Damit ein Server so wenig Angriffsfläche wie möglich bietet, empfiehlt es sich diesen nach den Open-SCAP Richtlinien zu installieren, weitere Informationen findet ihr dazu hier:
https://static.open-scap.org/ssg-guides/ssg-ubuntu2204-guide-index.html
Ladet dazu das aktuelle 22.04 LTS Image herunter unter https://ubuntu.com/download/server
Hinweis: Die Ubuntu LTS Server Editionen sind Long Time Versionen, diese erhalten 10 Jahre lang updates.
Erstellt eine VM wie folgt:
- z.B. 6 Cores (sollte der Anzahl der echten Kerne der CPU entsprechen)
- 2 GB Ram oder mehr (basierend auf den Bedarf der Anwendungen)
- Netzwerkkarte (VMXNet3)
- Folgende Festplatten:
- 4 GB (/boot und swap)
- 5 GB (/home)
- 2 GB (/tmp)
- 10 GB (/var)
- 5 GB (/var/log)
- 10 GB (/var/log/audit)
- 2 GB (/var/tmp)
- 20 GB (/)
Anhand dieses Videos könnt ihr die Einrichtung nachvollziehen:
Hinweis: Die Plattenkonfiguration ist nur ein Beispiel, passt diese euren Erfordernissen an.
Installiert nun die Minimalversion, wählt die Partitionen wie oben angegeben (LVM – verschlüsselt wenn ihr die Festplatten verschlüsseln wollt, beachtet jedoch das ihr dann nach jedem Neustart den Schlüssel von Hand eingeben müsst. Ansonsten unverschlüsselt).
Am Ende aktiviert noch den SSH Server.
Nach der Installation aktualisiert bitte das System wie folgt:
- sudo apt update
- sudo apt upgrade
Wenn gewünscht, installiert noch den Wazuh Agent und den Velociraptor Client.
Im Wazuh Server unter Agents könnt ihr dann den SCA Score vorher prüfen und schauen ob es noch Vulnerabilitys gibt.
Erstellt am besten danach eine Sicherung und/oder einen Snapshot.
Falls ihr einen virtuellen Server habt, und diese noch nicht installiert sein sollten (das erkennt ihr daran ob der Hypervisor mit der VM kommunizieren kann, z.B. diese neustarten kann) – noch die Open VM tools wie folgt:
- sudo apt install open-vm-tools
Danach setzt ihr von den CIS Guide unter https://static.open-scap.org/ssg-guides/ssg-ubuntu2204-guide-index.html mit der Auswahl „CIS Ubuntu 22.04 Level 1 Server Benchmark“ um. Unter dem jeweiligen Punkt findet ihr die Möglichkeit „Remediation Shell Script“ – damit erhaltet ihr ein Scriptlet mit dem ihr die Einstellung umsetzen könnte. Am besten macht ihr dies per SSH, dann könnt ihr diese mit Copy and Paste übernehmen.
Wenn gewünscht, installiert noch die Firewall und richtet diese ein – damit könnt ihr z.B. später mit Velociraptor den Client zur Analyse in die Quarantäne nehmen:
- sudo apt install ufw
- sudo ufw enable
- sudo ufw allow 22/tcp
Danach natürlich noch alle Firewallfreigaben, die ihr noch benötigt.
Anschließend, wenn alles fertig ist – dann noch mal im Wazuh unter Agents den SCA Status prüfen.
Sollte alles in Ordnung sein, dann könnt ihr das Backup aktualisieren und ggf. den Snapshot löschen.
Ggf. könnt ihr aus der VM auch ein Template erstellen.