Cuando el agente se registra, la API llama para obtener información al respecto delegar_a: localhost .
Cuando el administrador de wazuh está detrás de un firewall que no permite que el controlador ansible acceda al puerto API 55000, la llamada expirará y el registro fallará.
Parece que esta delegación se agregó aquí:
La tarea Linux | Create the agent key via rest-API
anteriormente estaba haciendo lo mismo. Eso también ha cambiado desde entonces. Creo que esto se perdió.
Hola , @singuliere y @paulcalabro , yo soy el culpable de ese código. :)
Si continúa y elimina esa línea, está asumiendo que el cliente que está tratando de registrar puede acceder a wazuh-api.
En mi humilde opinión, desde el punto de vista de la seguridad, es mejor permitir que el controlador ansible llegue a wazuh-api que permitir que cada cliente se conecte a la API. La API debe protegerse y aislarse de los hosts administrados porque puede usarse para operaciones maliciosas.
Por ejemplo. en mi empresa, nuestros clientes wazuh no pueden acceder a la API porque el administrador se ejecuta en una red procesada detrás de un firewall; en este caso, su lógica de registro no funcionará para nuestro escenario.
Lo que podemos hacer es dejar que el usuario elija qué tipo de lógica de registro quiere (ansible-manager -> wazuh-API o wazuh-client -> wazuh-API).
Déjame pensar en una solución adecuada... :pensando:
Ese es un argumento justo para mantenerlo. Creo que esperaba que el registro se produjera por parte del agente debido a cómo funciona el registro authd. Pero, su enfoque es más seguro. Si esto pudiera configurarse para abordar las limitaciones de la red, sería ideal.
@angystardust gracias por la explicación, tiene mucho sentido. Actualmente es inconsistente (porque 689bb8ff35b38fa8258f82db219a4d2565dc5239 eliminó un delegado y no el otro) y asumí erróneamente que la solución correcta era la que coincidía con mi propio caso de uso.
Dado que @paulcalabro parece estar de acuerdo con la idea de hacerlo configurable, modificaré la solicitud de extracción en consecuencia.
Comentario más útil
Hola , @singuliere y @paulcalabro , yo soy el culpable de ese código. :)
Si continúa y elimina esa línea, está asumiendo que el cliente que está tratando de registrar puede acceder a wazuh-api.
En mi humilde opinión, desde el punto de vista de la seguridad, es mejor permitir que el controlador ansible llegue a wazuh-api que permitir que cada cliente se conecte a la API. La API debe protegerse y aislarse de los hosts administrados porque puede usarse para operaciones maliciosas.
Por ejemplo. en mi empresa, nuestros clientes wazuh no pueden acceder a la API porque el administrador se ejecuta en una red procesada detrás de un firewall; en este caso, su lógica de registro no funcionará para nuestro escenario.
Lo que podemos hacer es dejar que el usuario elija qué tipo de lógica de registro quiere (ansible-manager -> wazuh-API o wazuh-client -> wazuh-API).
Déjame pensar en una solución adecuada... :pensando: