Linux下安装Wazuh安全监控教程

本文详细介绍了在Linux系统上部署Wazuh安全监控平台的四大生产级安装方案——从一键式官方脚本自动化部署（覆盖Indexer、Server与Dashboard全栈），到RHEL/CentOS系签名仓库手动安装、Ubuntu/Debian APT源安装，再到关键的服务状态验证、HTTPS登录凭证提取及防火墙端口（9200/1514-1515/443）放行，手把手指导读者快速构建具备入侵检测与实时监控能力的企业级安全防护体系，兼顾效率、可控性与安全性。

如果您计划在Linux系统上部署Wazuh安全监控平台以实现入侵检测能力，则需完成服务端安装、配置验证与基础代理接入。以下是适用于生产环境的高级安装步骤：

一、使用官方安装助手部署Wazuh服务端

该方法通过自动化脚本完成Wazuh Indexer、Server和Dashboard三大组件的一体化安装，适用于单节点或集群架构，避免手动配置组件依赖与证书错误。

1、下载安装脚本与配置模板：
curl -sO https://packages.wazuh.com/4.x/wazuh-install.sh && curl -sO https://packages.wazuh.com/4.x/config.yml

2、编辑config.yml，设置单节点IP（例如：192.168.1.225）并取消注释对应section，确保indexer、server、dashboard均指向同一地址

3、生成初始配置文件：
bash wazuh-install.sh --generate-config-files

4、执行全栈安装：
bash wazuh-install.sh --wazuh-indexer node-1 --wazuh-server wazuh-1 --wazuh-dashboard dashboard

5、启动集群服务：
bash wazuh-install.sh --start-cluster

二、通过签名仓库手动安装（RHEL/CentOS系）

适用于需精确控制组件版本、启用SELinux策略或集成现有YUM生态的环境，支持离线部署与长期版本锁定。

1、导入GPG密钥：
sudo rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUH

2、创建仓库配置文件：
sudo tee /etc/yum.repos.d/wazuh.repo <[wazuh]
name=Wazuh repository
baseurl=https://packages.wazuh.com/4.x/yum/
gpgcheck=1
gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH
enabled=1
EOF

3、刷新缓存并安装核心组件：
sudo yum makecache fast && sudo yum install wazuh-indexer wazuh-server wazuh-dashboard

4、分别启动服务：
sudo systemctl daemon-reload && sudo systemctl enable --now wazuh-indexer wazuh-server wazuh-dashboard

三、Ubuntu/Debian系统APT源安装法

利用Debian包管理系统保障依赖完整性，适配systemd服务管理机制，便于与Ansible等自动化工具集成。

1、添加GPG密钥：
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | sudo gpg --no-default-keyring --keyring gnupg-ring:/usr/share/keyrings/wazuh.gpg --import && sudo chmod 644 /usr/share/keyrings/wazuh.gpg

2、添加软件源：
echo "deb [arch=amd64 signed-by=/usr/share/keyrings/wazuh.gpg] https://packages.wazuh.com/4.x/apt/ stable main" | sudo tee /etc/apt/sources.list.d/wazuh.list

3、更新索引并安装：
sudo apt update && sudo apt install wazuh-indexer wazuh-server wazuh-dashboard

4、启用并启动全部服务：
sudo systemctl enable --now wazuh-indexer wazuh-server wazuh-dashboard

四、验证服务状态与访问凭证提取

安装完成后需确认各组件进程存活、端口监听正常，并提取首次登录所需的管理员凭据，防止因证书未就绪导致Kibana界面无法加载。

1、检查服务运行状态：
sudo systemctl status wazuh-indexer wazuh-server wazuh-dashboard | grep "active (running)"

2、确认端口监听：
sudo ss -tuln | grep -E ':(9200|1514|443)'

3、提取初始化凭证：
sudo cat /var/lib/wazuh-indexer/certs/admin.pem | grep -A1 "admin:" | tail -1 | awk '{print $2}'

4、访问Dashboard时，必须使用HTTPS协议且浏览器接受自签名证书警告

五、配置防火墙放行关键端口

Wazuh各组件间通信依赖固定端口，若系统启用了firewalld或ufw，未开放将导致Indexer无法注册、Dashboard无法连接后端服务。

1、对于firewalld（RHEL/CentOS）：
sudo firewall-cmd --permanent --add-port=9200/tcp && sudo firewall-cmd --permanent --add-port=1514-1515/udp && sudo firewall-cmd --permanent --add-port=443/tcp && sudo firewall-cmd --reload

2、对于ufw（Ubuntu/Debian）：
sudo ufw allow 9200/tcp && sudo ufw allow 1514:1515/udp && sudo ufw allow 443/tcp && sudo ufw reload

3、验证规则生效：
sudo firewall-cmd --list-ports 或 sudo ufw status verbose

以上就是本文的全部内容了，是否有顺利帮助你解决问题？若是能给你带来学习上的帮助，请大家多多支持golang学习网！更多关于文章的相关知识，也可关注golang学习网公众号。