Clonage VM Template

On commence par cloner la VM Template à l'aide KVM en choisissant le bridge br2 pour la DMZ.

Changement nom d'hôte

hostnamectl set-hostname web-tp1

Réservation d'adresse DHCP

Sur DHCP 1 & 2 :

nano /etc/dhcp/dhcpd.conf

# dans la partie public 

host web-tp1 {
                        # adresse MAC de web-tp1
                        hardware ethernet 52:54:00:d9:02:6b;
                        # adresse réservée pour web-tp1
                        fixed-address 10.31.200.7;
                }

systemctl restart isc-dhcp-server # on redémarre le service dhcp pour appliquer les changements

Sur web-tp1 :

dhclient -r # efface les anciennes configurations dhcp
dhclient -v # effectue une nouvelle requête dhcp

On voit que le serveur Web a bien récupéré l'adresse 10.31.200.7 que le dhcp1 lui a donnée.

Partie B - Installation Serveur BDD

Clonage VM Template

Pareil que pour le serveur web, on commence par cloner la VM Template à l'aide KVM en choisissant le bridge br1 pour le LAN.

Changement nom d'hôte

 hostnamectl set-hostname bdd-tp1

Réservation d'adresse DHCP

Sur DHCP 1 & 2 :

nano /etc/dhcp/dhcpd.conf

# dans la partie privée

host bdd-tp1 {
                        # adresse MAC de bdd-tp1
                        hardware ethernet 52:54:00:2d:15:bb;
                        # adresse réservée pour bdd-tp1
                        fixed-address 10.31.192.8;
                }

systemctl restart isc-dhcp-server # on redémarre le service dhcp pour appliquer les changements

Sur bdd-tp1 :

dhclient -r # efface les anciennes configurations dhcp
dhclient -v # effectue une nouvelle requête dhcp

On voit que le serveur de BDD a bien récupéré l'adresse 10.31.192.8 que le dhcp2 lui a donnée.

Installation de MariaDB

apt update # mets à jour les packets apt
apt install mariadb-server # installe le packet mariadb-server

On va désormais lancer le script d'installation sécurisé MySQL et modifier le mot de passe root pour un mot de passe sécurisé.

mysql_secure_installation

Installation Plug-in ed25519

MySQL utilise par défaut l'authentification basée sur SHA-1. Seulement, SHA-1 n'est plus considéré comme un algorithme sécurisé, c'est pourquoi il est important d'utiliser un plug-in d'authentification comme ed25519.

Ce plug-in utilise l’algorithme de signature numérique à courbe elliptique (ECDSA) pour stocker en toute sécurité les mots de passe des utilisateurs et pour authentifier les utilisateurs. L’algorithme ed25519 est le même que celui utilisé par OpenSSH.

mariadb # entre dans l'interface de ligne de commande mariadb
INSTALL SONAME 'auth_ed25519'; # installe le plug-in d'authentification ed25519

Création Base de données

Sur bdd-tp1 :

mysql -u root -p

CREATE DATABASE nextclouddb;
GRANT ALL ON nextclouddb.* TO 'std'@'localhost' IDENTIFIED BY 'drowssap';
GRANT ALL PRIVILEGES ON nextclouddb.* TO 'std'@'10.31.200.7' IDENTIFIED BY 'drowssap' WITH GRANT OPTION;
FLUSH PRIVILEGES;
EXIT;

Autoriser les connexions distantes

Par défaut, MySQL n'autorise pas les connexions distantes. En effet, MariaDB est en écoute uniquement sur l'adresse de loopback (127.0.0.1). Il faut donc modifier ce paramètre de telle sorte que l'on puisse se connecter à la base de donnée sur une autre machine.

nano /etc/mysql/mariadb.conf.d/50-server.cnf

# on modifie cette ligne pour autoriser l'écoute pour n’importe quelle adresse ipv4
bind-address            = 0.0.0.0

systemctl restart mariadb.service # appliquer les changements
netstat -lpn | grep mariadb # vérifie les ports en écoute pour le service mariadb

Partie C - Configuration DNS

On va maintenant créer un enregistrement DNS pour pouvoir accéder au cloud en allant à l'adresse : https://cloud.asie.gsb.org/

Configuration DNS Primaire

Sur ns1-pub :

nano /etc/bind/db.asie.gsb.org # fichier de configuration pour la zone asie.gsb.org

# ajoute un enregistrement A pour rediriger le sous domaine cloud vers le serveur web

cloud IN A 10.31.200.7

systemctl restart bind9

Vérification du Serveur DNS Primaire

dig a cloud.asie.gsb.org

On voit que notre serveur dns répond bien l'adresse de notre serveur web pour cloud.asie.gsb.org.

Configuration DNS Secondaire

Sur le DNS secondaire, il n'y a pas de changements à faire car tout est déjà configuré pour qu'il mette à jour automatiquement sa base pour les zones concernées. Seulement, il est important de changer le numéro de série dans le champ SOA sur le DNS primaire pour signaler au DNS secondaire de mettre à jour sa base de données.

Vérification du Serveur DNS Secondaire

dig a cloud.gsb.org @10.31.200.54

On voit que notre serveur de nom secondaire répond bien l'adresse de notre serveur web pour cloud.asie.gsb.org.

Partie D - Installation d’Apache2 & Nextcloud

Installation Apache2

Sur web-tp1 :

apt update
apt upgrade
apt install apache2 php-mysql libapache2-mod-php php php-gd php-curl php-zip php-dom php-xml php-simplexml php-mbstring

On voit donc avec la commande netstat, que le port 80 est bien sur écoute.

netstat -nlt

• n : Afficher les adresses numériques au lieu d'essayer de déterminer les noms symboliques d'hôte, de port ou d'utilisateur.

• l : Afficher uniquement les sockets en écoute.

• t : Afficher uniquement les ports TCP.

  

Création du Vhost

nano /etc/apache2/sites-available/cloud.asie.gsb.org.conf

 <VirtualHost *:80>
      ServerAdmin webmaster@asie.gsb.org
      ServerName cloud.asie.gsb.org
      DocumentRoot /home/htdocs/asie.gsb.org/cloud

      ErrorLog /var/log/apache2/www-error.log
      CustomLog /var/log/apache2/www-access.log combined

      <Directory /home/htdocs/asie.gsb.org/cloud>
           Require all granted
      </Directory>
</VirtualHost>

mkdir -p /home/htdocs/asie.gsb.org/cloud
a2ensite cloud.asie.gsb.org
systemctl restart apache2

Installation Nextcloud

wget https://download.nextcloud.com/server/releases/nextcloud-25.0.4.zip
mv nextcloud-25.0.4.zip /home/htdocs/asie.gsb.org/cloud/
cd /home/htdocs/asie.gsb.org/cloud/
unzip nextcloud-25.0.4.zip
chown -R www-data:www-data /home/htdocs/asie.gsb.org/cloud/
systemctl restart apache2

Partie E - HTTPS

Création d'un certificat pour le serveur web public

Pour créer le certificat de notre serveur web, nous allons utiliser l'outil openssl.

Qu'est-ce qu'OpenSSL ?

OpenSSL est un logiciel open-source qui implémente les protocoles de chiffrement SSL et TLS pour sécuriser les communications sur Internet. Dans notre cas, nous utiliserons OpenSSL pour créer des certificats de chiffrement autosignés. Ces certificats sont signés par l'entité qui les utilise au lieu d'être signée par une autorité de certification (CA) tierce. Ils peuvent être utilisés pour sécuriser les communications sur un réseau privé ou pour des tests de développement, mais ils ne sont généralement pas considérés comme fiables pour les communications sur Internet en raison de leur manque de vérification de l'identité de l'entité qui les utilise. Lors de l'accès à des sites protégés par un certificat autosigné, un message d'avertissement peut être affiché pour indiquer qu'il est impossible de vérifier l'authenticité du certificat.

apt-get install openssl
mkdir /etc/ssl/localcerts
openssl req -new -x509 -sha256 -days 365 -nodes -out /etc/ssl/localcerts/gsb.crt -keyout /etc/ssl/localcerts/gsb.key.org

• req : permet de créer et traiter les demandes de certificats

• -new : permet de générer la demande de certificat

• -nodes : désactive le chiffrement de la clé privé

• -keyout : donne le nom ou le fichier ou la clé privée sera créé

• -out : nom du fichier de sortie (cela correspond au certificat)

• -days : durée de validité du certificat (en jours)

    ls /etc/ssl/localcerts # vérifie que le certificat soit bien créé
  

  

Adaptation du Vhost et de la configuration d'Apache

Une fois le certificat créé, il faut maintenant modifier la configuration du Vhost afin de lui indiquer de se mettre en écoute sur le port 443 pour faire du HTTPS en utilisant notre certificat et notre clé. A noter qu'on ajoute également la une directive Redirect dans le vhost pour le port 80 dans le but de rediriger les utilisateurs vers la page HTTPS.

nano /etc/apache2/sites-available/cloud.asie.gsb.org.conf

 <VirtualHost *:80>
      ServerAdmin webmaster@asie.gsb.org
      ServerName cloud.asie.gsb.org
      DocumentRoot /home/htdocs/asie.gsb.org/cloud

      ErrorLog /var/log/apache2/www-error.log
      CustomLog /var/log/apache2/www-access.log combined

      Redirect permanent / https://cloud.asie.gsb.org/

      <Directory /home/htdocs/asie.gsb.org/cloud>
           Require all granted
      </Directory>
</VirtualHost>

<VirtualHost *:443>
      ServerAdmin webmaster@asie.gsb.org
      ServerName cloud.asie.gsb.org
      DocumentRoot /home/htdocs/asie.gsb.org/cloud

      ErrorLog /var/log/apache2/www-error.log
      CustomLog /var/log/apache2/www-access.log combined

      SSLCertificateFile      /etc/ssl/localcerts/gsb.crt
      SSLCertificateKeyFile /etc/ssl/localcerts/gsb.key.org

      <Directory /home/htdocs/asie.gsb.org/cloud>
           Require all granted
      </Directory>
</VirtualHost>

a2enmod ssl # active ssl 
systemctl restart apache2 # redémarre apache2 pour appliquer les changements 
netstat -nat # affiche les ports en écoute

Ici, on voit bien que notre serveur web est désormais en écoute sur le port 443.

Vérification HTTPS

Partie F - Activer MFA sur Nextcloud

La MFA (Multi-Factor Authentication) est une méthode de sécurité qui nécessite deux ou plusieurs moyens d'authentification différents pour accéder à un compte. L'objectif est de rendre plus difficile pour les pirates informatiques de compromettre votre compte en exigeant une seconde couche d'authentification. Dans notre cas, nous allons nous servir du service Google Authenticator pour la MFA.

Installation plug-in

Dans l'onglet Applications > Sécurité, installer le module Two-Factor TOTP Provier.

Ensuite, dans l'onglet Paramètres d'administration > Personnel > Sécurité, activer le TOTP :

Désormais, quand un utilisateur tente de se connecter, Nextcloud exigera également son code TOTP

Partie G - Script de sauvegarde

Réalisation du script

J'ai également voulu créer un script de sauvegarde afin de pouvoir restaurer rapidement la base de donnée nexclouddb en cas de problèmes. Pour cela, j'ai décidé d'utiliser bash et la commande mysqldump pour sa facilité d'utilisation.

nano nextcloud-backup.sh

db_password="XXXXXXXXXX"

backup_dir="/root/nextcloud-backup/"
backup_file="nextcloud_$(date +%Y%m%d_%H%M%Sz).sql"

mysqldump --single-transaction -h 10.31.192.8 -u std -p$db_password nextclouddb > $backup_dir/$backup_file
find $backup_dir -type f -mtime +7 -delete

Je commence par déclarer des variables pour pouvoir rapidement changer les paramètres si jamais l'administrateur le décide. Puis j'effectue une backup de la base de donnée avec la commande mysqldump que l'on va stocker le répertoire de la variable backup_dir. Et enfin, j'utilise la commande find pour supprimer les fichiers de backups datant de plus de 7 jours pour pouvoir faire le tri et donc ne pas saturer l'espace de stockage du disque.

chmod +x nextcloud-backup.sh # attribue le droit d'éxécution au script
./nextcloud-backup.sh # éxécute le script

On voit qu'après exécution du script, le fichier de backup a bien été créé.

Cron

Maintenant, le but est d'exécuter le script toutes les 10 minutes pour pouvoir assurer la sécurité de l'application. Pour cela, on va créer une crontab avec l'outil cron.

crontab -e # modifie la configuration des crontabs

# ajouter cette ligne pour exécuter le script toutes les 10 minutes 

*/10 * * * * /root/nextcloud-backup.sh

Désormais, le script sera automatiquement exécuter toutes les 10 minutes sur le serveur web.

Partie H - IDS (Fail2Ban) - Nextcloud

On commence par installer Fail2Ban sur le serveur web privé.

Sur web-tp1 :

apt update
apt install fail2ban iptables
cd /etc/fail2ban/
cp jail.conf jail.local # créer une copie du fichier jail.conf

Puis, on ajoute la jail pour nextcloud :

nano jail.local

[nextcloud]
enabled = true # active la jail
filter = nextcloud # le fichier filtre sera nextcloud.conf dans filter.d
port = https # le port 443 sera affecté par l’action entreprise
logpath = /home/htdocs/asie.gsb.org/cloud/data/nextcloud.log # le chemin vers le fichier de logs nextcloud à surveiller
maxretry = 2 # 3ème essai = ban
bantime = 120 # ban pendant 120s

On va maintenant configurer la regex pour indiquer la forme que prends un message d'erreur de connexion pour le service nextcloud.

nano filter.d/nextcloud.conf

[Definition]
_groupsre = (?:(?:,?\s*"\w+":(?:"[^"]+"|\w+))*)
failregex = ^\{%(_groupsre)s,?\s*"remoteAddr":"<HOST>"%(_groupsre)s,?\s*"message":"Login failed:
            ^\{%(_groupsre)s,?\s*"remoteAddr":"<HOST>"%(_groupsre)s,?\s*"message":"Trusted domain error.
datepattern = ,?\s*"time"\s*:\s*"%%Y-%%m-%%d[T ]%%H:%%M:%%S(%%z)?"

service fail2ban restart

Phase de Test

On va d'abord vérifier si la jail est bien activé en utilisant la commande fail2ban-client.

fail2ban-client status

On voit bien que la jail pour Nextcloud est bien activé.

Ensuite, on simule une attaque bruteforce en tentant de se connecter au Nextcloud plus de 3 fois.

On affiche les infos sur la jail nextcloud.

fail2ban-client status nextcloud

On voit que notre machine est maintenant banni de notre site nextcloud

On commence par cloner la VM Template à l'aide KVM en choisissant le bridge br1 pour le LAN.

Changement nom d'hôte

hostnamectl set-hostname xdr-tp2

Réservation d'adresse DHCP

Sur DHCP1 & DHCP2 :

nano /etc/dhcp/dhcpd.conf

# dans la partie privée

host xdr-tp2 {
                        # adresse MAC de xdr-tp2
                        hardware ethernet 52:54:00:c1:4a:5e;
                        fixed-address 10.31.192.24;
                }

# on redémarre le service dhcp pour appliquer les changements
systemctl restart isc-dhcp-server

Sur xdr-tp2 :

dhclient -r # efface les anciennes configurations dhcp
dhclient -v # effectue une nouvelle requête dhcp

On voit que la machine a bien récupéré l'adresse 10.31.192.24 que le dhcp2 lui a donnée.

Partie B - Installation Indexeur Wazuh

Qu'est ce que Wazuh ?

Wazuh est une solution open source très complète pour la sécurité des endpoints, combinant la détection d'intrusion, la gestion des logs, la conformité réglementaire et la sécurité des endpoints, et compatible avec une large gamme de systèmes d'exploitation. Cette solution offre des fonctionnalités très utiles pour la sécurité des endpoints, telles que la détection de malware, la surveillance en temps réel, la collecte de données système, la détection de rootkits et des alertes en cas d'activité suspecte pour faciliter la détection précoce des menaces.

Ajout du dépôt Wazuh

apt update
apt install gnupg apt-transport-https curl
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | gpg --no-default-keyring --keyring gnupg-ring:/usr/share/keyrings/wazuh.gpg --import && chmod 644 /usr/share/keyrings/wazuh.gpg
echo "deb [signed-by=/usr/share/keyrings/wazuh.gpg] https://packages.wazuh.com/4.x/apt/ stable main" | tee -a /etc/apt/sources.list.d/wazuh.list
apt update

Génération des certificats

curl -sO https://packages.wazuh.com/4.4/wazuh-certs-tool.sh
curl -sO https://packages.wazuh.com/4.4/config.yml
nano config.yml

nodes:
  # Wazuh indexer nodes
  indexer:
    - name: node-1
      ip: 10.31.192.24

  server:
    - name: wazuh-1
      ip: 10.31.192.24

  # Wazuh dashboard nodes
  dashboard:
    - name: dashboard
      ip: 10.31.192.24

# génération du certificat
./wazuh-certs-tool.sh -A

tar -cvf ./wazuh-certificates.tar -C ./wazuh-certificates/ .
rm -rf ./wazuh-certificates

Installation des noeuds

apt-get install debconf adduser procps wazuh-indexer
nano /etc/wazuh-indexer/opensearch.yml

# on ajoute cette ligne
network.host: "10.31.192.24"

Déploiement des certificats

NODE_NAME=node-1
mkdir /etc/wazuh-indexer/certs
tar -xf ./wazuh-certificates.tar -C /etc/wazuh-indexer/certs/ ./$NODE_NAME.pem ./$NODE_NAME-key.pem ./admin.pem ./admin-key.pem ./root-ca.pem
mv -n /etc/wazuh-indexer/certs/$NODE_NAME.pem /etc/wazuh-indexer/certs/indexer.pem
mv -n /etc/wazuh-indexer/certs/$NODE_NAME-key.pem /etc/wazuh-indexer/certs/indexer-key.pem
chmod 500 /etc/wazuh-indexer/certs
chmod 400 /etc/wazuh-indexer/certs/*
chown -R wazuh-indexer:wazuh-indexer /etc/wazuh-indexer/certs
systemctl daemon-reload
systemctl enable wazuh-indexer
systemctl start wazuh-indexer
systemctl status wazuh-indexer

Initialisation du cluster

/usr/share/wazuh-indexer/bin/indexer-security-init.sh

Test du cluster

# on se connecte avec les identifiants par défaut sur le cluster 
curl -k -u admin:admin https://10.31.192.24:9200

On voit que le cluster répond correctement.

Partie C - Installation Serveur Wazuh

Ajout du dépôt Wazuh

Sur xdr-tp2 :

apt update
apt install gnupg apt-transport-https curl
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | gpg --no-default-keyring --keyring gnupg-ring:/usr/share/keyrings/wazuh.gpg --import && chmod 644 /usr/share/keyrings/wazuh.gpg
echo "deb [signed-by=/usr/share/keyrings/wazuh.gpg] https://packages.wazuh.com/4.x/apt/ stable main" | tee -a /etc/apt/sources.list.d/wazuh.list
apt update

Installation de WazuhManager

Sur xdr-tp2 :

apt-get -y install wazuh-manager
systemctl daemon-reload
systemctl enable wazuh-manager
systemctl start wazuh-manager
systemctl status wazuh-manager

Installation de Filebeat

Filebeat est un agent léger permettant de récupérer et d'envoyer les logs système et applicatifs des hôtes vers le serveur Wazuh pour l'analyse et la détection de menaces.

Sur xdr-tp2 :

apt-get install filebeat
curl -so /etc/filebeat/filebeat.yml https://packages.wazuh.com/4.4/tpl/wazuh/filebeat/filebeat.yml

# créer un keystore Filebeat pour stocker en toute sécurité les credentials
filebeat keystore create
echo admin | filebeat keystore add username --stdin --force
echo admin | filebeat keystore add password --stdin --force

# télécharger les templates d'alertes
curl -so /etc/filebeat/wazuh-template.json https://raw.githubusercontent.com/wazuh/wazuh/4.4/extensions/elasticsearch/7.x/wazuh-template.json
chmod go+r /etc/filebeat/wazuh-template.json

# installer le module Wazuh pour Filebeat
curl -s https://packages.wazuh.com/4.x/filebeat/wazuh-filebeat-0.2.tar.gz | tar -xvz -C /usr/share/filebeat/module

nano /etc/filebeat/filebeat.yml

# ajoute ces lignes
hosts: ["10.31.192.24:9200"]
  protocol: https
  username: admin
  password: admin

Déploiement des certificats

NODE_NAME=node-1
mkdir /etc/filebeat/certs
tar -xf ./wazuh-certificates.tar -C /etc/filebeat/certs/ ./$NODE_NAME.pem ./$NODE_NAME-key.pem ./root-ca.pem
mv -n /etc/filebeat/certs/$NODE_NAME.pem /etc/filebeat/certs/filebeat.pem
mv -n /etc/filebeat/certs/$NODE_NAME-key.pem /etc/filebeat/certs/filebeat-key.pem
chmod 500 /etc/filebeat/certs
chmod 400 /etc/filebeat/certs/*
chown -R root:root /etc/filebeat/certs
systemctl daemon-reload
systemctl enable filebeat
systemctl start filebeat

Tests de filebeat

filebeat test output

Partie D - Installation Dashboard Wazuh

apt-get install debhelper tar curl libcap2-bin wazuh-dashboard
nano /etc/wazuh-dashboard/opensearch_dashboards.yml

# ajouter ces 2 lignes 
server.host: 10.31.192.24
opensearch.hosts: https://10.31.192.24:9200

Déploiement des certificats

NODE_NAME=node-1
mkdir /etc/wazuh-dashboard/certs
tar -xf ./wazuh-certificates.tar -C /etc/wazuh-dashboard/certs/ ./$NODE_NAME.pem ./$NODE_NAME-key.pem ./root-ca.pem
mv -n /etc/wazuh-dashboard/certs/$NODE_NAME.pem /etc/wazuh-dashboard/certs/dashboard.pem
mv -n /etc/wazuh-dashboard/certs/$NODE_NAME-key.pem /etc/wazuh-dashboard/certs/dashboard-key.pem
chmod 500 /etc/wazuh-dashboard/certs
chmod 400 /etc/wazuh-dashboard/certs/*
chown -R wazuh-dashboard:wazuh-dashboard /etc/wazuh-dashboard/certs
systemctl daemon-reload
systemctl enable wazuh-dashboard
systemctl start wazuh-dashboard

On peut maintenant se connecter à l'interface web de Wazuh avec les credendials admin:admin à l'adresse : https://10.31.192.24/app/wazuh.

Mais une erreur apparaît au niveau des patterns d'alertes.

Cette erreur indique qu'ElasticSearch ne trouve pas le pattern d'erreur index, on va donc en ajouter un.

systemctl stop filebeat
curl -so template.json https://raw.githubusercontent.com/wazuh/wazuh/v4.4.0/extensions/elasticsearch/7.x/wazuh-template.json

# on push le template sur le serveur avec la méthode PUT
curl -XPUT -k -u admin:admin 'https://10.31.192.24:9200/_template/wazuh' -H 'Content-Type: application/json' -d @template.json
systemctl start filebeat

Quand on relance Wazuh, il n'y a plus d'erreurs et on accède correctement au dashboard.

Partie E - Ajout de clients

Ajout de règles firewall

Avant d'ajouter l'agent, il faut autoriser les communications sur les ports 55000, 1514 & 1515 pour que l'agent puisse communiquer avec le serveur Wazuh.

DMZ :

LAN :

Ajout de l'agent

Sur privdb2 :

apt install sudo curl
curl -so wazuh-agent.deb https://packages.wazuh.com/4.x/apt/pool/main/w/wazuh-agent/wazuh-agent_4.4.0-1_amd64.deb && sudo WAZUH_MANAGER='10.31.192.24' WAZUH_AGENT_NAME='privdb2' dpkg -i ./wazuh-agent.deb
nano /etc/hosts

# ajoute un enregistrement pour privdb2
10.31.192.34    privdb2

sudo systemctl daemon-reload
sudo systemctl enable wazuh-agent
sudo systemctl start wazuh-agent

On voit que le client a correctement été ajouté

Partie F - Automatisation de l'ajout de clients

Maintenant, le but est de créer un script de déploiement d'agent pour pouvoir intégrer toutes les VMs à notre XDR sans bouger le petit doigt.

Ajout de l'utilisateur std au groupe sudo (sudoers)

Sur toutes les VMs :

apt install sudo
usermod -aG sudo std

Script Ansible

Sur Main server :

ssh-copy-id std@10.31.192.15 # faire toutes les VMs
apt update && apt install ansible -y
mkdir wazuh_agent_setup && cd wazuh_agent_setup
nano hosts

[wazuh_agents]
10.31.192.10
10.31.192.115
10.31.192.13
10.31.192.33
10.31.192.35
10.31.192.61
10.31.192.67
10.31.192.68
10.31.192.8
10.31.192.80
10.31.192.88
10.31.192.99
10.31.200.115
10.31.200.20
10.31.200.25
10.31.200.53
10.31.200.54
10.31.200.67
10.31.200.7
10.31.200.80
10.31.200.81
10.31.200.82

nano deploy_wazuh_agent.yml

- hosts: wazuh_agents
  remote_user: std
  become: true
  tasks:

    - name: mettre à jour les paquets disponibles
      apt:
        update_cache: yes

    - name: Supprimer la ligne inutile
      lineinfile:
        path: /etc/hosts
        regexp: "^{{ ansible_default_ipv4.address }}\\s+.*$"
        state: absent

    - name: ajouter enregistrement DNS pour l'hote
      lineinfile:
        path: /etc/hosts
        line: "{{ ansible_default_ipv4.address }}    {{ ansible_hostname }}"
        state: present
      loop: "{{ ansible_play_batch }}"

    - name: installer sudo et curl
      apt:
        name: ['sudo', 'curl']
        state: present

    - name: télécharger et installer l'agent Wazuh
      shell: |
        sudo curl -so wazuh-agent.deb https://packages.wazuh.com/4.x/apt/pool/main/w/wazuh-agent/wazuh-agent_4.4.0-1_amd64.deb && WAZUH_MANAGER='10.31.192.24' dpkg -i ./wazuh-agent.deb

    - name: Reload systemd manager configuration
      systemd:
        daemon_reload: yes

    - name: Enable Wazuh agent service
      service:
        name: wazuh-agent
        enabled: yes
        state: started

ansible-playbook deploy_wazuh_agent.yml --ask-become-pass -i hosts

Après l'exécution du script on a bien nos VMs sur le serveur Wazuh !

Partie G - Actualisation du schéma réseau