Vyhledávání na webu

Jak monitorovat zabezpečení serveru Linux pomocí Osquery

Osquery je bezplatný open source, výkonný a multiplatformní nástroj pro instrumentaci, monitorování a analýzu operačního systému založený na SQL pro systémy Linux, FreeBSD, Windows a Mac/OS X, vytvořený Facebook. Je to jednoduchý a snadno použitelný průzkumník operačního systému.

Kombinuje řadu nástrojů, které provádějí analýzu a monitorování OS na nízké úrovni; tyto nástroje odhalují operační systém jako vysoce výkonnou relační databázi, jako je MySQL/MariaDB, PostgreSQL a další, kde jsou koncepty OS zastoupeny v tabulkovou formu, což uživatelům umožňuje používat příkazy SQL k provádění monitorování a analýz systému.

Osquery k implementaci tabulek SQL používá jednoduchý plugin a rozšiřující API, existuje kolekce tabulek připravená k použití a další se píší. Některé tabulky lze nalézt pouze na konkrétním operačním systému, například tabulku kernel_modules najdete pouze na systémech Linux.

Kromě toho můžete spouštět dotazy ke sledování a analýze stavu operačního systému na jednom hostiteli prostřednictvím osqueryi shell nebo na několika hostitelích v síti pomocí plánovače nebo je spouštět z libovolné z vašich vlastních aplikací pomocí osquery Thrift. API.

Jak nainstalovat Osquery v Linuxu

Osquery lze nainstalovat z oficiálního úložiště pomocí nástroje pro správu balíčků apt yum nebo dnf ve vaší příslušné distribuci Linuxu, jak je znázorněno.

Na Debian/Ubuntu

export OSQUERY_KEY=1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys $OSQUERY_KEY
sudo add-apt-repository 'deb [arch=amd64] https://pkg.osquery.io/deb deb main'
sudo apt update
sudo apt install osquery

Na RHEL/CentOS

curl -L https://pkg.osquery.io/rpm/GPG | sudo tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osquery
sudo yum-config-manager --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo
sudo yum-config-manager --enable osquery-s3-rpm-repo
sudo yum install osquery

Na Fedoře 22+

curl -L https://pkg.osquery.io/rpm/GPG | sudo tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osquery
dnf config-manager --add-repo --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo
sudo dnf config-manager --set-enabled osquery-s3-rpm
sudo dnf install osquery

Jak monitorovat a analyzovat Linux pomocí Osquery

Jakmile úspěšně nainstalujete Osquery na váš systém, spusťte shell osqueryi a začněte se dotazovat na stav vašeho OS, jak je znázorněno.

osqueryi

Using a virtual database. Need help, type '.help'
osquery>

Chcete-li získat souhrnné informace o systému Linux, spusťte následující příkaz.

osquery> SELECT  * FROM system_info;

Chcete-li získat dobře formátovaný seznam všech uživatelů v systému Linux, spusťte následující dotaz.

osquery> SELECT * FROM users;

Chcete-li získat seznam všech modulů jádra Linuxu a jejich stavu, spusťte následující dotaz.

osquery> SELECT * FROM kernel_modules;

Chcete-li získat seznam všech nainstalovaných RPM balíčků na CentOS, RHEL a Fedora, spusťte následující dotaz.

osquery> .all rpm_packages;

Chcete-li získat informace o spuštěných procesech Linuxu, spusťte následující dotaz.

osquery> SELECT DISTINCT processes.name, listening_ports.port, processes.pid FROM listening_ports JOIN processes USING (pid) WHERE listening_ports.address = '0.0.0.0';

Pokud na počítači používáte osquery a máte nainstalovaný Firefox nebo Chrome, můžete pomocí následujícího dotazu uvést seznam všech svých doplňků.

osquery> .all firefox_addons;
osquery> .all  chrome_extensions;

Chcete-li zobrazit seznam všech implementovaných tabulek v Linuxu, použijte příkaz .tables podle obrázku.

osquery> .tables;	#list all implemented tables
osquery> .help; 	#view help message

Osquery také poskytuje monitorování integrity souborů (FIM) a funkce auditování procesů a soketů a další. Jedná se tedy o nástroj pro detekci narušení, který však vyžaduje určité konfigurace, než budete moci nasadit jej pro takový účel. Další informace naleznete v repozitáři Osquery Github.