将原有wordpress站点迁移导出部署为hexo站点。hexo的优势： 原生使用markdown来进行文本编辑； 渲染生成静态文件后部署，省去了PHP环境和数据库环境； 基于HTML页面，无论是oss、virtualhost、virtualmachine都能快速灵活部署； 环境部署 部署NODE.JS# 使用Ubuntu Desktop 20.04 LTS环境sudo apt update sudo apt upgrade -ysudo apt install -y curl gitcurl -sL https://deb.nodesource.com/setup_12.x -o nodesource_setup.shchmod +x nodesource_setup.sh sudo ./nodesource_setup.shsudo apt udpatesudo apt install -y nodejs build-essential# 使用CentOS 8 环境sudo dnf ...