Jak monitorować bezpieczeństwo serwera Linux za pomocą Osquery

Osquery to bezpłatne oprzyrządowanie typu open source, potężne i międzyplatformowe oparte na systemie operacyjnym oparte na systemie operacyjnym, monitorowanie i analizy dla systemów Linux, FreeBSD, Windows i Mac/OS X, zbudowanych przez Facebook. Jest to prosty i łatwy w użyciu eksplorator systemu operacyjnego.

Łączy szereg narzędzi, które wykonują analizy i monitorowanie OS niskiego poziomu; Narzędzia te ujawniają system operacyjny jako wysokowydajny relacyjny baza danych, taka jak Mysql/Mariadb, PostgreSQL i więcej, gdzie koncepcje systemu operacyjnego są reprezentowane w formie tabelary.

Osquery Użyj prostej wtyczki i rozszerzenia interfejsu API do implementacji tabel SQL, istnieje kolekcja tabel gotowych. Niektóre tabele można znaleźć tylko w określonym systemie operacyjnym, na przykład znajdziesz tylko tabelę Kernel_Modules w systemach Linux.

Dodatkowo możesz uruchomić zapytania, aby monitorować i analizować stan OS na jednym hoście za pośrednictwem Osqueryi Shell, lub na kilku hostach w sieci za pośrednictwem harmonogramu lub wykonaj je z dowolnej niestandardowej aplikacji za pomocą API Osquery Thrift.

Jak zainstalować OsQuery w Linux

Osquery Można zainstalować z oficjalnego repozytorium za pomocą narzędzia zarządzania pakietami APT Yum lub DNF na odpowiednim dystrybucji Linux, jak pokazano.

Na Debian/Ubuntu

$ Export OsQuery_Key = 1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B $ sudo apt-key adv-Keyserver Keyserver.Ubuntu.com--recv-keys $ osquery_key $ sudo add-aTap-Repository 'Deb [arch = amd64] https: // pkg.Osquery.IO/Deb Deb Main '$ sudo apt aktualizacja $ sudo apt instal instaluj osquery 

Na RHEL/CENTOS

$ curl -l https: // pkg.Osquery.IO/RPM/GPG | sudo tee/etc/pKI/rpm-gpg/rpm-gpg-key-oksquery $ sudo yum-config-manager --add-repo https: // pkg.Osquery.IO/RPM/OSQUERY-S3-RPM.Repo $ sudo yum-config-manager-enable OsQuery-S3-Rpm-Repo $ sudo yum instaluj osquery 

Na Fedorze 22+

$ curl -l https: // pkg.Osquery.IO/RPM/GPG | sudo tee/etc/pKI/rpm-gpg/rpm-gpg-key-oksquery $ dnf config-manager --add-repo --add-repo https: // pkg.Osquery.IO/RPM/OSQUERY-S3-RPM.Repo $ sudo dnf config-manager-zestaw obsługujący OsQuery-S3-rpm $ sudo dnf instaluj osquery 

Jak monitorować i analizować Linuksa za pomocą Osquery

Po pomyślnym zainstalowaniu Osquery W twoim systemie uruchom Osqueryi Shell, aby zacząć zapytać o stan systemu operacyjnego, jak pokazano.

$ osqueryi Korzystanie z wirtualnej bazy danych. Potrzebujesz pomocy, wpisz '.Help 'Osquery> 

Aby uzyskać podsumowane informacje o systemie Linux, uruchom następujące polecenie.

OsQuery> Wybierz * z systemu_info; 

Uzyskaj informacje systemowe Linux

Aby uzyskać dobrze sformatowaną listę wszystkich użytkowników w systemie Linux, uruchom następujące zapytanie.

OsQuery> Wybierz * od użytkowników; 

Lista wszystkich użytkowników Linux

Aby uzyskać listę wszystkich modułów jądra Linux i ich status, uruchom następujące zapytanie.

OsQuery> Wybierz * Z kernel_modules; 

Wymień wszystkie moduły jądra w Linux

Aby uzyskać listę wszystkich zainstalowanych pakietów RPM na centro, Rhel i Fedora, uruchom następujące zapytanie.

Osquery> .wszystkie rpm_packages; 

Wymień wszystkie zainstalowane pakiety RPM

Aby uzyskać informację o uruchomieniu procesów Linux, uruchom następujące zapytanie.

OsQuery> Wybierz odrębne procesy.Nazwa, słuchanie_ports.port, procesy.PID z patels_ports dołącz do procesów za pomocą (PID), gdzie Słuchanie_portów.Adres = '0.0.0.0 '; 

Wymień informacje Linux przetwarza informacje

Jeśli biegasz Osquery na komputerze i mieć Firefox Lub Chrom Zainstalowane, możesz wymienić wszystkie dodatki za pomocą następującego zapytania.

Osquery> .wszystkie Firefox_Addons; Osquery> .wszystkie Chrome_Extensions; 

Aby wyświetlić listę wszystkich zaimplementowanych tabel w Linux, użyj .tabele polecenie jak pokazano.

Osquery> .tabele; #List Wszystkie zaimplementowane tabele Osquery> .pomoc; #View Wiadomość o pomocy 

Osquery Zapewnia również monitorowanie integralności plików (Fim) oraz funkcje audytu procesowego i gniazda i nie tylko, dlatego jest to narzędzie do wykrywania wtargnięcia, ale wymaga to niektórych konfiguracji, zanim możesz je wdrożyć w takim celu. Więcej informacji można znaleźć z repozytorium Osquery Github.