Una guida pratica per gestire apt upgrade in sicurezza quando il server ospita Wazuh Manager, Indexer e Dashboard i servizi per far funzionare il SIEM.
Cos’è Wazuh?
Wazuh è una piattaforma open source per la sicurezza informatica, nata come fork di OSSEC e oggi uno degli strumenti SIEM/XDR più diffusi in ambito enterprise e homelab. Permette di raccogliere, analizzare e correlare eventi di sicurezza provenienti da qualsiasi dispositivo nella rete.
In pratica fa da “centro di controllo” della sicurezza: rileva intrusioni, monitora l’integrità dei file, verifica la conformità delle configurazioni e centralizza i log di tutti i sistemi aziendali.
Manager
Il cervello del sistema. Riceve i dati dagli agent, applica le regole di analisi e genera gli alert.
Indexer
Basato su OpenSearch. Indicizza e archivia tutti gli eventi e gli alert per la ricerca e l’analisi storica.
Dashboard
L’interfaccia web. Visualizza alert, statistiche, conformità e permette di esplorare tutti gli eventi.
Agent
Il software installato su ogni host monitorato (Windows, Linux, macOS). Invia i dati al Manager.
primi tre componenti — Manager, Indexer e Dashboard — vengono tipicamente installati sullo stesso server Ubuntu in configurazione all-in-one, che è esattamente il caso di questa guida.
- Rilevamento intrusioni (IDS): monitora tentativi di accesso non autorizzati, escalation di privilegi e comportamenti anomali.
- Integrità dei file (FIM): avvisa se file critici di sistema vengono modificati, eliminati o creati.
- Conformità (Compliance): verifica automaticamente la conformità a standard come PCI-DSS, HIPAA, GDPR e CIS Benchmarks.
- Vulnerability detection: identifica pacchetti con CVE noti installati sugli host monitorati.
- Centralizzazione dei log: raccoglie e correla log da server, firewall, container e applicazioni in un unico punto.
Wazuh è completamente open source (licenza GPLv2/Apache 2.0), gratuito anche per uso aziendale e dispone di una community attiva e documentazione ufficiale su documentation.wazuh.com.
Perché apt upgrade può rompere Wazuh?
Se gestisci un server Ubuntu con Wazuh installato, prima o poi ti troverai di fronte a un dilemma: hai 30+ pacchetti da aggiornare, ma l’ultima volta che hai fatto apt upgrade la dashboard ha smesso di rispondere.
Il problema non è apt upgrade in sé, il problema è non sapere quali pacchetti toccare e in che ordine. Questa guida ti mostra come analizzare, classificare e applicare gli aggiornamenti senza rischi.
Nota: Fai sempre un backup del server prima degli aggiornamenti!
Caso reale: un aggiornamento di sistema ha portato wazuh-indexer dalla versione 4.14.4 alla 4.14.5 insieme a systemd, netplan e altri 30 pacchetti — tutto in un colpo solo. Risultato: la dashboard irraggiungibile per ore.
Prima di toccare qualsiasi cosa: la simulazione
Entra in SSH su Server Ubuntu:
Il comando più utile che hai a disposizione è --simulate. Non installa nulla, ti mostra solo cosa succederebbe:
# Aggiorna la lista dei pacchetti e simula l'upgradesudo apt update && sudo apt upgrade --simulate
L’output elenca tutti i pacchetti che verrebbero aggiornati. Il tuo compito è dividerli in categorie prima di procedere.
Classificazione – Non tutti gli aggiornamenti sono uguali
Rischio | Pacchetti | Perché |
|---|---|---|
| 🔴 Alto | wazuh-managerwazuh-indexerwazuh-dashboard | Aggiornare Wazuh insieme al sistema è la causa principale dei problemi. Va fatto separatamente, dopo aver letto le release notes. |
| 🟡 Medio | systemd e relativiiproute2, netplanudev, apparmor | Systemd gestisce tutti i servizi. Netplan gestisce la rete — se si rompe, perdi anche SSH. Aggiornabili, ma dopo uno snapshot. |
| 🟢 Basso | linux-firmwarersyslog, lshwubuntu-pro-clientlibheif*, thermald | Pacchetti di sistema standard, nessuna interazione con Wazuh. Sicuri da aggiornare. |
Per vedere esattamente da quali librerie dipende Wazuh, usa:
apt-cache depends wazuh-managerapt-cache depends wazuh-indexerapt-cache depends wazuh-dashboard
Leggi anche il changelog dei pacchetti più critici prima di aggiornarli:
apt changelog systemd
Aggiornare in sicurezza: passo per passo
Blocca i pacchetti Wazuh
Con apt-mark hold dici ad apt di ignorare questi pacchetti durante l’upgrade, anche se ci sono nuove versioni disponibili.
sudo apt-mark hold wazuh-manager wazuh-indexer wazuh-dashboard# Verifica cosa è in holdapt-mark showhold
Fai Backup della VM o del server
Pianifica un backup con lo strumento che hai.
Esegui l’upgrade
Ora puoi procedere. Wazuh apparirà come “kept back” e non verrà modificato.
sudo apt upgrade
output atteso
The following packages have been kept back:
wazuh-dashboard wazuh-indexer wazuh-manager ✓
33 upgraded, 0 newly installed, 0 to remove and 4 not upgraded.
Gestisci il riavvio del kernel
Se il kernel è stato aggiornato, i servizi Wazuh vengono riavviati automaticamente. Il riavvio del kernel va fatto manualmente:
sudo reboot
Verifica post-riavvio
# Verifica kernel aggiornatouname -r# Verifica stato servizi Wazuhsudo systemctl is-active wazuh-manager wazuh-indexer wazuh-dashboard# Log in caso di problemisudo tail -50 /var/log/wazuh-dashboard/wazuh-dashboard.logsudo tail -50 /var/ossec/logs/ossec.log
Nota: La dashboard impiega 2-3 minuti ad avviarsi dopo il reboot: wazuh-indexer (OpenSearch) deve caricare tutti gli indici prima che la UI risponda. È normale.
Quando sei pronto ad aggiornare anche Wazuh
Wazuh va aggiornato separatamente, con calma, dopo aver verificato le release notes su documentation.wazuh.com.
# 1. Sblocca i pacchettisudo apt-mark unhold wazuh-manager wazuh-indexer wazuh-dashboard# 2. Aggiorna solo Wazuhsudo apt install --only-upgrade wazuh-manager wazuh-indexer wazuh-dashboard# 3. Verifica tuttosudo systemctl status wazuh-manager wazuh-indexer wazuh-dashboard# 4. Rimetti in hold per il futurosudo apt-mark hold wazuh-manager wazuh-indexer wazuh-dashboard
Riferimento rapido – Comandi utili da tenere a portata di mano
# Simulare l'upgrade senza installare nullasudo apt update && sudo apt upgrade --simulate# Bloccare / sbloccare Wazuhsudo apt-mark hold wazuh-manager wazuh-indexer wazuh-dashboardsudo apt-mark unhold wazuh-manager wazuh-indexer wazuh-dashboard# Vedere cosa è in holdapt-mark showhold# Changelog di un pacchettoapt changelog systemd# Dipendenze di Wazuhapt-cache depends wazuh-manager# Verificare se serve riavviocat /var/run/reboot-required 2>/dev/null && echo "RIAVVIO NECESSARIO"
Nota: Guida testata su Ubuntu 24.04 LTS (Noble Numbat) con Wazuh 4.14.x in configurazione all-in-one. La stessa procedura si applica a installazioni distribuite (manager, indexer e dashboard su host separati), adattando i comandi di hold ai pacchetti presenti su ciascun nodo.
La regola d’oro: separare sempre sistema e Wazuh
Aggiornare un server Ubuntu con Wazuh installato non è complicato, basta sapere cosa stai aggiornando. Il problema, quasi sempre, nasce dall’aggiornare tutto insieme senza analizzare prima l’output di apt upgrade.
Seguendo questa procedura, il flusso di lavoro diventa semplice e ripetibile anche con altre versioni, ricorda di leggere i change log, mi raccomando!
Ti Consiglio Tech 
Lascia un commento