本文介绍如何使用Puppet在Linux上部署Wazuh安全平台的步骤。

具体操作步骤如下

步骤1、在Linux上安装和配置Puppet

Puppet可用于轻松配置、管理和部署Wazuh安全平台。

为了能够继续，您需要安装并配置Puppet服务器和代理以进行通信。可参考以下指南安装配置：

在Ubuntu 20.04上安装Puppet Master和Agent的方法：https://www.hmxthome.com/linux/4847.html

安装后，验证Puppet服务器和代理是否可以通信：

$ sudo /opt/puppetlabs/bin/puppet agent -t

Info: csr_attributes file loading from /etc/puppetlabs/puppet/csr_attributes.yaml

Info: Creating a new SSL certificate request for puppetnode.example.com

Info: Certificate Request fingerprint (SHA256): FC:ED:2C:5C:5E:45:E9:A3:41:96:84:0C:46:F7:40:D3:E2:BE:1E:B3:04:14:7E:5C:BA:75:64:90:DC:53:2A:DC

Info: Downloaded certificate for puppetnode.example.com from https://puppetmaster.example.com:8140/puppet-ca/v1

Info: Using environment 'production'

Info: Retrieving pluginfacts

Info: Retrieving plugin

Info: Caching catalog for puppetnode.example.com

Info: Applying configuration version '1653589224'

Info: Creating state file /opt/puppetlabs/puppet/cache/state/state.yaml

Notice: Applied catalog in 0.03 seconds

步骤2、安装Wazuh Puppet模块

继续并安装将用于部署的Wazuh Puppet模块。以下命令可用于安装Wazuh Puppet模块：

$ sudo /opt/puppetlabs/bin/puppet module install wazuh-wazuh

Notice: Preparing to install into /etc/puppetlabs/code/environments/production/modules ...

Notice: Downloading from https://forgeapi.puppet.com ...

Notice: Installing -- do not interrupt ...

/etc/puppetlabs/code/environments/production/modules

└─┬ wazuh-wazuh (v4.3.1)

  ├── puppet-nodejs (v7.0.1)

  ├── puppet-selinux (v3.4.1)

  ├── puppetlabs-apt (v7.7.1)

  ├─┬ puppetlabs-concat (v6.4.0)

  │ └── puppetlabs-translate (v2.2.0)

  ├── puppetlabs-firewall (v2.8.1)

  ├─┬ puppetlabs-powershell (v4.1.0)

  │ └── puppetlabs-pwshlib (v0.10.1)

  └── puppetlabs-stdlib (v6.6.0)

步骤3、通过Puppet安装Wazuh堆栈

由Wazuh管理器、Wazuh索引器、Wazuh仪表板和Filebeat组成的Wazuh堆栈可以使用如下所示创建的清单进行部署：

sudo vim /etc/puppetlabs/code/environments/production/manifests/init.pp

清单将包含以下行：

node "puppetnode.example.com" {

 class { 'wazuh::manager':

 }

 class { 'wazuh::indexer':

 }

 class { 'wazuh::filebeat_oss':

 }

 class { 'wazuh::dashboard':

 }

}

将puppetnode.example.com替换为要充当Wazuh服务器的Puppet代理的主机名/IP地址。

运行清单：

sudo /opt/puppetlabs/bin/puppet agent -t

执行输出：

在Wazuh服务器上，允许以下端口通过防火墙：

sudo firewall-cmd --add-port=443/tcp --permanent

sudo firewall-cmd --add-port=514/udp --permanent

sudo firewall-cmd --add-port=1514/udp --permanent

sudo firewall-cmd --add-port=1515/udp --permanent

sudo firewall-cmd --add-port=1514/tcp --permanent

sudo firewall-cmd --add-port=1515/tcp --permanent

sudo firewall-cmd --reload

步骤4、通过Puppet安装Wazuh代理

要安装Wazuh代理，我们需要创建一个清单。在这里，我们将使用以下命令创建清单：

sudo vim /etc/puppetlabs/code/environments/production/manifests/wazuh-agent.pp

将以下行添加到文件中：

node "puppetnode2.example.com" {

  class { "wazuh::agent":

    wazuh_register_endpoint => "<MANAGER_IP>",

    wazuh_reporting_endpoint => "<MANAGER_IP>"

  }

}

记住，puppetnode2.example.com是要在其上运行Wazuh代理服务的节点的IP地址/域名，MANAGER_IP是Wazuh服务器的IP地址。

使用以下命令运行清单：

sudo /opt/puppetlabs/bin/puppet agent -t

样本输出：

步骤5、访问Wazuh仪表板

现在可以使用URL访问Wazuh仪表板，地址格式是https://wazuh_server_IP，如下图：

使用用户名admin和首选密码登录。成功登录后，您将看到下面的仪表板：

可单击Wazuh代理以检查状态，及单击代理以查看仪表板：

至此，您已经使用Puppet在Linux上成功部署了Wazuh安全平台。可随时使用Wazuh对系统进行实时监控和分析。