Wazuh-ansible: Die Wazuh-Agentenregistrierung darf nicht den lokalen Host delegieren
Kontext
Wenn sich der Agent registriert, ruft der API-Aufruf auf, um Informationen darüber zu erhalten „ delegate_to: localhost “.
Problem
Wenn sich der Wazuh-Manager hinter einer Firewall befindet, die dem Ansible-Controller keinen Zugriff auf den API-Port 55000 zulässt, wird der Aufruf abgebrochen und die Registrierung schlägt fehl.
singuliere
Alle 4 Kommentare
Es sieht so aus, als ob diese Delegation hier hinzugefügt wurde:
https://github.com/wazuh/wazuh-ansible/commit/6cb6d3bda84c65508881e293e3403dae94ff24cc#diff -f382f2db5d2e651b16fc4b92ec32e988R90
Die Aufgabe Linux | Create the agent key via rest-API tat zuvor dasselbe. Auch das wurde inzwischen geändert. Ich denke, das wurde einfach übersehen.
paulcalabro
am 8. Jan. 2019
Hallo @singuliere und @paulcalabro, ich bin derjenige, der für diesen Code verantwortlich ist. :)
Wenn Sie fortfahren und diese Zeile entfernen, gehen Sie davon aus, dass der Client, den Sie registrieren möchten, die Wazuh-API erreichen kann.
IMHO aus Sicherheitssicht ist es besser, dem Ansible-Controller zu erlauben, die Wazuh-API zu erreichen, als jeden einzelnen Client mit der API verbinden zu lassen. Die API sollte geschützt und von verwalteten Hosts isoliert werden, da sie für böswillige Operationen verwendet werden kann.
Zum Beispiel. In meiner Firma können unsere Wazuh-Clients die API nicht erreichen, da der Manager in einem geschützten Netzwerk hinter einer Firewall ausgeführt wird. In diesem Fall funktioniert Ihre Registrierungslogik für unser Szenario nicht.
Was wir tun können, ist, den Benutzer wählen zu lassen, welche Art von Registrierungslogik gewünscht wird (ansible-manager -> wazuh-API oder wazuh-client -> wazuh-API).
Lass mich über eine richtige Lösung nachdenken ... :thinking:
angystardust
am 8. Jan. 2019
Das ist ein gutes Argument dafür, es zu behalten. Ich glaube, ich habe erwartet, dass die Registrierung vom Agenten b / c erfolgt, wie die authd-Registrierung funktioniert. Aber Ihr Ansatz ist sicherer. Wenn dies konfigurierbar gemacht werden könnte, um Netzwerkbeschränkungen zu berücksichtigen, wäre es ideal.
paulcalabro
am 8. Jan. 2019
@angystardust danke für die Erklärung, es macht absolut Sinn. Es ist derzeit inkonsistent (weil 689bb8ff35b38fa8258f82db219a4d2565dc5239 einen Delegate_to und nicht den anderen entfernt hat) und ich fälschlicherweise davon ausgegangen bin, dass die richtige Lösung diejenige ist, die zu meinem eigenen Anwendungsfall passt.
Da @paulcalabro der Idee zuzustimmen scheint, es konfigurierbar zu machen, werde ich die Pull-Anforderung entsprechend ändern.
singuliere
am 9. Jan. 2019
Verwandte Themen
paulcalabro
·
5Kommentare
dragospe
·
3Kommentare
singuliere
·
13Kommentare
SitoRBJ
·
4Kommentare
jzsplunk
·
5Kommentare
Hilfreichster Kommentar
Hallo @singuliere und @paulcalabro, ich bin derjenige, der für diesen Code verantwortlich ist. :)
Wenn Sie fortfahren und diese Zeile entfernen, gehen Sie davon aus, dass der Client, den Sie registrieren möchten, die Wazuh-API erreichen kann.
IMHO aus Sicherheitssicht ist es besser, dem Ansible-Controller zu erlauben, die Wazuh-API zu erreichen, als jeden einzelnen Client mit der API verbinden zu lassen. Die API sollte geschützt und von verwalteten Hosts isoliert werden, da sie für böswillige Operationen verwendet werden kann.
Zum Beispiel. In meiner Firma können unsere Wazuh-Clients die API nicht erreichen, da der Manager in einem geschützten Netzwerk hinter einer Firewall ausgeführt wird. In diesem Fall funktioniert Ihre Registrierungslogik für unser Szenario nicht.
Was wir tun können, ist, den Benutzer wählen zu lassen, welche Art von Registrierungslogik gewünscht wird (ansible-manager -> wazuh-API oder wazuh-client -> wazuh-API).
Lass mich über eine richtige Lösung nachdenken ... :thinking: