Как контролировать безопасность сервера Linux с помощью Osquery

Osquery — бесплатная программа, с открытым исходным кодом, мощная и кросс-платформенная база данных для операционной системы, мониторинга и аналитики на базе SQL для Linux, FreeBSD, Windows и Mac OS X, созданная Facebook.

Это простой в использовании браузер для операционной системы.

Он объединяет ряд инструментов, которые выполняют низкоуровневую аналитику и мониторинг ОС; инструменты синтеза открывают операционной системы в виде реляционной базы данных высокой производительности: такие как MySQL / MariaDB, PostgreSQL и многое другое, где понятия OS представлены в табличной форме, что позволяет пользователям использовать SQL команд для выполнения мониторинга и аналитики системы.

Osquery использует простой API плагинов и расширений для реализации таблиц SQL, существует набор готовых к использованию таблиц, и все больше написано.

Некоторые таблицы можно найти только в определенной операционной системе, например, вы найдете только таблицу kernel_modules в системах Linux.

Кроме того, вы можете запускать оболочку osqueryi или на нескольких хостах в сети через планировщик или выполнять их из любых ваших пользовательских приложений с помощью API-интерфейсов osquery trift.

Как установить Osquery в Linux

Osquery можно установить из официального репозитория с помощью утилиты управления пакетами apt yum или dnf в вашем дистрибутиве Linux, как показано ниже.

На Debian / Ubuntu

$ export OSQUERY_KEY=1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B
$ sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys $OSQUERY_KEY
$ sudo add-apt-repository 'deb [arch=amd64] https://pkg.osquery.io/deb deb main'
$ sudo apt update
$ sudo apt install osquery

На RHEL / CentOS

$ curl -L https://pkg.osquery.io/rpm/GPG | sudo tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osquery
$ sudo yum-config-manager --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo
$ sudo yum-config-manager --enable osquery-s3-rpm
$ sudo yum install osquery
On Fedora 22+

На Fedora 22+

$ curl -L https://pkg.osquery.io/rpm/GPG | sudo tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osquery
$ dnf config-manager --add-repo --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo
$ sudo dnf config-manager --set-enabled osquery-s3-rpm
$ sudo dnf install osquery

Как контролировать и анализировать Linux с помощью Osquery

После того, как вы успешно установили Osquery в своей системе, запустите оболочку osqueryi, чтобы начать мониторинг состояния вашей ОС, как показано ниже

$ osqueryi
Using a virtual database. Need help, type '.help'
osquery> 

Чтобы получить обобщенную информацию о системе Linux, выполните следующую команду….

osquery> SELECT * FROM system_info; 

Чтобы получить хорошо сформированный список всех пользователей в системе Linux, выполните следующий запрос.

osquery> SELECT * FROM users; 

Чтобы получить список всех модулей ядра и их статус, запустите следующий запрос.

 osquery> SELECT * FROM kernel_modules; 

 

 

Чтобы получить список всех установленных пакетов RPM в CentOS, RHEL и Fedora, выполните следующий запрос.

 osquery> .all rpm_packages; 

 

 

Чтобы получить информацию о запуске процессов Linux, выполните следующий запрос.

osquery SELECT DISTINCT processes.name, listening_ports.port, processes.pid FROM listening_ports JOIN processes USING (pid) WHERE listening_ports.address = '0.0.0.0';

 

 

Если вы работаете на рабочем столе и имеете Firefox или Chrome, вы можете вывести все свои дополнения, используя следующий запрос.

osquery> .all firefox_addons;
osquery> .all chrome_extensions;

Чтобы отобразить список всех таблиц в Linux, используйте команду .tables, как показано.

osquery> .tables; #list all implemented tables
osquery> .help; #view help message

Таким образом, Osquery обеспечивает мониторинг целостности файлов (FIM), а также функции аудита процессов и сокетов и многое другое, поэтому это инструмент обнаружения вторжений, но это требует определенных конфигураций.

Вы можете найти дополнительную информацию из репозитория Osquery Github.

 

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40