Kuinka seurata Linux-palvelimen suojausta Osquerylla
Osquery on ilmainen avoimen lähdekoodin tehokas ja monialustainen SQL-pohjainen käyttöjärjestelmän instrumentointi-, valvonta- ja analytiikkakehys Linux-, FreeBSD-, Windows- ja Mac/OS X -järjestelmille, jonka on kehittänyt Facebook. Se on yksinkertainen ja helppokäyttöinen käyttöjärjestelmän tutkimusohjelma.
Se yhdistää useita työkaluja, jotka suorittavat matalan tason käyttöjärjestelmän analytiikkaa ja seurantaa; nämä työkalut paljastavat käyttöjärjestelmän tehokkaana relaatiotietokantana, kuten MySQL/MariaDB, PostgreSQL ja muut, joissa käyttöjärjestelmäkonseptit ovat edustettuina taulukkomuodossa, jolloin käyttäjät voivat käyttää SQL-komentoja järjestelmän valvonnan ja analytiikan suorittamiseen.
Osquery käyttää yksinkertaista laajennus- ja laajennussovellusliittymää SQL-taulukoiden toteuttamiseen. Käytössä on kokoelma valmiita taulukoita, ja lisää kirjoitetaan. Jotkut taulukot löytyvät vain tietystä käyttöjärjestelmästä, esimerkiksi kernel_modules -taulukko löytyy vain Linux-järjestelmistä.
Lisäksi voit suorittaa kyselyitä valvoaksesi ja analysoidaksesi käyttöjärjestelmän tilaa yhdellä isännällä osqueryi-kuoren kautta tai useilla verkon isännillä ajastimen kautta tai suorittaa ne mistä tahansa mukautetusta sovelluksestasi osquery Thriftin avulla. API:t.
Kuinka asentaa Osquery Linuxiin
Osquery voidaan asentaa virallisesta arkistosta käyttämällä apt yum- tai dnf-paketinhallintatyökalua vastaavassa Linux-jakelussasi kuvan mukaisesti.
Debianissa/Ubuntussa
export OSQUERY_KEY=1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys $OSQUERY_KEY
sudo add-apt-repository 'deb [arch=amd64] https://pkg.osquery.io/deb deb main'
sudo apt update
sudo apt install osquery
RHEL/CentOS:ssä
curl -L https://pkg.osquery.io/rpm/GPG | sudo tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osquery
sudo yum-config-manager --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo
sudo yum-config-manager --enable osquery-s3-rpm-repo
sudo yum install osquery
Fedora 22+
curl -L https://pkg.osquery.io/rpm/GPG | sudo tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osquery
dnf config-manager --add-repo --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo
sudo dnf config-manager --set-enabled osquery-s3-rpm
sudo dnf install osquery
Kuinka seurata ja analysoida Linuxia Osqueryn avulla
Kun olet asentanut Osqueryn järjestelmääsi, käynnistä osqueryi-kuori ja aloita käyttöjärjestelmän tilan tiedustelu kuvan mukaisesti.
osqueryi
Using a virtual database. Need help, type '.help'
osquery>
Saadaksesi yhteenvedon Linux-järjestelmätiedoista, suorita seuraava komento.
osquery> SELECT * FROM system_info;
Saat hyvin muotoillun luettelon kaikista Linux-järjestelmän käyttäjistä suorittamalla seuraavan kyselyn.
osquery> SELECT * FROM users;
Saat luettelon kaikista Linux-ytimen moduuleista ja niiden tilasta suorittamalla seuraavan kyselyn.
osquery> SELECT * FROM kernel_modules;
Saat luettelon kaikista CentOS-, RHEL- ja Fedoran asennetuista RPM-paketeista suorittamalla seuraavan kyselyn.
osquery> .all rpm_packages;
Saadaksesi tietoa Linux-prosessien suorittamisesta, suorita seuraava kysely.
osquery> SELECT DISTINCT processes.name, listening_ports.port, processes.pid FROM listening_ports JOIN processes USING (pid) WHERE listening_ports.address = '0.0.0.0';
Jos käytät osqueryä työpöydällä ja Firefox tai Chrome on asennettuna, voit luetella kaikki lisäosasi käyttämällä seuraavaa kyselyä.
osquery> .all firefox_addons;
osquery> .all chrome_extensions;
Jos haluat näyttää luettelon kaikista Linuxissa toteutetuista taulukoista, käytä .tables-komentoa kuvan mukaisesti.
osquery> .tables; #list all implemented tables
osquery> .help; #view help message
Osquery tarjoaa myös tiedostojen eheyden valvonnan (FIM) sekä prosessien ja pistokkeiden tarkastusominaisuuksia ja paljon muuta, joten se on tunkeutumisen havaitsemistyökalu, mutta tämä vaatii tiettyjä määrityksiä, ennen kuin voit käyttää sitä sellaiseen tarkoitukseen. Löydät lisätietoja Osquery Github -arkistosta.