Wazuhを4.2から4.3へアップデートした

Wazuhを4.2から4.3にアップデートするに当たり、結構破壊的な変更があった。

1. 実行ユーザーがwazuhユーザーへ
2. ODFE版を使っている場合は、4.2までしか今の所Dockerイメージの提供がないので、4.3にするならばイメージの変更及び、ElasitcsearchからOpensearchへ変更が必要
3. Opensearch Dashboardは認証が標準でDockerイメージに入っている

Wazuhが何かという方はこちら。

＠IT

不正アクセスを教訓に　GMOペパボが500台超のサーバに導入したオープンソースのセ...

https://atmarkit.itmedia.co.jp/ait/articles/1902/18/news012.html

ホスティングサービスなどを提供するGMOペパボは、セキュリティインシデントを教訓に、OSSのセキュリティ監査基盤「Wazuh」を導入。Wazuhを選択した理由やWazuhの導入後に起きた3つの運用課題を解決した方法について語った。

実行ユーザーがwazuhユーザーへ

4.2系まではossecユーザーが実行ユーザーであるプロセスがほとんどだったが、4.3からはwazuhユーザーへ変更されているので、chownなりchmodが必要だった。僕はentrypointで各種パーミッションを設定するように作り込んでいるので、そこでよしなにやった。

ElasticsearchからOpensearchへ

これはDockerイメージ差し替えるだけではうまくいかず、下記のような大人の小手先のテクニックを利用してインデックスの移行が必要だった。

curl -XGET "localhost:9200/_cat/shards?h=index"|sort|uniq|grep wazuh | while read line
do
  elasticdump --input=http://elasticsearch.local:9200/$line  --output=http://opensearch.local:9200/$line --type=mapping
  elasticdump --input=http://elasticsearch.local:9200/$line  --output=http://opensearch.local :9200/$line --type=data --limit 10000
done

またalertsインデックスのテンプレートは別途作成する必要がある。

documentation.wazuh.com

· Wazuh documentation

https://documentation.wazuh.com/current/user-manual/elasticsearch/configure-indices.html

僕はES 7.17系からの移行だったが思いの外すんなりいってラッキーだったかもしれない。

Opensearch Dashboardは認証が標準でDockerイメージに入っている

いわゆるkibanaのOpensearch版なのだが、他で認証していて、認証を無効にしたい場合は下記のようにイメージをビルドする必要がある。

OpenSearch Documentation

Home

https://opensearch.org/docs/2.0/security-plugin/configuration/disable/

Documentation for OpenSearch, the Apache 2.0 search, analytics, and visualization suite with advanced security, alerting, SQL support, automated index management, deep performance analysis, and more.

最後に

Wazuh 4.3、APIも結構変更があって、脆弱性情報などの管理もしやすくなっているので、可能であればバージョンアップして行くのがいいと思う。