Cyber Security: Ubuntu 26.04: Wazuh Install

From OnnoWiki
Revision as of 11:10, 14 June 2026 by Onnowpurbo (talk | contribs) (→‎7. Jalankan Wazuh)
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)
Jump to navigation Jump to search

Instalasi Wazuh Server di Ubuntu 26.04==

Catatan penting: Ubuntu 26.04 LTS belum tercantum sebagai sistem operasi yang didukung resmi oleh instalasi native Wazuh. Dokumentasi Wazuh saat ini hanya mencantumkan Ubuntu 16.04 sampai 24.04. Untuk Ubuntu 26.04, metode yang paling aman adalah menjalankan **Wazuh single-node menggunakan Docker**. Untuk produksi yang membutuhkan dukungan resmi, gunakan Ubuntu Server 24.04. ([Dokumentasi Wazuh][1])

Instalasi ini memasang:

  • Wazuh Manager
  • Wazuh Indexer
  • Wazuh Dashboard

1. Periksa kapasitas server

Wazuh single-node berbasis Docker membutuhkan setidaknya 4 core CPU, RAM 8 GB, dan disk 50 GB. ([Dokumentasi Wazuh][2]) 

nproc
free -h
df -h
uname -m

Arsitektur harus `x86_64` atau `aarch64`.

2. Perbarui Ubuntu

sudo apt update
sudo apt upgrade -y
sudo reboot

Setelah server hidup kembali, login lagi melalui SSH.

3. Instal Docker Engine

Hapus paket Docker lama yang mungkin bentrok: 

sudo apt remove -y \
  docker.io \
  docker-compose \
  docker-compose-v2 \
  docker-doc \
  podman-docker || true

Pasang kebutuhan dasar: 

sudo apt update
sudo apt install -y ca-certificates curl git

Tambahkan kunci resmi Docker: 

sudo install -m 0755 -d /etc/apt/keyrings

sudo curl -fsSL \
  https://download.docker.com/linux/ubuntu/gpg \
  -o /etc/apt/keyrings/docker.asc

sudo chmod a+r /etc/apt/keyrings/docker.asc

Tambahkan repository Docker: 

sudo tee /etc/apt/sources.list.d/docker.sources > /dev/null <<EOF
Types: deb
URIs: https://download.docker.com/linux/ubuntu
Suites: $(. /etc/os-release && echo "${UBUNTU_CODENAME:-$VERSION_CODENAME}")
Components: stable
Architectures: $(dpkg --print-architecture)
Signed-By: /etc/apt/keyrings/docker.asc
EOF

Instal Docker Engine dan Compose: 

sudo apt update

sudo apt install -y \
  docker-ce \
  docker-ce-cli \
  containerd.io \
  docker-buildx-plugin \
  docker-compose-plugin

Periksa: 

sudo systemctl status docker --no-pager
sudo docker version
sudo docker compose version

Metode repository dan paket tersebut merupakan metode instalasi yang direkomendasikan Docker untuk Ubuntu. ([Docker Documentation][3])

4. Konfigurasi kernel untuk Wazuh Indexer

Wazuh Indexer memerlukan `vm.max_map_count` minimal `262144`. Tanpa konfigurasi ini, indexer dapat gagal menyala. ([Dokumentasi Wazuh][2]) 

echo 'vm.max_map_count=262144' | \
sudo tee /etc/sysctl.d/99-wazuh.conf

Terapkan: 

sudo sysctl --system

Periksa: 

sysctl vm.max_map_count

Hasil yang diharapkan: 

vm.max_map_count = 262144

5. Download Wazuh Docker

Versi Wazuh yang tersedia saat ini adalah seri 4.14, dengan paket terbaru yang tercantum sebagai 4.14.5. ([Dokumentasi Wazuh][4]) 

cd /opt

sudo git clone \
  https://github.com/wazuh/wazuh-docker.git \
  -b v4.14.5

Berikan akses direktori kepada pengguna saat ini: 

sudo chown -R "$USER":"$USER" /opt/wazuh-docker

Masuk ke single-node: 

cd /opt/wazuh-docker/single-node


6. Buat sertifikat Wazuh

sudo docker compose \
  -f generate-indexer-certs.yml \
  run --rm generator

Periksa apakah sertifikat sudah terbentuk: 

sudo ls -lah config/wazuh_indexer_ssl_certs/

Direktori tersebut seharusnya berisi beberapa file `.pem`.

7. Jalankan Wazuh

sudo docker compose pull
sudo docker compose up -d

Periksa container: 

sudo docker compose ps

Periksa log: 

sudo docker compose logs --tail=100

Anda seharusnya melihat container untuk:

  • `wazuh.manager`
  • `wazuh.indexer`
  • `wazuh.dashboard`

Pada awal startup, pesan seperti berikut masih normal sementara indexer melakukan inisialisasi: 

Failed to connect to Wazuh indexer port 9200
Wazuh dashboard server is not ready yet

Dokumentasi Wazuh menyebutkan indexer memerlukan waktu untuk melakukan inisialisasi sebelum dashboard siap. ([Dokumentasi Wazuh][2])

8. Buka port firewall

Cari IP server: 

hostname -I


Untuk penggunaan dalam jaringan lokal, misalnya jaringan `192.168.0.0/24`: 

sudo ufw allow OpenSSH

sudo ufw allow from 192.168.0.0/24 \
  to any port 443 proto tcp

sudo ufw allow from 192.168.0.0/24 \
  to any port 1514 proto tcp

sudo ufw allow from 192.168.0.0/24 \
  to any port 1515 proto tcp

sudo ufw enable
sudo ufw status numbered

Ganti `192.168.0.0/24` sesuai subnet jaringan Anda.

Untuk penggunaan dalam jaringan lokal, misalnya jaringan `192.168.1.0/24`: 

sudo ufw allow OpenSSH

sudo ufw allow from 192.168.1.0/24 \
  to any port 443 proto tcp

sudo ufw allow from 192.168.1.0/24 \
  to any port 1514 proto tcp

sudo ufw allow from 192.168.1.0/24 \
  to any port 1515 proto tcp

sudo ufw enable
sudo ufw status numbered

Ganti `192.168.1.0/24` sesuai subnet jaringan Anda.

Port utamanya:

  • `443/TCP`: dashboard
  • `1514/TCP`: komunikasi agent
  • `1515/TCP`: registrasi agent
  • `55000/TCP`: Wazuh API
  • `9200/TCP`: Wazuh Indexer API

Jangan membuka port `9200` dan `55000` ke internet publik kecuali dilindungi VPN, firewall, dan autentikasi yang benar. ([Dokumentasi Wazuh][5])

9. Akses dashboard

Buka browser: 

https://IP-SERVER

Contoh: 

https://192.168.1.100

Login awal: 

Username: admin
Password: SecretPassword

Peringatan sertifikat dari browser normal karena instalasi awal menggunakan sertifikat *self-signed*. Kredensial tersebut adalah kredensial bawaan deployment Docker dan harus segera diganti. ([Dokumentasi Wazuh][2])

10. Perintah pengelolaan

Masuk ke direktori: 

cd /opt/wazuh-docker/single-node

Melihat status: 

sudo docker compose ps

Melihat log: 

sudo docker compose logs -f

Menghentikan sementara: 

sudo docker compose stop

Menjalankan kembali: 

sudo docker compose start

Restart: 

sudo docker compose restart

Menghapus container tetapi mempertahankan volume data: 

sudo docker compose down

Jangan menggunakan opsi berikut kecuali benar-benar ingin menghapus data Wazuh: 

sudo docker compose down -v
    1. Tidak ingin Wazuh otomatis hidup saat boot

Container Wazuh biasanya memiliki kebijakan restart dan akan hidup ketika Docker hidup. Untuk server produksi, ini umumnya memang diinginkan.

Untuk server lab yang ingin dijalankan manual: 

cd /opt/wazuh-docker/single-node
sudo docker compose stop

Matikan autostart Docker: 

sudo systemctl disable docker.service docker.socket
sudo systemctl stop docker.service docker.socket

Untuk menjalankan Wazuh secara manual: 

sudo systemctl start docker

cd /opt/wazuh-docker/single-node
sudo docker compose up -d

Rekomendasi akhir: Ubuntu 26.04 + Docker cocok untuk lab dan eksperimen. Untuk deployment SOC produksi, gunakan Ubuntu Server 24.04 + instalasi native Wazuh atau deployment Docker yang telah diuji menyeluruh.

Retrieved from "https://onnocenter.or.id/wiki/index.php?title=Cyber_Security:_Ubuntu_26.04:_Wazuh_Install&oldid=73577"