Überwachung der Linux -Serversicherheit mit OSQuery

Osquery ist eine kostenlose Open Source, leistungsstarke und plattformübergreifende SQL-basierte Betriebssysteminstrumentation, Überwachung und Analyse-Framework für Linux, FreeBSD, Windows und Mac/OS X-Systeme, die von erstellt wurden Facebook. Es ist ein einfacher und benutzerfreundlicher Betriebssystem-Explorer.

Es kombiniert eine Reihe von Tools, die Betriebsanalysen und Überwachung auf niedriger Ebene durchführen. Diese Tools zeigen ein Betriebssystem als relationale Hochleistungsdatenbank wie z Mysql/Mariadb, PostgreSQL und mehr, wenn Betriebssystemkonzepte in tabellarischer Form dargestellt werden, sodass Benutzer SQL -Befehle verwenden können.

Osquery Verwenden Sie eine einfache API für Plugin und Erweiterungen, um SQL -Tabellen zu implementieren. Es gibt eine Sammlung von Tabellen, die existieren, und es werden weitere geschrieben. Einige Tabellen finden Sie nur in einem bestimmten Betriebssystem, beispielsweise finden Sie nur die Tabelle kernel_modules unter Linux -Systemen.

Darüber hinaus können Sie Anfragen ausführen, um den Betriebssystemzustand auf einem einzelnen Host über die Osqueryi Shell, oder auf mehreren Hosts in einem Netzwerk über einen Scheduler oder führen Sie sie mithilfe von OSQuery -Sparsamkeits -APIs von Ihren benutzerdefinierten Anwendungen aus.

So installieren Sie OSQuery unter Linux

Der Osquery Kann aus dem offiziellen Repository mit APT YUM- oder DNF -Paket -Management -Tool für Ihre jeweilige Linux -Verteilung wie gezeigt installiert werden.

Auf Debian/Ubuntu

$ export osquery_key = 1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B $ Sudo Apt-Key Adv --KeyServer KeyServer.Ubuntu.com-recv-keys $ osquery_key $ sudo add-apt-repository 'Deb [arch = amd64] https: // pkg.Osquery.IO/Deb Deb Main '$ sudo APT Update $ sudo APT Install OSQuery 

Auf rhel/centos

$ curl -l https: // pkg.Osquery.IO/RPM/GPG | sudo tee/etc/pki/rpm-gpg/rpm-gpg-key-osquery $ sudo yum-config-manager --add-repo https: // pkg.Osquery.IO/RPM/OSQuery-S3-RPM.Repo $ sudo yum-config-Manager-ABLEABLE OSQUERY-S3-UPM-REPO $ sudo yum Installieren Sie OSQuery 

Auf Fedora 22+

$ curl -l https: // pkg.Osquery.IO/RPM/GPG | sudo tee/etc/pki/rpm-gpg/rpm-gpg-key-osquery $ dnf config-Manager --add-Repo --add-Repo https: // pkg.Osquery.IO/RPM/OSQuery-S3-RPM.repo $ sudo dnf config-Manager-set-fähige OSQuery-S3-RPM $ sudo dnf Installieren Sie OSQuery 

So überwachen und analysieren Sie Linux mit OSQuery

Sobald Sie erfolgreich installiert haben Osquery Starten Sie in Ihrem System die Osqueryi Shell, um den Status Ihres Betriebssystems wie gezeigt abzufragen.

$ osqueryi Verwenden einer virtuellen Datenbank. Benötigen Sie Hilfe, geben Sie 'ein'.Helfen Sie 'Osquery> 

Um eine zusammengefasste Linux -Systeminformationen zu erhalten, führen Sie den folgenden Befehl aus.

OSQuery> aus system_info auswählen; 

Holen Sie sich Linux -Systeminformationen

Führen Sie die folgende Abfrage aus, um eine gut formierte Liste aller Benutzer auf dem Linux -System zu erhalten.

OSQuery> Wählen Sie * von Benutzern aus; 

Liste aller Linux -Benutzer

Um eine Liste aller Linux -Kernel -Module und ihres Status zu erhalten, führen Sie die folgende Abfrage aus.

OSQuery> Select * aus Kernel_Modules; 

Listen Sie alle Kernel -Module unter Linux auf

Um eine Liste aller installierten Drehzahlpakete auf CentOS, Rhel und Fedora zu erhalten, führen Sie die folgende Abfrage aus.

Osquery> .alle RPM_Packages; 

Listen Sie alle installierten RPM -Pakete auf

Führen Sie die folgende Abfrage aus, um ein Informatin über das Ausführen von Linux -Prozessen auszuführen.

OSQuery> Wählen Sie unterschiedliche Prozesse aus.Name, Listening_Ports.Port, Prozesse.PID von Hör- und Ports -Verfahren mit (PID), wobei Hörports.Adresse = '0.0.0.0 '; 

Listen Sie Linux -Prozessinformationen auf

Wenn Sie rennen Osquery auf einem Desktop und haben Feuerfuchs oder Chrom Installiert, können Sie alle Add-Ons mithilfe der folgenden Abfrage auflisten.

Osquery> .alle Firefox_addons; Osquery> .alle Chrome_extensionen; 

Verwenden Sie das, um eine Liste aller implementierten Tabellen in Linux anzuzeigen, um die .Tische Befehl wie gezeigt.

Osquery> .Tische; #List alle implementierten Tabellen OSQuery> .Hilfe; #View -Hilfenachricht 

Osquery Bietet auch die Überwachung der Dateiintegrität (Fim) sowie Prozess- und Socket -Prüfungsfunktionen und vieles mehr. Es handelt sich daher um ein Intrusionserkennungswerkzeug, aber dies erfordert bestimmte Konfigurationen, bevor Sie es für einen solchen Zweck bereitstellen können. Weitere Informationen finden Sie im OSQuery Github -Repository.