Wazuh项目Kubernetes部署与密码安全实践指南

概述

本文详细介绍了Wazuh安全监控平台在Kubernetes环境下的部署过程，重点讲解了如何安全地修改默认密码以增强系统安全性。Wazuh作为一个开源的安全信息与事件管理(SIEM)解决方案，在Kubernetes上的部署能够提供更好的可扩展性和高可用性。

环境准备

在开始部署前，需要准备以下基础设施：

• AWS EKS集群作为Kubernetes运行环境
• AWS CLI工具用于集群访问
• kubectl命令行工具用于Kubernetes操作
• 必要的计算资源（包括节点和存储）

部署过程

1. 获取部署文件

首先需要获取Wazuh的Kubernetes部署配置文件：

git clone https://github.com/wazuh/wazuh-kubernetes.git -b v4.12.0-alpha1 --depth=1

2. 生成SSL证书

安全通信是Wazuh集群的基础，需要为各组件生成SSL证书：

wazuh-kubernetes/wazuh/certs/indexer_cluster/generate_certs.sh
wazuh-kubernetes/wazuh/certs/dashboard_http/generate_certs.sh

3. 部署Kubernetes资源

使用kubectl应用部署配置：

kubectl apply -k envs/eks/

此命令将创建以下资源：

• Wazuh命名空间
• 存储类
• 配置映射
• 密钥(Secrets)
• 服务(Service)
• 部署(Deployment)
• 有状态应用(StatefulSet)

4. 验证部署

部署完成后，可以通过以下命令验证各组件状态：

kubectl get pods -n wazuh
kubectl get services -n wazuh

密码安全实践

1. Wazuh Indexer密码修改

Wazuh Indexer默认包含admin和kibanaserver用户，修改密码步骤如下：

1. 生成新密码的哈希值：

bash /usr/share/wazuh-indexer/plugins/opensearch-security/tools/hash.sh

2. 更新internal_users.yml文件中的密码哈希

3. 更新Kubernetes Secret中的密码(base64编码)：

echo -n "新密码" | base64

4. 应用安全配置变更：

bash /usr/share/wazuh-indexer/plugins/opensearch-security/tools/securityadmin.sh

2. Wazuh API用户密码修改

1. 生成新密码的base64编码：

echo -n "新密码" | base64

2. 更新wazuh-api-cred-secret.yaml文件

3. 应用配置变更并重启相关Pod

常见问题解决

在部署过程中可能会遇到以下问题：

1. Agent注册失败：当Agent无法连接到Manager时，需要检查：

   • 网络连通性
   • 认证配置（特别是authd.pass文件）
   • 端口配置（1514为worker服务端口，1515为master服务端口）

2. 集群初始化问题：多节点Indexer集群可能出现初始化问题，需要：

   • 检查存储配置
   • 验证网络策略
   • 检查资源配额

最佳实践建议

1. 密码策略：

   • 使用复杂密码（包含大小写字母、数字和特殊字符）
   • 定期轮换密码
   • 不同组件使用不同密码

2. 监控与维护：

   • 设置集群健康监控
   • 定期备份关键配置和数据
   • 保持组件版本更新

3. 安全加固：

   • 限制API访问
   • 启用审计日志
   • 实施网络隔离

总结

Wazuh在Kubernetes上的部署提供了灵活、可扩展的安全监控解决方案。通过本文介绍的部署流程和密码安全实践，用户可以构建一个安全、可靠的Wazuh集群环境。在实际生产环境中，建议结合具体需求进行更详细的安全配置和性能调优。