Quick start: Triển khai Wazuh All-in-one trong 5 phút
Nếu bạn đang vội hoặc muốn thử nghiệm ngay, script cài đặt tự động là lựa chọn số một. Mình từng nếm trái đắng khi server bị brute-force SSH liên tục vào lúc 2 giờ sáng. Sau khi thức trắng đêm dọn dẹp đống rác đó, mình đã cài ngay Wazuh để không bao giờ phải thức đêm một cách vô nghĩa nữa.
Yêu cầu phần cứng: Ubuntu 20.04/22.04, tối thiểu 4GB RAM và 2 CPU. Tuy nhiên, nếu định chạy lâu dài, bạn nên cấp 8GB RAM để hệ thống vận hành mượt mà hơn.
curl -sO https://packages.wazuh.com/4.7/wazuh-install.sh && sudo bash wazuh-install.sh -aQuá trình cài đặt thường mất từ 3 đến 5 phút. Khi kết thúc, script sẽ xuất ra thông tin username (admin) và password. Bạn chỉ cần truy cập https://<IP-Cua-Ban> để bắt đầu khám phá Dashboard.
Tại sao Wazuh là lựa chọn hàng đầu cho quản trị viên Linux?
Trước đây, mình thường xuyên phải SSH vào từng node để check /var/log/auth.log hoặc syslog. Cách này chỉ ổn khi bạn có 1-2 server. Khi số lượng tăng lên hàng chục, việc quản lý thủ công trở thành thảm họa. Wazuh giải quyết vấn đề này bằng cách biến dữ liệu log thô thành thông tin bảo mật có giá trị:
- Phát hiện xâm nhập (HIDS): Theo dõi hành vi bất thường của người dùng và tiến trình hệ thống theo thời gian thực.
- Quản lý lỗ hổng: Tự động quét các gói phần mềm lỗi thời. Nó sẽ đối chiếu với cơ sở dữ liệu CVE để cảnh báo bạn ngay khi có bản vá mới.
- Giám sát tính toàn vẹn file (FIM): Nếu ai đó chèn mã độc vào
/etc/passwdhoặc sửa file cấu hình Nginx, bạn sẽ nhận được thông báo sau vài giây. - Active Response: Tính năng này giúp hệ thống tự vệ bằng cách tự động khóa IP kẻ tấn công khi phát hiện dấu hiệu xâm nhập.
Cài đặt Agent: Kết nối các server về trung tâm
Sau khi dựng xong Manager, bạn cần cài “tai mắt” (Agent) lên các server vệ tinh. Thay vì gõ lệnh thủ công, hãy tận dụng giao diện Dashboard. Bạn chọn Deploy new agent, chọn hệ điều hành (Ubuntu, CentOS, Windows) và copy câu lệnh đã được tạo sẵn.
Dưới đây là ví dụ lệnh cài đặt cho Ubuntu server:
wget https://packages.wazuh.com/4.x/apt/pool/main/w/wazuh-agent/wazuh-agent_4.7.2-1_amd64.deb
sudo WAZUH_MANAGER='<IP_CUA_WAZUH_SERVER>' dpkg -i wazuh-agent_4.7.2-1_amd64.deb
sudo systemctl daemon-reload
sudo systemctl enable wazuh-agent
sudo systemctl start wazuh-agentChỉ cần vài giây sau khi chạy lệnh, server đó sẽ hiện trạng thái Active trên Dashboard. Mọi biến động từ file hệ thống đến log đăng nhập giờ đây đã nằm gọn trong tầm mắt bạn.
Kích hoạt Active Response: Tự động chặn đứng kẻ tấn công
Đây là phần giá trị nhất của Wazuh. Thay vì ngồi nhìn hacker dò mật khẩu, chúng ta sẽ cấu hình để hệ thống tự dùng iptables ban IP đó ngay lập tức. Trong thực tế, tính năng này giúp mình giảm đến 95% các cuộc tấn công brute-force tự động từ botnet.
Bạn hãy mở file cấu hình trên Manager tại /var/ossec/etc/ossec.conf. Tìm đến phần <active-response> và thêm đoạn cấu hình sau để xử lý rule 5712 (SSH brute force):
<command>
<name>firewall-drop</name>
<executable>firewall-drop</executable>
<timeout_allowed>yes</timeout_allowed>
</command>
<active-response>
<command>firewall-drop</command>
<location>local</location>
<rules_id>5712</rules_id>
<timeout>1800</timeout>
</active-response>Với cấu hình trên, bất kỳ IP nào vi phạm rule 5712 sẽ bị chặn trong 30 phút. Đừng quên chạy lệnh systemctl restart wazuh-manager để áp dụng thay đổi.
Kinh nghiệm xương máu khi vận hành thực tế
Sau nhiều năm triển khai Wazuh cho các dự án lớn nhỏ, mình rút ra 4 lưu ý quan trọng để hệ thống không trở thành gánh nặng:
1. Kiểm soát nhiễu log (Log Noise)
Wazuh Indexer tiêu tốn tài nguyên rất nhanh nếu bạn lưu trữ mọi thứ. Một hệ thống tầm trung có thể tạo ra hàng GB log mỗi ngày chỉ từ các yêu cầu check health của Load Balancer. Hãy lọc bỏ những log vô ích này và chỉ giữ lại các cảnh báo từ mức 5 (Level 5) trở lên để tiết kiệm ổ cứng.
2. Tối ưu quét lỗ hổng (Vulnerability Detection)
Đừng chỉ cài agent để xem log SSH. Hãy bật tính năng vulnerability-detector trong file ossec.conf. Tuy nhiên, bạn nên đặt lịch quét vào khung giờ thấp điểm. Việc quét liên tục có thể đẩy CPU của các server yếu lên mức 100%.
3. Phân quyền chặt chẽ
Tuyệt đối không dùng chung tài khoản admin cho cả team. Hãy tạo Role riêng cho từng bộ phận. Ví dụ, đội Developer chỉ cần quyền xem log ứng dụng, còn quyền can thiệp vào Active Response chỉ nên dành cho đội Security.
4. Chiến lược Backup
Nhiều người dành hàng tuần để viết Rule và Decoder tùy chỉnh nhưng lại quên backup. Hãy luôn sao lưu thư mục /var/ossec/etc/ định kỳ. Khi server gặp sự cố hoặc cần nâng cấp, bạn sẽ không phải tốn công xây dựng lại mọi thứ từ đầu.
Wazuh rất lợi hại nhưng để nó thực sự phát huy hiệu quả, bạn cần sự tỉ mỉ trong khâu vận hành. Hy vọng những hướng dẫn trên sẽ giúp bạn xây dựng được một hệ thống giám sát vững chắc. Đừng đợi đến khi bị hack mới bắt đầu lo lắng về bảo mật.
