Cara Memantau Keselamatan Pelayan Linux dengan OsQuery

Osquery adalah sumber, sistem pemantauan, pemantauan, dan rangka analisis yang kuat dan lintas-platform untuk sistem Linux, FreeBSD, Windows, dan Mac/OS, yang dibina oleh Facebook. Ia adalah penjelajah sistem operasi yang mudah dan mudah digunakan.

Ia menggabungkan beberapa alat yang melakukan analisis dan pemantauan OS peringkat rendah; Alat ini mendedahkan sistem pengendalian sebagai pangkalan data relasi berprestasi tinggi seperti Mysql/Mariadb, PostgreSQL Dan banyak lagi, di mana konsep OS diwakili dalam bentuk jadual, dengan itu membolehkan pengguna menggunakan arahan SQL untuk menjalankan pemantauan sistem dan analisis.

Osquery Gunakan plugin dan pelanjutan mudah API untuk melaksanakan jadual SQL, terdapat koleksi jadual yang sedia ada untuk digunakan, dan banyak lagi yang ditulis. Beberapa jadual hanya boleh didapati di sistem pengendalian tertentu, contohnya, anda hanya dapati jadual kernel_modul pada sistem linux.

Di samping itu, anda boleh menjalankan pertanyaan untuk memantau dan menganalisis keadaan OS pada satu hos melalui Osqueryi Shell, atau di beberapa tuan rumah di rangkaian melalui penjadual atau laksanakannya dari mana -mana aplikasi tersuai anda menggunakan OsQuery Thrift API.

Cara Memasang OsQuery di Linux

The Osquery boleh dipasang dari repositori rasmi menggunakan alat pengurusan pakej apt yum atau dnf pada pengedaran linux masing -masing seperti yang ditunjukkan.

Di Debian/Ubuntu

$ eksport osquery_key = 1484120AC4E9F8A1A577AEEEEE97A80C63C9D8B80B $ SUDO APT-KEY ADV-Keyserver.Ubuntu.com--recv-keys $ osquery_key $ sudo add-apt-repository 'deb [arch = amd64] https: // pkg.Osquery.io/deb deb main '$ sudo apt update $ sudo apt pemasangan osquery 

Pada rhel/centos

$ curl -l https: // pkg.Osquery.IO/RPM/GPG | sudo tee/etc/pki/rpm-gpg/rpm-gpg-kunci-osquery $ sudo yum-config-manager --add-repo https: // pkg.Osquery.IO/RPM/OSQUERY-S3-RPM.repo $ sudo yum-config-manager-osquery-s3-rpm-repo $ sudo yum pemasangan osquery 

Pada Fedora 22+

$ curl -l https: // pkg.Osquery.IO/RPM/GPG | sudo tee/etc/pki/rpm-gpg/rpm-gpg-kunci-osquery $ dnf config-manager --add-repo --add-repo https: // pkg.Osquery.IO/RPM/OSQUERY-S3-RPM.repo $ sudo dnf config-manager-set-set-osquery-s3-rpm $ sudo dnf pemasangan osquery 

Cara Memantau dan Menganalisis Linux Menggunakan OsQuery

Sebaik sahaja anda berjaya memasang Osquery di sistem anda, lancarkan Osqueryi shell untuk mula menanyakan keadaan os anda seperti yang ditunjukkan.

$ Osqueryi Menggunakan pangkalan data maya. Memerlukan bantuan, taip '.bantu 'osquery> 

Untuk mendapatkan maklumat sistem Linux yang diringkaskan jalankan arahan berikut.

osquery> pilih * dari System_info; 

Untuk mendapatkan senarai semua pengguna yang terbentuk dengan baik di sistem Linux, jalankan pertanyaan berikut.

osquery> pilih * dari pengguna; 

Untuk mendapatkan senarai semua modul kernel Linux dan status mereka, jalankan pertanyaan berikut.

osquery> pilih * dari kernel_modules; 

Untuk mendapatkan senarai semua pakej RPM yang dipasang di CentOS, RHEL dan FEDORA, jalankan pertanyaan berikut.

osquery> .semua rpm_packages; 

Untuk mendapatkan maklumat mengenai proses linux yang menjalankan, jalankan pertanyaan berikut.

osquery> pilih proses yang berbeza.Nama, mendengar_ports.pelabuhan, proses.pid dari pendengaran_ports menyertai proses menggunakan (pid) di mana mendengar_ports.alamat = '0.0.0.0 '; 

Sekiranya anda berlari Osquery di desktop dan ada Firefox atau Chrome dipasang, anda boleh menyenaraikan semua add-on anda menggunakan pertanyaan berikut.

osquery> .semua firefox_addons; osquery> .semua chrome_extensions; 

Untuk memaparkan senarai semua jadual yang dilaksanakan di Linux, gunakan .Jadual arahan seperti yang ditunjukkan.

osquery> .Jadual; #list semua osquery meja yang dilaksanakan> .bantuan; #View Bantuan Mesej 

Osquery juga menyediakan pemantauan integriti fail (Fim), dan ciri -ciri pengauditan proses dan soket dan banyak lagi, oleh itu ia adalah alat pengesanan pencerobohan, tetapi ini memerlukan konfigurasi tertentu sebelum anda dapat menggunakannya untuk tujuan sedemikian. Anda boleh mendapatkan lebih banyak maklumat dari repositori Osquery GitHub.