Kaip stebėti „Linux“ serverio saugumą naudojant „Osquery“.

Osquery yra nemokama atvirojo kodo, galinga ir kelių platformų SQL pagrįsta operacinės sistemos prietaisų, stebėjimo ir analizės sistema, skirta Linux, FreeBSD, Windows ir Mac/OS X sistemoms, sukurta Facebook. Tai paprasta ir lengvai naudojama operacinės sistemos naršyklė.

Jis apjungia daugybę įrankių, kurie atlieka žemo lygio OS analizę ir stebėjimą; šie įrankiai atskleidžia operacinę sistemą kaip didelio našumo reliacinę duomenų bazę, pvz., MySQL/MariaDB, PostgreSQL ir kt., kur OS sąvokos pateikiamos lentelės forma, todėl vartotojai gali naudoti SQL komandas sistemos stebėjimui ir analizei atlikti.

Osquery naudoja paprastą papildinį ir plėtinių API, kad įdiegtų SQL lenteles, yra paruoštų naudoti lentelių rinkinys ir rašoma daugiau. Kai kurias lenteles galima rasti tik konkrečioje operacinėje sistemoje, pavyzdžiui, lentelę kernel_modules rasite tik Linux sistemose.

Be to, galite paleisti užklausas, kad stebėtumėte ir analizuotumėte OS būseną viename pagrindiniame kompiuteryje naudodami osqueryi apvalkalą arba keliuose tinklo kompiuteriuose naudodami planuoklį arba vykdyti jas iš bet kurios tinkintos programos naudodami osquery Thrift. API.

Kaip įdiegti „Osquery“ sistemoje „Linux“.

Osquery galima įdiegti iš oficialios saugyklos naudojant apt yum arba dnf paketų valdymo įrankį atitinkamame Linux paskirstyme, kaip parodyta.

„Debian“/„Ubuntu“.

export OSQUERY_KEY=1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys $OSQUERY_KEY
sudo add-apt-repository 'deb [arch=amd64] https://pkg.osquery.io/deb deb main'
sudo apt update
sudo apt install osquery

RHEL/CentOS

curl -L https://pkg.osquery.io/rpm/GPG | sudo tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osquery
sudo yum-config-manager --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo
sudo yum-config-manager --enable osquery-s3-rpm-repo
sudo yum install osquery

„Fedora 22+“.

curl -L https://pkg.osquery.io/rpm/GPG | sudo tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osquery
dnf config-manager --add-repo --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo
sudo dnf config-manager --set-enabled osquery-s3-rpm
sudo dnf install osquery

Kaip stebėti ir analizuoti „Linux“ naudojant „Osquery“.

Sėkmingai įdiegę Osquery savo sistemoje, paleiskite osqueryi apvalkalą, kad pradėtumėte teirautis dėl savo OS būsenos, kaip parodyta.

osqueryi

Using a virtual database. Need help, type '.help'
osquery> 

Norėdami gauti apibendrintą Linux sistemos informaciją, paleiskite šią komandą.

osquery> SELECT  * FROM system_info;

Norėdami gauti gerai suformatuotą visų Linux sistemos vartotojų sąrašą, paleiskite šią užklausą.

osquery> SELECT * FROM users;

Norėdami gauti visų Linux branduolio modulių sąrašą ir jų būseną, paleiskite šią užklausą.

osquery> SELECT * FROM kernel_modules;

Norėdami gauti visų CentOS, RHEL ir Fedora įdiegtų RPM paketų sąrašą, paleiskite šią užklausą.

osquery> .all rpm_packages;

Norėdami gauti informacijos apie Linux procesų vykdymą, paleiskite šią užklausą.

osquery> SELECT DISTINCT processes.name, listening_ports.port, processes.pid FROM listening_ports JOIN processes USING (pid) WHERE listening_ports.address = '0.0.0.0';

Jei darbalaukyje naudojate osquery ir įdiegėte Firefox arba Chrome, galite pateikti visų priedų sąrašą naudodami šią užklausą.

osquery> .all firefox_addons;
osquery> .all  chrome_extensions;

Norėdami parodyti visų įdiegtų lentelių sąrašą sistemoje „Linux“, naudokite komandą .tables, kaip parodyta.

osquery> .tables;	#list all implemented tables
osquery> .help; 	#view help message

Osquery taip pat teikia failų vientisumo stebėjimą (FIM), procesų ir lizdų audito funkcijas ir dar daugiau, todėl tai yra įsibrovimo aptikimo įrankis, tačiau tam reikia tam tikrų konfigūracijų, kad galėtumėte panaudoti jį tokiam tikslui. Daugiau informacijos galite rasti Osquery Github saugykloje.