[Wazuh] 에이전트가 서버에 등록되는 과정을 알아보자

 

배경

설치만 하면 뚝딱 등록되는 Wazuh manager에 <에이전트 등록>!인 줄 알았으나 꼭 그렇지만은 않은 것 같았다. 😅

Wazuh agent 배포 '담당자'쓰......로서

install만 되게 하는 게 아니라 내부적으로 어떻게 진행되는지 정도는 이해가 필요하다고 느껴졌다.

뭐 이런 사소한 것까지 중요하지 않을 수는 있다.

대신 다양한 문의가 인입됐을 때 당황하고 싶지 않아서 오늘 저녁은 이 녀석과 함께한다.

(할 거 많은뎅...)

 

 

개요

Wazuh document대로 진짜 설치만 하면 등록이 되긴 한다.

그렇게 보면 위의 '설치만 하면 뚝딱 등록되는' 이라는 설명이 어느정도는 맞는다.

문서들을 참고하면 아래와 같이 WAZUH_MANAGER 환경 변수를 통해 자동으로 에이전트를 등록할 수 있다고 한다.

Please note that, when following our Installation guide, 
it is recommended to use environment variables to automatically configure the Wazuh agent.

WAZUH_MANAGER="10.0.0.2" yum install wazuh-agent

 

대신 어떻게 등록이 되는건지, 등록 과정에서 실패나 오류는 없는지 케이스별로 알아두는 게 이 글의 목적이다.

설치는 문서대로 잘 따라간 내용을(이제 트러블슈팅을 곁들인..) 아래 카테고리에 잘 정리 해두었다.

'Wazuh/설치 및 기본 구조' 카테고리의 글 목록

에이전트를 설치하면 port 1515를 통해 에이전트와 서버가 통신하면서 

kibana(dashboard)에서 에이전트를 확인할 수 있게 된다.

그렇다면 이 과정에서 무슨 통신을 하는 걸까? 👩‍💼

 

오늘도 번역기를 열심히 돌리며 wazuh 커뮤니티의 대단한 선생님들의 힘을 빌렸고, 대성공했다!

내가 한 질문은 다음 세 가지가 있다.

❓ 에이전트를 등록하고 나면,

agent-auth(auth 데몬)에서 '유효한 키를 받았다(Valid key received)'는 로그를 볼 수 있는데 

이 과정에서 에이전트와 서버는 무슨 통신을 하는 건가요?

❓ 이 '유효한 키를 받았음' 과정이 실패하면 에이전트 설치나 등록에 문제가 생길 수 있나요?

만약 그렇다면 실패할 수 있는 케이스에는 어떤 것이 있나요?

❓ 또 다른 auth 로그 중 하나로,

'No authentication password provide INFO'로그는 어떤 경우에 발생하고, 발생해도 설치나 등록에는 문제가 없나요?

 

각 질문에 대해 하나씩 작성해두도록 한다.

 

1️⃣ 등록 과정 - key 교환

설치를 완료하고 나면 '유효한 키를 받았음' (Valid key received) 이라는 로그가 보인다고 했다.

정리하자면 아래와 같다.

❕ 이 key는 에이전트와 매니저 서버와 통신을 암호화하고, 에이전트의 hostname/암호 등 정보를 확인하기 위해 서버가 발급하는 고유 키다.

❕ 서버가 이 내용을 보고 문제가 없다고 판단하면 에이전트에게 key를 제공한다.

https://documentation.wazuh.com/current/user-manual/agent-enrollment/index.html

 

 

2️⃣ 등록 과정 - 발생할 수 있는 로그

키를 서버에게 요청했는데 'No authentication password provided'라는 로그가 보인다.

뭔가 문제가 있는걸까?

하지만 문제는 없었다.

왜냐하면 이 키 교환에는 추가적으로 비밀번호를 제공해 신원을 확인할 수 있는 옵션이 있는데,

해당 서버에서는 이런 부가 옵션을 사용하고 있지 않기 때문이다.

마스터 서버의 ossec.conf를 확인해보았다.

비밀번호를 사용하지 않아 '비밀번호 안줬당~' 하는 해당 로그가 발생한 것이고, 설치나 등록에 문제는 없다.

 

 

3️⃣ 등록 과정 - 클라이언트 key 확인

key를 통해 정말 에이전트(클라이언트)와 서버가 통신하고 있는 거라면..

무슨 키로 통신하는지 내 눈으로 보고 나야 속이 편할 것 같다.

해당 key들은 서버와 마스터의 /var/ossec/etc/client.keys 파일에서 볼 수 있었다.

- 서버에서 확인 시 모든 에이전트들의 키가 확인됨

- 에이전트에서 확인 시 자신 호스트의 키만 확인되며 이 둘은 일치!

 

 

4️⃣ 등록 과정 - 실패 케이스

1) 에이전트가 이미 등록되어 있는데 등록을 시도하거나(Duplicated hostname),

2) 비밀번호를 요구하는데 비밀번호 미제공, 비밀번호가 틀렸거나 하는 경우가 있다.

만약 서버 ossec.conf에서 use_password가 yes인데 위 2️⃣ 번 로그가 발생한다면 등록에 실패할 것이다.

이러한 경우 에이전트 설치가 중단되거나 하지는 않고,

wazuh-agent 서비스를 중단한 후에 다시 등록을 시도해서 정상이면 유효한 키를 받게 되고 통신이 가능해진다!

 

오늘도 10분만에 답장을 해주신 고귀한 Wazuh 선생님들께 감사의 마음을 가진다..