Osquery ile Linux Sunucu Güvenliği Nasıl İzlenir?


Osquery, tarafından geliştirilen, Linux, FreeBSD, Windows ve Mac/OS X sistemleri için ücretsiz, açık kaynaklı, güçlü ve platformlar arası SQL tabanlı işletim sistemi araçları, izleme ve analiz çerçevesidir. Facebook. Basit ve kullanımı kolay bir işletim sistemi gezginidir.

Düşük seviyeli işletim sistemi analitiği ve izlemesi gerçekleştiren bir dizi aracı birleştirir; bu araçlar, işletim sistemi kavramlarının temsil edildiği MySQL/MariaDB, PostgreSQL ve daha fazlası gibi yüksek performanslı bir ilişkisel veritabanı olarak bir işletim sistemini ortaya çıkarır. tablo şeklindedir, böylece kullanıcıların sistem izleme ve analitiği gerçekleştirmek için SQL komutlarını kullanmasına olanak tanır.

Osquery, SQL tablolarını uygulamak için basit bir eklenti ve uzantı API'si kullanıyor; kullanıma hazır bir tablo koleksiyonu mevcut ve daha fazlası da yazılıyor. Bazı tablolar yalnızca belirli bir işletim sisteminde bulunabilir; örneğin, kernel_modules tablosunu yalnızca Linux sistemlerinde bulabilirsiniz.

Ek olarak, işletim sistemi durumunu osqueryi kabuğu aracılığıyla tek bir ana bilgisayarda veya bir zamanlayıcı aracılığıyla bir ağdaki birden fazla ana bilgisayarda işletim sistemi durumunu izlemek ve analiz etmek için sorgular çalıştırabilir veya bunları osquery Thrift'i kullanarak özel uygulamalarınızdan herhangi birinden çalıştırabilirsiniz. API'ler.

Linux'ta Osquery Nasıl Kurulur

Osquery, gösterildiği gibi ilgili Linux dağıtımınızda apt yum veya dnf paket yönetim aracı kullanılarak resmi depodan kurulabilir.

Debian/Ubuntu'da

export OSQUERY_KEY=1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys $OSQUERY_KEY
sudo add-apt-repository 'deb [arch=amd64] https://pkg.osquery.io/deb deb main'
sudo apt update
sudo apt install osquery

RHEL/CentOS'ta

curl -L https://pkg.osquery.io/rpm/GPG | sudo tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osquery
sudo yum-config-manager --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo
sudo yum-config-manager --enable osquery-s3-rpm-repo
sudo yum install osquery

Fedora 22+'de

curl -L https://pkg.osquery.io/rpm/GPG | sudo tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osquery
dnf config-manager --add-repo --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo
sudo dnf config-manager --set-enabled osquery-s3-rpm
sudo dnf install osquery

Osquery Kullanarak Linux Nasıl İzlenir ve Analiz Edilir

Osquery'yi sisteminize başarıyla yükledikten sonra, işletim sisteminizin durumunu gösterildiği gibi sorgulamaya başlamak için osqueryi kabuğunu başlatın.

osqueryi

Using a virtual database. Need help, type '.help'
osquery> 

Özetlenmiş bir Linux sistem bilgisi almak için aşağıdaki komutu çalıştırın.

osquery> SELECT  * FROM system_info;

Linux sistemindeki tüm kullanıcıların iyi biçimlendirilmiş bir listesini almak için aşağıdaki sorguyu çalıştırın.

osquery> SELECT * FROM users;

Tüm Linux çekirdek modüllerinin ve durumlarının bir listesini almak için aşağıdaki sorguyu çalıştırın.

osquery> SELECT * FROM kernel_modules;

CentOS, RHEL ve Fedora'da kurulu tüm RPM paketlerinin bir listesini almak için aşağıdaki sorguyu çalıştırın.

osquery> .all rpm_packages;

Linux işlemlerinin çalıştırılması hakkında bilgi almak için aşağıdaki sorguyu çalıştırın.

osquery> SELECT DISTINCT processes.name, listening_ports.port, processes.pid FROM listening_ports JOIN processes USING (pid) WHERE listening_ports.address = '0.0.0.0';

Masaüstü bilgisayarda osquery çalıştırıyorsanız ve Firefox veya Chrome yüklüyse, aşağıdaki sorguyu kullanarak tüm eklentilerinizi listeleyebilirsiniz.

osquery> .all firefox_addons;
osquery> .all  chrome_extensions;

Linux'ta uygulanan tüm tabloların bir listesini görüntülemek için gösterildiği gibi .tables komutunu kullanın.

osquery> .tables;	#list all implemented tables
osquery> .help; 	#view help message

Osquery aynı zamanda dosya bütünlüğü izleme (FIM), süreç ve yuva denetleme özellikleri ve daha fazlasını da sağlar; bu nedenle bir izinsiz giriş tespit aracıdır, ancak bunu yapabilmeniz için belirli yapılandırmaların yapılması gerekir. böyle bir amaç için konuşlandırın. Osquery Github deposundan daha fazla bilgi bulabilirsiniz.