Wazuh Standardpasswörter sicher ändern: Dashboard- und Manager-Zugänge korrekt verwalten

von

Einleitung

Ein neu installiertes Wazuh-System ist funktional sofort einsatzbereit – sicherheitstechnisch jedoch nur dann, wenn Standardpasswörter konsequent ersetzt werden. Gerade in produktiven oder internetnahen Umgebungen ist das Ändern der Default-Zugänge für Dashboard, Indexer und Manager ein absolutes Muss. Dieser Beitrag erklärt sauber getrennt, welche Passwörter es in Wazuh überhaupt gibt, wie sie technisch zusammenhängen und wie sie korrekt geändert werden, ohne Authentifizierungsprobleme oder Service-Ausfälle zu verursachen.

Ausgangslage / Problemstellung

Nach der Installation von Wazuh bestehen mehrere Authentifizierungs-Ebenen:

  • Zugriff auf das Wazuh Dashboard (Web-Oberfläche)
  • Interne Benutzer für den Wazuh Indexer (OpenSearch Security)
  • Service-Accounts, die Dashboard ↔ Indexer ↔ Manager miteinander verbinden

Typische Fragen aus der Praxis:

  • Welches Passwort ist für das Dashboard relevant?
  • Gibt es ein „Manager-Passwort“?
  • Warum reicht es nicht, einfach ein Passwort im Dashboard zu ändern?
  • Welches Tool ist der korrekte Weg, um Passwörter konsistent zu setzen?

Die zentrale Herausforderung: Dashboard-Logins werden nicht lokal im Dashboard verwaltet, sondern über den Wazuh Indexer (OpenSearch Security). Ein falscher Ansatz führt schnell dazu, dass sich Services nicht mehr verbinden können.

Technische Analyse

1) Wazuh Authentifizierungsarchitektur (Kurzüberblick)

Wazuh besteht aus mehreren Komponenten mit klarer Rollenverteilung:

  • Wazuh Manager
    Analysiert Logs, führt Regeln aus.
    → Hat keine klassischen Benutzerpasswörter für Web-Logins.
  • Wazuh Indexer (OpenSearch)
    Speichert Events, Alerts und Benutzerkonten (inkl. admin, kibanaserver, etc.).
    Hier liegen die relevanten Passwörter.
  • Wazuh Dashboard
    Web-Frontend, authentifiziert Benutzer gegen den Indexer.
    → Eigene Benutzerverwaltung existiert nicht unabhängig.

Konsequenz:
Wer das Dashboard-Passwort ändern will, muss den Indexer aktualisieren.

2) Warum das Wazuh Password Tool der einzig saubere Weg ist

Wazuh bringt ein eigenes Tool mit, das:

  • Passwörter korrekt hasht
  • Die OpenSearch-Security-Konfiguration aktualisiert
  • Konsistenz zwischen Indexer, Dashboard und internen Service-Accounts sicherstellt

Manuelle Änderungen an YAML-Dateien oder per OpenSearch-API sind fehleranfällig und nicht update-sicher.

Lösung / Best Practices

Passwort für einen einzelnen Benutzer ändern (z. B. admin)

Der empfohlene Weg ist das offizielle Password-Management-Tool des Wazuh Indexers.

Pfad (Standardinstallation):

/usr/share/wazuh-indexer/plugins/opensearch-security/tools/

Beispiel: Passwort für den Benutzer admin ändern:

cd /usr/share/wazuh-indexer/plugins/opensearch-security/tools/
bash wazuh-passwords-tool.sh -u admin -p Secr3tP4ssw*rd

Wirkung:

  • Das Passwort wird sicher gehasht
  • Die OpenSearch-Security-Konfiguration wird aktualisiert
  • Das neue Passwort gilt sofort für das Wazuh Dashboard

Passwörter für alle Wazuh-Benutzer ändern

Empfohlen nach Erstinstallation oder bei Sicherheitsvorfällen:

bash wazuh-passwords-tool.sh -a

Dabei:

  • Werden alle bekannten Benutzer neu gesetzt
  • Gibt das Tool die neuen Passwörter kontrolliert aus
  • Müssen diese sicher dokumentiert und verteilt werden

Nacharbeiten: Services prüfen

In der Regel ist kein Neustart des Wazuh Managers erforderlich.
Sollten jedoch Login-Probleme auftreten, ist ein kontrollierter Neustart sinnvoll:

systemctl restart wazuh-indexer
systemctl restart wazuh-dashboard

Lessons Learned / Best Practices

  • Es gibt kein separates „Manager-Dashboard-Passwort“ – Dashboard-Logins laufen immer über den Indexer.
  • Passwörter niemals manuell in OpenSearch-Security-Dateien ändern.
  • Das wazuh-passwords-tool.sh ist update-sicher und von Wazuh vorgesehen.
  • Nach Installation immer alle Default-Passwörter rotieren.
  • Passwörter für interne Service-Accounts (z. B. Dashboard ↔ Indexer) nicht ignorieren – das Tool berücksichtigt sie automatisch.
  • Zugriff auf das Tools-Verzeichnis nur stark eingeschränkt erlauben (Root).

Fazit

Das Ändern der Standardpasswörter in Wazuh ist kein Dashboard-Thema, sondern ein Indexer-Thema. Wer das offizielle Password-Tool verwendet, stellt sicher, dass Dashboard, Indexer und interne Services weiterhin konsistent zusammenarbeiten. Dieser Ansatz ist sicher, wartbar und vollständig dokumentiert – und sollte zum festen Bestandteil jedes Wazuh-Hardening-Prozesses gehören.

Mehr zu Wazuh …
https://wazuh.com/?utm_source=ambassadors&utm_medium=referral&utm_campaign=ambassadors+program

Mehr zum Wazuh Ambassador Program …
https://wazuh.com/ambassadors-program/?utm_source=ambassadors&utm_medium=referral&utm_campaign=ambassadors+program

https://wazuh.slack.com/archives/C07CNG3M11N/p1769343781791249