歡迎來(lái)到家庭安全的世界，在這里，保護(hù)你的數(shù)字資產(chǎn)是重中之重。在當(dāng)今這個(gè)互聯(lián)互通的時(shí)代，建立一個(gè)強(qiáng)大的防御系統(tǒng)來(lái)檢測(cè)和應(yīng)對(duì)潛在威脅至關(guān)重要。

這就是為什么我們要在這里引導(dǎo)你完成一個(gè)激動(dòng)人心的教程，教你如何使用Wazuh——一個(gè)令人難以置信的開(kāi)源安全監(jiān)控平臺(tái)——在樹(shù)莓派上構(gòu)建一個(gè)安全的網(wǎng)絡(luò)。但等等，還有更多！我們還將通過(guò)Telegram的力量，為你創(chuàng)建一個(gè)便捷的通知中心，以便即時(shí)接收警報(bào)和更新。

完成本教程后，你將擁有一個(gè)可靠且經(jīng)濟(jì)實(shí)惠的解決方案，用于監(jiān)控網(wǎng)絡(luò)的安全性，并通過(guò)實(shí)時(shí)通知讓你隨時(shí)了解情況。無(wú)論你是小企業(yè)主、家庭網(wǎng)絡(luò)愛(ài)好者，還是重視隱私和安心的人——我們都能滿(mǎn)足你的需求！

這個(gè)分步指南將為你提供加固數(shù)字防御所需的知識(shí)和工具。

拿起你的樹(shù)莓派，系好安全帶——是時(shí)候讓你的網(wǎng)絡(luò)變得更安全、更智能、更酷炫了。

硬件設(shè)備

沒(méi)有主角，這個(gè)教程可難以進(jìn)行：

樹(shù)莓派4 Model B——8GB RAM

Micro SD卡——理想情況下是128GB，但32GB也可以

你喜歡的樹(shù)莓派外殼

注意事項(xiàng)：Wazuh宣布，對(duì)于1-25個(gè)代理，我們需要至少8GB RAM；對(duì)于90天的監(jiān)控，需要50GB存儲(chǔ)空間。

軟件要求

對(duì)于樹(shù)莓派，我們將使用Ubuntu Server 22.04.5 LTS（64位）

為了安裝鏡像，我強(qiáng)烈推薦使用Raspberry Pi Imager。

它基本上讓整個(gè)安裝過(guò)程變得簡(jiǎn)單得多，因?yàn)槟銦o(wú)需在線(xiàn)搜索所需的鏡像，它本身就提供了一個(gè)完整的列表：

如果你選擇這個(gè)選項(xiàng)：

1.選擇操作系統(tǒng) > 其他通用操作系統(tǒng) > Ubuntu > Ubuntu Server 22.04.5 LTS（64位）

2.選擇存儲(chǔ)設(shè)備 > 選擇你的SD卡

3.在點(diǎn)擊“寫(xiě)入”之前——點(diǎn)擊右下角的設(shè)置，你以后會(huì)感謝我的：

樹(shù)莓派鏡像

在這里，你可以預(yù)設(shè)SSH訪(fǎng)問(wèn)，以及樹(shù)莓派訪(fǎng)問(wèn)你的WiFi的方式，這基本上可以避免你手動(dòng)創(chuàng)建所有openssh-server相關(guān)的東西。

免責(zé)聲明：對(duì)于這里的安全專(zhuān)業(yè)人士來(lái)說(shuō)，使用密碼認(rèn)證進(jìn)行SSH連接當(dāng)然不是最佳實(shí)踐，使用公鑰密碼保護(hù)會(huì)更好，但好吧，讓我們?yōu)槌鯇W(xué)者保持簡(jiǎn)單。

專(zhuān)業(yè)提示：最初，我不會(huì)選擇“wazuh”作為主機(jī)名，因?yàn)檫@可能會(huì)幫助網(wǎng)絡(luò)上的某人識(shí)別你的寶貴資產(chǎn)。

最后，點(diǎn)擊寫(xiě)入按鈕，事情就要開(kāi)始熱起來(lái)了

我的樹(shù)莓派在哪里？

在將全新的操作系統(tǒng)插入樹(shù)莓派后，你可能需要讓它幾分鐘時(shí)間來(lái)連接到你的網(wǎng)絡(luò)。

如果你在網(wǎng)絡(luò)方面還是個(gè)新手，你可能會(huì)想知道如何在網(wǎng)絡(luò)上找到你的樹(shù)莓派。好吧，讓我給你一個(gè)簡(jiǎn)單的方法：

nmap192.168.1.1-254

這應(yīng)該會(huì)列出你本地網(wǎng)絡(luò)上的所有設(shè)備，你可以在其中找到我們的主機(jī)名“wazuh”。

Wazuh安裝

關(guān)于在樹(shù)莓派上安裝Wazuh，有幾點(diǎn)需要了解。

最初，Wazuh提供了一個(gè)現(xiàn)成的腳本，讓你能夠在幾分鐘內(nèi)安裝完整的Wazuh包，但這基本上適用于amd架構(gòu)，而樹(shù)莓派實(shí)際上使用的是arm架構(gòu)。

雖然這個(gè)快捷方式對(duì)我們來(lái)說(shuō)不可用，但沒(méi)關(guān)系，樹(shù)莓派近年來(lái)取得了巨大的改進(jìn)，讓我們能夠明智地利用投資的8GB RAM。

一體化部署——Elastic Stack

這是我們今天要實(shí)現(xiàn)的架構(gòu)。

一體化部署--由Wazuh提供

下面將介紹的步驟適用于Wazuh 4.4版本，并分為以下幾個(gè)部分：

1.安裝先決條件——安裝需要一些額外的軟件包，如curl或unzip，這些將在后續(xù)步驟中使用。然而，如果服務(wù)器上已經(jīng)安裝了curl和unzip，則可以跳過(guò)此步驟。

2.安裝Elasticsearch——Elasticsearch是一個(gè)高度可擴(kuò)展的全文搜索和分析引擎。

3.安裝Wazuh服務(wù)器——Wazuh服務(wù)器收集并分析來(lái)自部署的代理的數(shù)據(jù)。它運(yùn)行Wazuh管理器、Wazuh API和Filebeat。設(shè)置Wazuh的第一步是將Wazuh倉(cāng)庫(kù)添加到服務(wù)器上，然后是管理器本身。

4.安裝Filebeat——Filebeat是Wazuh服務(wù)器上的工具，用于將警報(bào)和歸檔事件安全地轉(zhuǎn)發(fā)到Elasticsearch。

5.安裝Kibana——Kibana是一個(gè)靈活且直觀(guān)的Web界面，用于挖掘和可視化存儲(chǔ)在Elasticsearch中的事件和歸檔。

無(wú)需我從官方文檔中大量復(fù)制粘貼，他們會(huì)比我在這篇文章中更新得更及時(shí)。請(qǐng)查看這些分步指南，并確保選擇了正確的軟件包管理器以及系統(tǒng)和服務(wù)管理器。

在我們的情況下，由于我們使用的是Ubuntu Server，你將使用apt和systemctl。

部署你的代理——你的私人間諜

你現(xiàn)在已經(jīng)有了第一個(gè)Wazuh服務(wù)器，儀表板類(lèi)似于以下內(nèi)容：

Wazuh 儀表板

但現(xiàn)在是時(shí)候安裝你的第一個(gè)代理了

假設(shè)你是一個(gè)普通公民，你在家里應(yīng)該運(yùn)行的是MacOS或Windows。（Linux用戶(hù)，你們好）。對(duì)你來(lái)說(shuō)有個(gè)好消息，代理的安裝對(duì)于這兩個(gè)操作系統(tǒng)都有GUI安裝程序：

Windows代理

MacOS代理

l

在兩種情況下，你都需要運(yùn)行可執(zhí)行文件，然后就好了！好吧，并不完全是這樣，你現(xiàn)在需要讓你的代理明白它應(yīng)該向誰(shuí)報(bào)告?；旧希琖azuh服務(wù)器在哪里？對(duì)你來(lái)說(shuō)，這個(gè)階段很容易，因?yàn)槟阋呀?jīng)知道樹(shù)莓派的IP地址了。假設(shè)地址是192.168.1.43。

要注冊(cè)代理，你有兩種方法：

1.通過(guò)代理配置注冊(cè)

2.通過(guò)管理器API注冊(cè)

由于我們是真正的OG，我們將選擇第一種方法：

MacOS & Linux

1.以root用戶(hù)身份啟動(dòng)終端，編輯Wazuh代理配置文件/Library/Ossec/etc/ossec.conf。

2.在部分中包含Wazuh管理器IP地址：

MANAGER_IP (Here your192.168.1.43)

Windows

邏輯相同，區(qū)別在于代理的位置不同，因?yàn)閃azuh代理安裝目錄取決于主機(jī)的架構(gòu)：

對(duì)于64位系統(tǒng)：C:\Program Files (x86)\ossec-agent

對(duì)于32位系統(tǒng)：C:\Program Files\ossec-agent

使用管理員賬戶(hù)，在安裝目錄中修改Wazuh代理配置文件ossec.conf。

給Wazuh幾分鐘時(shí)間來(lái)獲取數(shù)據(jù)，然后就開(kāi)始吧！儀表板應(yīng)該開(kāi)始接收數(shù)據(jù)了。

Telegram——你的個(gè)人通知中心

現(xiàn)在你已經(jīng)有了SIEM（安全信息和事件管理）系統(tǒng)，是時(shí)候?yàn)槟闾峁┮粋€(gè)實(shí)時(shí)通知系統(tǒng)了。Wazuh提供了與Slack、Jira或電子郵件的集成，但說(shuō)實(shí)話(huà)，這絕對(duì)不是在家里接收安全事件通知的最舒適方式。

創(chuàng)建你的Telegram機(jī)器人

你可能會(huì)認(rèn)為創(chuàng)建一個(gè)機(jī)器人會(huì)讓你陷入一系列編碼和數(shù)小時(shí)的API文檔閱讀中。實(shí)際上，這就像在Telegram上發(fā)送一條消息一樣簡(jiǎn)單：只需聯(lián)系BotFather。

你可以看到一些簡(jiǎn)單的命令，這些命令將允許你管理你的機(jī)器人：

來(lái)自Telegram的BotFather

然后創(chuàng)建你的機(jī)器人，并獲取你的HTTP API令牌：

獲取你的 API Token

如何管理與Telegram的自定義集成？

對(duì)于這項(xiàng)任務(wù)，有兩個(gè)重要的位置需要了解：

本地配置：/var/ossec/etc/ossec.conf——Wazuh的配置文件所在位置

集成位置：/var/ossec/integrations/——你找到集成文件的位置

為了簡(jiǎn)化操作，一旦你創(chuàng)建了集成，你需要通過(guò)引用它來(lái)讓本地配置知道這個(gè)自定義集成的存在。

腳本要求

要讓腳本工作，有兩個(gè)要求：

安裝requests包，因?yàn)槲覀兊?a href="http://m.xsypw.cn/tags/python/" target="_blank">Python腳本將向Telegram API發(fā)出調(diào)用

pip3install requests

你需要你的Telegram CHATID。在找到ID之前，確保向你的機(jī)器人發(fā)送一條“hello”消息，以便在你們之間創(chuàng)建一個(gè)聊天。

https://api.telegram.org/bot/getUpdates

這將給你一個(gè)類(lèi)似以下的結(jié)果：

{"ok":true,"result":[{"update_id":534302469,"message":{"message_id":2,"from":{"id":38475931,"is_bot":false,"?rst_name":"xxxxxx","last_name":"xxxxxx","username":"xxxxxx","language_code":"ua"},

自定義集成的腳本

無(wú)需進(jìn)一步解釋?zhuān)M(jìn)入/var/ossec/integrations/并執(zhí)行以下命令：

nanocustom-telegram

復(fù)制/粘貼以下腳本（別忘了更改ChatID）：

#!/usr/bin/env python3# -*- coding: utf-8 -*-importsysimportjsontry: importrequestsexceptException: print("No module 'requests' found. Install: pip3 install requests") sys.exit(1)CHAT_ID ="xxxxxxxx"defcreate_message(alert_json): # Get alert information title = alert_json['rule']['description']if'description'inalert_json['rule']else'' description = alert_json['full_log']if'full_log'inalert_jsonelse'' description.replace("\\n","\n") alert_level = alert_json['rule']['level']if'level'inalert_json['rule']else'' groups =', '.join(alert_json['rule']['groups'])if'groups'inalert_json['rule']else'' rule_id = alert_json['rule']['id']if'rule'inalert_jsonelse'' agent_name = alert_json['agent']['name']if'name'inalert_json['agent']else'' agent_id = alert_json['agent']['id']if'id'inalert_json['agent']else'' # Format message with markdown msg_content =f'*{title}*\n\n' msg_content +=f'_{description}_\n' msg_content +=f'*Groups:*{groups}\n'iflen(groups) >0else'' msg_content +=f'*Rule:*{rule_id}(Level{alert_level})\n' msg_content +=f'*Agent:*{agent_name}({agent_id})\n'iflen(agent_name) >0else'' msg_data = {} msg_data['chat_id'] = CHAT_ID msg_data['text'] = msg_content msg_data['parse_mode'] ='markdown' # Debug information withopen('/var/ossec/logs/integrations.log','a')asf: f.write(f'MSG:{msg_data}\n') returnjson.dumps(msg_data)# Read configuration parametersalert_file =open(sys.argv[1])hook_url = sys.argv[3]# Read the alert filealert_json = json.loads(alert_file.read())alert_file.close()# Send the requestmsg_data = create_message(alert_json)headers = {'content-type':'application/json','Accept-Charset':'UTF-8'}response = requests.post(hook_url, headers=headers, data=msg_data)# Debug informationwithopen('/var/ossec/logs/integrations.log','a')asf: f.write(f'RESPONSE:{response}\n')sys.exit(0)

（如果你想了解更多關(guān)于腳本的信息，請(qǐng)隨時(shí)查看以下文章，其中@jesusjimsa在提供腳本和詳細(xì)解釋方面做得非常出色。）

讓腳本可執(zhí)行，并賦予它適當(dāng)?shù)臋?quán)限：

chmod750 /var/ossec/integrations/custom-telegramchownroot:wazuh /var/ossec/integrations/custom-telegram

重要警告——集成的名稱(chēng)應(yīng)以“custom-”開(kāi)頭，否則我們親愛(ài)的Wazuh將不明白你在期待什么。

最后但同樣重要的是，是時(shí)候通過(guò)更新/var/ossec/etc/ossec.conf來(lái)完成設(shè)置了：

custom-telegramname> https://api.telegram.org/bot/sendMessagehook_url> jsonalert_format>integration>

通過(guò)運(yùn)行以下命令重啟Wazuh管理器：systemctl restart wazuh-manager.

重啟后，你將看到你的第一條通知，在代理上執(zhí)行root命令時(shí)創(chuàng)建的通知：

原文鏈接：

https://medium.com/@henrion.frn/get-your-home-network-secured-with-raspberry-pi-wazuh-2023-edition-c7ac2044df3e