La cybersécurité, c’est un peu comme les sauvegardes : on n’y pense vraiment que quand il est trop tard. Et pourtant, quand on administre des serveurs — que ce soit pour des clients, pour son propre business ou pour un petit projet auto-hébergé — il y a un moment où on se rend compte qu’avoir un œil sur ce qui se passe vraiment sur la machine, c’est indispensable.
C’est là que Wazuh entre en scène.
Wazuh, c’est quoi concrètement ?
Si tu ne connais pas encore Wazuh, imagine un garde du corps numérique qui scrute en temps réel les logs, les fichiers système, les connexions réseau et les modifications suspectes. Il t’alerte dès qu’un comportement sort de l’ordinaire, un peu comme un IDS (Intrusion Detection System) moderne, open source, et franchement bien fichu.
Sous le capot, Wazuh est basé sur OSSEC, mais il pousse le concept beaucoup plus loin : dashboards Kibana, intégration avec ElasticSearch, monitoring file integrity, vulnérabilités, conformité (PCI, GDPR, etc.)… Bref, un vrai couteau suisse pour surveiller ses serveurs.
Préparer Debian : les bases avant d’installer
Avant de rentrer dans l’installation proprement dite, assure-toi d’avoir une Debian propre (Debian 11 ou 12, ça roule), à jour et bien sécurisée. Active le pare-feu (avec ufw ou iptables selon ton camp), ferme les ports inutiles, et connecte-toi en SSH avec une clé plutôt qu’un mot de passe (classique mais toujours bon à rappeler).
Ensuite, ajoute quelques paquets essentiels :
sudo apt update && sudo apt install curl gnupg apt-transport-https lsb-release -yInstaller le Wazuh Manager (ou juste un agent ?)
Wazuh, c’est un peu comme une ruche : tu as le Manager, qui centralise les données, et les agents, installés sur les machines à surveiller. Si tu n’as qu’un seul serveur, tu peux installer les deux sur la même machine, pour jouer local. Sinon, installe le manager sur un serveur central, et déploie les agents ailleurs.
On va partir ici sur une installation agent only, typique pour un VPS Debian qu’on veut sécuriser.
Ajouter le dépôt Wazuh
Les gars de Wazuh mettent à jour leurs paquets régulièrement, donc mieux vaut utiliser leur dépôt officiel.
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | gpg --dearmor | sudo tee /usr/share/keyrings/wazuh.gpg > /dev/null
echo "deb [signed-by=/usr/share/keyrings/wazuh.gpg] https://packages.wazuh.com/4.x/apt stable main" | sudo tee /etc/apt/sources.list.d/wazuh.listPuis, on installe l’agent :
sudo apt update
sudo apt install wazuh-agentConfigurer l’agent pour pointer vers le Manager
C’est l’étape cruciale. Le manager, c’est le serveur central Wazuh qui va recevoir les logs. On doit donc lui dire où envoyer les infos.
Édite ce fichier :
sudo nano /var/ossec/etc/ossec.confEt modifie la section
IP_DU_MANAGER
tcp
Tu peux aussi configurer des labels (comme des tags) pour mieux retrouver les machines dans l’interface de gestion plus tard.
Démarrer l’agent (et l’activer au boot)
Une fois que c’est fait, tu peux lancer le service :
sudo systemctl enable wazuh-agent
sudo systemctl start wazuh-agentEt pour vérifier qu’il tourne bien :
sudo systemctl status wazuh-agentÀ ce stade, le manager devrait recevoir des données. C’est souvent là qu’on lance un tcpdump sur le port 1514 pour voir si les paquets arrivent. Si rien ne passe, vérifie ton pare-feu et que le manager écoute bien sur le bon port.
Astuce : activer la détection d’intégrité de fichiers
Une des fonctions les plus utiles de Wazuh, c’est la surveillance des fichiers critiques. Tu veux savoir si /etc/passwd ou /var/www/html/index.php a été modifié ? C’est possible.
Dans le fichier ossec.conf, ajoute une section
7200
/etc,/var/www
Puis relance le service.
Et le dashboard, on en parle ?
Le dashboard Kibana (via l’intégration Elastic) est super pratique pour visualiser les alertes. Mais soyons honnêtes : c’est un peu lourd à installer, surtout pour une seule machine. Si tu veux juste du monitoring simple, le manager en ligne de commande suffit.
En revanche, si tu bosses dans une petite infra ou que tu veux offrir un service à tes clients, là, le combo Elastic + Kibana + Wazuh prend tout son sens. Tu pourras consulter les logs en temps réel, faire des filtres, ajouter des alertes visuelles, etc.
Bonus : tester si Wazuh réagit bien
Un petit test rapide pour voir si Wazuh fait son boulot : crée un faux fichier avec une signature “malware”.
wget https://secure.eicar.org/eicar_com.txt -O /tmp/eicar.txtCe fichier n’est pas dangereux, c’est un test reconnu par tous les antivirus. Si tout marche, tu devrais recevoir une alerte dans la minute. Ça rassure, et surtout, ça montre que l’agent écoute vraiment.
Alors, utile Wazuh ?
Si tu administres ne serait-ce qu’un seul serveur exposé sur Internet, Wazuh vaut largement les 15 minutes qu’il faut pour l’installer. On ne parle pas ici de paranoïa, mais simplement de lucidité : les attaques automatisées pleuvent, les scans de ports tournent en boucle, et le moindre CMS mal patché devient une porte d’entrée.
Et entre nous, recevoir une alerte parce qu’un binaire a été modifié ou parce qu’un fichier sensible a bougé, ça vaut de l’or.
Pas besoin de devenir expert en SIEM pour tirer profit de Wazuh. Commence petit, installe-le sur ton serveur Debian, joue avec les logs… et tu verras rapidement ce que ça peut t’éviter comme sueurs froides.
Si t’en as marre de vivre dans le flou, c’est peut-être le bon moment pour installer ton premier Wazuh.
