Kuidas jälgida Linuxi serveri turvalisust Osquery abil

Osquery on Facebooki loodud tasuta avatud lähtekoodiga, võimas ja platvormidevaheline SQL-põhine operatsioonisüsteemi instrumenteerimis-, seire- ja analüüsiraamistik Linuxi, FreeBSD, Windowsi ja Mac/OS X süsteemidele. See on lihtne ja hõlpsasti kasutatav operatsioonisüsteemi uurija.

See ühendab mitmeid tööriistu, mis võimaldavad OS-i madalat analüüsi ja jälgimist; need tööriistad paljastavad operatsioonisüsteemi suure jõudlusega relatsiooniandmebaasina, näiteks MySQL/MariaDB, PostgreSQL ja muud, kus OS-i mõisted on esitatud tabelina, võimaldades kasutajatel süsteemi jälgimiseks ja analüüsimiseks kasutada SQL-käske.

Osquery kasutab SQL-tabelite juurutamiseks lihtsat pistikprogrammi ja laienduste API-d, olemasolev tabelite kogu on kasutamiseks valmis ja veel kirjutatakse. Mõnda tabelit võib leida ainult konkreetsest operatsioonisüsteemist, näiteks tabeli kernel_modules leiate ainult Linuxi süsteemidest.

Lisaks saate käivitada päringuid OSQ oleku jälgimiseks ja analüüsimiseks ühes hostis osqueryi kesta kaudu või võrgu mitmes hostis ajakava abil või käivitada need mis tahes oma kohandatud rakendusest, kasutades osquery Thrift API-sid.

Kuidas installida Osquery Linuxi

Osquery saab installida ametlikust hoidlast, kasutades dnf paketihaldustööriista teie vastavas Linuxi jaotuses, nagu näidatud.

$ export OSQUERY_KEY=1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B
$ sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys $OSQUERY_KEY
$ sudo add-apt-repository 'deb [arch=amd64] https://pkg.osquery.io/deb deb main'
$ sudo apt update
$ sudo apt install osquery

$ curl -L https://pkg.osquery.io/rpm/GPG | sudo tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osquery
$ sudo yum-config-manager --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo
$ sudo yum-config-manager --enable osquery-s3-rpm-repo
$ sudo yum install osquery

$ curl -L https://pkg.osquery.io/rpm/GPG | sudo tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osquery
$ dnf config-manager --add-repo --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo
$ sudo dnf config-manager --set-enabled osquery-s3-rpm
$ sudo dnf install osquery

Kuidas jälgida ja analüüsida Linuxit Osquery abil

Kui olete Osquery oma süsteemi edukalt installinud, käivitage osqueryi kest, et hakata oma OS-i olekut pärima, nagu näidatud.

$ osqueryi

Using a virtual database. Need help, type '.help'
osquery> 

Kokkuvõtliku Linuxi süsteemiteabe saamiseks käivitage järgmine käsk.

osquery> SELECT  * FROM system_info;

Hästi vormistatud kõigi Linuxi süsteemi kasutajate loendi saamiseks käivitage järgmine päring.

osquery> SELECT * FROM users;

Kõigi Linuxi kerneli moodulite ja nende oleku loendi saamiseks käivitage järgmine päring.

osquery> SELECT * FROM kernel_modules;

CentOSi, RHELi ja Fedora kõigi installitud RPM-i pakettide loendi saamiseks käivitage järgmine päring.

osquery> .all rpm_packages;

Linuxi protsesside käitamise kohta teabe saamiseks käivitage järgmine päring.

osquery> SELECT DISTINCT processes.name, listening_ports.port, processes.pid FROM listening_ports JOIN processes USING (pid) WHERE listening_ports.address = '0.0.0.0';

Kui teil töötab osquery töölaual ja teil on installitud Firefox või Chrome, saate järgmise päringu abil loetleda kõik oma lisandmoodulid.

osquery> .all firefox_addons;
osquery> .all  chrome_extensions;

Kõigi Linuxis rakendatud tabelite loendi kuvamiseks kasutage käsku .tables nagu näidatud.

osquery> .tables;	#list all implemented tables
osquery> .help; 	#view help message

Osquery pakub ka failide terviklikkuse jälgimist (FIM) ning protsesside ja soklite auditeerimise funktsioone ja palju muud, seega on see sissetungi tuvastamise tööriist, kuid see nõuab teatud konfiguratsioone, enne kui saate seda selliseks otstarbeks juurutada. Lisateavet leiate Osquery Githubi hoidlast.