Wéi Monitor Linux Server Sécherheet mat Osquery

Osquery ass e gratis Open Source, mächteg a cross-platform SQL-baséiert Betribssystem Instrumentatioun, Iwwerwaachung, an Analyse Kader fir Linux, FreeBSD, Windows, a Mac/OS X Systemer, gebaut vu Facebook. Et ass en einfachen an einfach ze benotzen Betribssystem Explorer.

Et kombinéiert eng Rei vun Tools déi Low-Level OS Analyse an Iwwerwaachung ausféieren; Dës Tools verroden e Betribssystem als eng héich performant relational Datebank wéi MySQL/MariaDB, PostgreSQL a méi, wou OS Konzepter an Tabellform vertruede sinn, sou datt d'Benotzer SQL Kommandoen benotze fir System Iwwerwachung an Analytik auszeféieren.

Osquery benotzt en einfachen Plugin an Extensiounen API fir SQL Dëscher ëmzesetzen, et gëtt eng Sammlung vun Dëscher existéiert prett fir ze benotzen, a méi ginn geschriwwe. E puer Dëscher kënnen nëmmen op engem spezifesche Betribssystem fonnt ginn, zum Beispill, Dir fannt nëmmen den kernel_modules Dësch op Linux Systemer.

Zousätzlech kënnt Dir Ufroe lafen fir den OS Zoustand op engem eenzegen Host iwwer d'osqueryi Shell ze iwwerwaachen an ze analyséieren, oder op e puer Hosten op engem Netzwierk iwwer e Scheduler oder se aus engem vun Äre personaliséierten Uwendungen auszeféieren mat Osquery Thrift APIs.

Wéi installéiere ech Osquery op Linux

D'Osquery kann aus dem offiziellen Repository installéiert ginn mat dnf Package Management Tool op Ärer jeweileger Linux Verdeelung wéi gewisen.

$ export OSQUERY_KEY=1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B
$ sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys $OSQUERY_KEY
$ sudo add-apt-repository 'deb [arch=amd64] https://pkg.osquery.io/deb deb main'
$ sudo apt update
$ sudo apt install osquery

$ curl -L https://pkg.osquery.io/rpm/GPG | sudo tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osquery
$ sudo yum-config-manager --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo
$ sudo yum-config-manager --enable osquery-s3-rpm-repo
$ sudo yum install osquery

$ curl -L https://pkg.osquery.io/rpm/GPG | sudo tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osquery
$ dnf config-manager --add-repo --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo
$ sudo dnf config-manager --set-enabled osquery-s3-rpm
$ sudo dnf install osquery

Wéi iwwerwaacht an analyséiert Linux mat Osquery

Wann Dir erfollegräich Osquery op Ärem System installéiert hutt, starten d'osqueryi Shell fir unzefroen den Zoustand vun Ärem OS wéi gewisen.

$ osqueryi

Using a virtual database. Need help, type '.help'
osquery> 

Fir eng zesummegefaasst Linux Systeminformatioun ze kréien, fuert de folgende Kommando.

osquery> SELECT  * FROM system_info;

Fir eng gutt formatéiert Lëscht vun all de Benotzer um Linux System ze kréien, fuert déi folgend Ufro.

osquery> SELECT * FROM users;

Fir eng Lëscht vun all Linux Kernel Moduler an hire Status ze kréien, fuert déi folgend Ufro.

osquery> SELECT * FROM kernel_modules;

Fir eng Lëscht vun all installéierten RPM Packagen op CentOS, RHEL a Fedora ze kréien, fuert déi folgend Ufro.

osquery> .all rpm_packages;

Fir eng Informatioun iwwer Linux Prozesser ze lafen, fuert déi folgend Ufro.

osquery> SELECT DISTINCT processes.name, listening_ports.port, processes.pid FROM listening_ports JOIN processes USING (pid) WHERE listening_ports.address = '0.0.0.0';

Wann Dir Osquery op engem Desktop leeft an Firefox oder Chrome installéiert hutt, kënnt Dir all Är Add-ons mat der folgender Ufro oplëschten.

osquery> .all firefox_addons;
osquery> .all  chrome_extensions;

Fir eng Lëscht vun all implementéierten Dëscher am Linux ze weisen, benotzt de .tables Kommando wéi gewisen.

osquery> .tables;	#list all implemented tables
osquery> .help; 	#view help message

Osquery bitt och Dateiintegritéitsiwwerwaachung (FIM), a Prozess- a Socket Auditfunktiounen a méi, also ass et en Intrusiounserkennungsinstrument, awer dëst erfuerdert gewësse Konfiguratiounen ier Dir et fir sou en Zweck ofsetzt. Dir kënnt méi Informatioun vum Osquery Github Repository fannen.