Kako pratiti sigurnost Linux servera pomoću Osqueryja
Osquery je besplatni open source, moćan i višeplatformski okvir za instrumentaciju, nadzor i analizu operativnog sistema baziran na SQL-u za Linux, FreeBSD, Windows i Mac/OS X sisteme, koji je napravio Facebook. To je jednostavan i lak za korištenje istraživač operativnog sistema.
Kombinira niz alata koji obavljaju analitiku i nadzor OS niskog nivoa; ovi alati otkrivaju operativni sistem kao relacionu bazu podataka visokih performansi kao što je MySQL/MariaDB, PostgreSQL i više, gdje su koncepti OS-a predstavljeni u tabelarni oblik, omogućavajući korisnicima da koriste SQL komande za vršenje nadzora i analize sistema.
Osquery koristi jednostavan dodatak i API proširenja za implementaciju SQL tabela, postoji kolekcija tabela spremnih za upotrebu, a još se piše. Neke tabele se mogu naći samo na određenom operativnom sistemu, na primer, tabelu kernel_modules možete pronaći samo na Linux sistemima.
Dodatno, možete pokrenuti upite za praćenje i analizu stanja OS-a na jednom hostu putem osqueryi ljuske, ili na nekoliko hostova na mreži putem planera ili ih izvršiti iz bilo koje od vaših prilagođenih aplikacija koristeći osquery Thrift API-ji.
Kako instalirati Osquery u Linux
Osquery se može instalirati iz službenog spremišta koristeći apt yum ili dnf alat za upravljanje paketima na vašoj Linux distribuciji kao što je prikazano.
Na Debian/Ubuntu
export OSQUERY_KEY=1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys $OSQUERY_KEY
sudo add-apt-repository 'deb [arch=amd64] https://pkg.osquery.io/deb deb main'
sudo apt update
sudo apt install osquery
Na RHEL/CentOS
curl -L https://pkg.osquery.io/rpm/GPG | sudo tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osquery
sudo yum-config-manager --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo
sudo yum-config-manager --enable osquery-s3-rpm-repo
sudo yum install osquery
Na Fedori 22+
curl -L https://pkg.osquery.io/rpm/GPG | sudo tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osquery
dnf config-manager --add-repo --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo
sudo dnf config-manager --set-enabled osquery-s3-rpm
sudo dnf install osquery
Kako pratiti i analizirati Linux koristeći Osquery
Nakon što ste uspješno instalirali Osquery na svoj sistem, pokrenite osqueryi ljusku da započnete ispitivanje stanja vašeg OS-a kao što je prikazano.
osqueryi
Using a virtual database. Need help, type '.help'
osquery>
Da biste dobili sažete informacije o Linux sistemu, pokrenite sljedeću naredbu.
osquery> SELECT * FROM system_info;
Da biste dobili dobro formatiranu listu svih korisnika na Linux sistemu, pokrenite sljedeći upit.
osquery> SELECT * FROM users;
Da biste dobili listu svih modula jezgre Linuxa i njihov status, pokrenite sljedeći upit.
osquery> SELECT * FROM kernel_modules;
Da biste dobili listu svih instaliranih RPM paketa na CentOS, RHEL i Fedora, pokrenite sljedeći upit.
osquery> .all rpm_packages;
Da biste dobili informacije o pokretanju Linux procesa, pokrenite sljedeći upit.
osquery> SELECT DISTINCT processes.name, listening_ports.port, processes.pid FROM listening_ports JOIN processes USING (pid) WHERE listening_ports.address = '0.0.0.0';
Ako koristite osquery na desktopu i imate instaliran Firefox ili Chrome, možete navesti sve svoje dodatke koristeći sljedeći upit.
osquery> .all firefox_addons;
osquery> .all chrome_extensions;
Za prikaz liste svih implementiranih tabela u Linuxu, koristite naredbu .tables kao što je prikazano.
osquery> .tables; #list all implemented tables
osquery> .help; #view help message
Osquery također pruža nadzor integriteta datoteka (FIM), funkcije revizije procesa i utičnice i još mnogo toga, stoga je alat za otkrivanje upada, ali ovo zahtijeva određene konfiguracije prije nego što možete rasporedite ga u tu svrhu. Više informacija možete pronaći u Osquery Github repozitoriju.