Как контролировать безопасность сервера Linux с помощью Osquery |

Как контролировать безопасность сервера Linux с помощью Osquery

Мануал

Osquery – бесплатная программа, с открытым исходным кодом, мощная и кросс-платформенная база данных для операционной системы, мониторинга и аналитики на базе SQL для Linux, FreeBSD, Windows и Mac OS X, созданная Facebook.

Это простой в использовании браузер для операционной системы.

Он объединяет ряд инструментов, которые выполняют низкоуровневую аналитику и мониторинг ОС; инструменты синтеза открывают операционной системы в виде реляционной базы данных высокой производительности: такие как MySQL / MariaDB, PostgreSQL и многое другое, где понятия OS представлены в табличной форме, что позволяет пользователям использовать SQL команд для выполнения мониторинга и аналитики системы.

Osquery использует простой API плагинов и расширений для реализации таблиц SQL, существует набор готовых к использованию таблиц, и все больше написано.

Некоторые таблицы можно найти только в определенной операционной системе, например, вы найдете только таблицу kernel_modules в системах Linux.

Кроме того, вы можете запускать оболочку osqueryi или на нескольких хостах в сети через планировщик или выполнять их из любых ваших пользовательских приложений с помощью API-интерфейсов osquery trift.

Как установить Osquery в Linux

Osquery можно установить из официального репозитория с помощью утилиты управления пакетами apt yum или dnf в вашем дистрибутиве Linux, как показано ниже.

На Debian / Ubuntu

$ export OSQUERY_KEY=1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B
$ sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys $OSQUERY_KEY
$ sudo add-apt-repository 'deb [arch=amd64] https://pkg.osquery.io/deb deb main'
$ sudo apt update
$ sudo apt install osquery

На RHEL / CentOS

$ curl -L https://pkg.osquery.io/rpm/GPG | sudo tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osquery
$ sudo yum-config-manager --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo
$ sudo yum-config-manager --enable osquery-s3-rpm
$ sudo yum install osquery
On Fedora 22+

На Fedora 22+

$ curl -L https://pkg.osquery.io/rpm/GPG | sudo tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osquery
$ dnf config-manager --add-repo --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo
$ sudo dnf config-manager --set-enabled osquery-s3-rpm
$ sudo dnf install osquery

Как контролировать и анализировать Linux с помощью Osquery

После того, как вы успешно установили Osquery в своей системе, запустите оболочку osqueryi, чтобы начать мониторинг состояния вашей ОС, как показано ниже

$ osqueryi
Using a virtual database. Need help, type '.help'
osquery> 

Чтобы получить обобщенную информацию о системе Linux, выполните следующую команду….

osquery> SELECT * FROM system_info; 

Чтобы получить хорошо сформированный список всех пользователей в системе Linux, выполните следующий запрос.

osquery> SELECT * FROM users; 

Чтобы получить список всех модулей ядра и их статус, запустите следующий запрос.

 osquery> SELECT * FROM kernel_modules; 

 

 

Чтобы получить список всех установленных пакетов RPM в CentOS, RHEL и Fedora, выполните следующий запрос.

 osquery> .all rpm_packages; 

 

 

Чтобы получить информацию о запуске процессов Linux, выполните следующий запрос.

osquery SELECT DISTINCT processes.name, listening_ports.port, processes.pid FROM listening_ports JOIN processes USING (pid) WHERE listening_ports.address = '0.0.0.0';

 

 

Если вы работаете на рабочем столе и имеете Firefox или Chrome, вы можете вывести все свои дополнения, используя следующий запрос.

osquery> .all firefox_addons;
osquery> .all chrome_extensions;

Чтобы отобразить список всех таблиц в Linux, используйте команду .tables, как показано.

osquery> .tables; #list all implemented tables
osquery> .help; #view help message

Таким образом, Osquery обеспечивает мониторинг целостности файлов (FIM), а также функции аудита процессов и сокетов и многое другое, поэтому это инструмент обнаружения вторжений, но это требует определенных конфигураций.

Вы можете найти дополнительную информацию из репозитория Osquery Github.

 

Пожалуйста, не спамьте и никого не оскорбляйте. Это поле для комментариев, а не спамбокс. Рекламные ссылки не индексируются!
Добавить комментарий