A Linux szerver biztonságának figyelése az Osquery segítségével
Az Osquery egy ingyenes nyílt forráskódú, hatékony és többplatformos SQL-alapú operációs rendszer-műszerezési, megfigyelési és elemzési keretrendszer Linux, FreeBSD, Windows és Mac/OS X rendszerekre, amelyet a épített. Facebookon. Ez egy egyszerű és könnyen használható operációs rendszer felfedező.
Számos olyan eszközt egyesít, amelyek alacsony szintű operációs rendszer-elemzést és -felügyeletet végeznek; ezek az eszközök az operációs rendszert nagy teljesítményű relációs adatbázisként tárják fel, mint például a MySQL/MariaDB, a PostgreSQL és még sok más, ahol az operációs rendszer fogalmai a következőkben jelennek meg. táblázatos formában, így lehetővé teszi a felhasználók számára, hogy SQL-parancsokat alkalmazzanak a rendszerfigyelés és -elemzés végrehajtásához.
Az Osquery egy egyszerű beépülő modult és kiterjesztés API-t használ az SQL-táblák megvalósításához, már létezik használatra kész táblák gyűjteménye, és továbbiak is készülnek. Egyes táblák csak egy adott operációs rendszeren találhatók meg, például a kernel_modules táblát csak Linux rendszereken találja meg.
Ezenkívül lekérdezéseket futtathat az operációs rendszer állapotának megfigyelésére és elemzésére egyetlen gazdagépen az osqueryi shell segítségével, vagy a hálózat több gazdagépén egy ütemezőn keresztül, vagy végrehajthatja azokat bármelyik egyéni alkalmazásból az osquery Thrift segítségével. API-k.
Az Osquery telepítése Linux alatt
Az Osquery telepíthető a hivatalos tárolóból az apt yum vagy a dnf csomagkezelő eszköz használatával a megfelelő Linux-disztribúción, az ábra szerint.
Debian/Ubuntu alatt
export OSQUERY_KEY=1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys $OSQUERY_KEY
sudo add-apt-repository 'deb [arch=amd64] https://pkg.osquery.io/deb deb main'
sudo apt update
sudo apt install osquery
RHEL/CentOS rendszeren
curl -L https://pkg.osquery.io/rpm/GPG | sudo tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osquery
sudo yum-config-manager --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo
sudo yum-config-manager --enable osquery-s3-rpm-repo
sudo yum install osquery
Fedora 22+ verzión
curl -L https://pkg.osquery.io/rpm/GPG | sudo tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osquery
dnf config-manager --add-repo --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo
sudo dnf config-manager --set-enabled osquery-s3-rpm
sudo dnf install osquery
A Linux figyelése és elemzése az Osquery használatával
Miután sikeresen telepítette az Osquery-t a rendszerére, indítsa el az osqueryi shell-t, hogy elkezdje lekérdezni az operációs rendszer állapotát az ábrán látható módon.
osqueryi
Using a virtual database. Need help, type '.help'
osquery>
Összefoglaló Linux rendszerinformációk megtekintéséhez futtassa a következő parancsot.
osquery> SELECT * FROM system_info;
Ha jól formázott listát szeretne kapni a Linux rendszer összes felhasználójáról, futtassa a következő lekérdezést.
osquery> SELECT * FROM users;
Az összes Linux kernelmodul és állapotuk listájának megtekintéséhez futtassa a következő lekérdezést.
osquery> SELECT * FROM kernel_modules;
A CentOS, RHEL és Fedora rendszeren telepített RPM-csomagok listájának megtekintéséhez futtassa a következő lekérdezést.
osquery> .all rpm_packages;
Ha tájékoztatást szeretne kapni a Linux-folyamatok futtatásáról, futtassa a következő lekérdezést.
osquery> SELECT DISTINCT processes.name, listening_ports.port, processes.pid FROM listening_ports JOIN processes USING (pid) WHERE listening_ports.address = '0.0.0.0';
Ha az osquery alkalmazást asztali számítógépen futtatja, és telepítve van a Firefox vagy a Chrome, akkor a következő lekérdezéssel listázhatja az összes bővítményt.
osquery> .all firefox_addons;
osquery> .all chrome_extensions;
A Linuxban megvalósított összes tábla listájának megjelenítéséhez használja a .tables parancsot az ábrán látható módon.
osquery> .tables; #list all implemented tables
osquery> .help; #view help message
Az Osquery fájlintegritás-felügyeletet (FIM), valamint folyamat- és socket-auditálási funkciókat és még sok mást is biztosít, így behatolásészlelő eszköz, de ehhez bizonyos konfigurációkra van szükség, mielőtt ezt megtehetné. ilyen célra telepíteni. További információkat az Osquery Github tárházából találhat.