Slik overvåker du Linux -sikkerhet med OSQuery

Slik overvåker du Linux -sikkerhet med OSQuery | Linux / Unix 2024
Slik overvåker du Linux -sikkerhet med OSQuery | Linux / Unix 2024

Sikkerhet bør alltid være en av hovedgrunnene til at vi søker integrerte løsninger både internt og eksternt på maskinvare, tjenester, prosesser og brukerne selv. Utvilsomt kan vi i Linux -miljøer benytte oss av de forskjellige løsningene som er utviklet for å forbedre sikkerheten til systemene våre, og det er av denne grunn at Solvetic vil forklare en spesiell som kalles OSQuery, og vi vil kunne forstå hvordan takket være det en mer sikkerhetsnivået er lagt til systemet vårt, og som administratorer eller IT -gruppe vil vi være litt mer selvsikre, men uten å gi opp tradisjonell sikkerhetsrådgivning.

Hva er OSQueryOSQuery ble utviklet som et instrumenteringsrammeverk for operativsystemet og er tilgjengelig for både Windows, OS X (macOS), Linux og FreeBSD. OSQuery har praktiske, men omfattende verktøy som er ansvarlige for å kjøre forskjellige lavt nivå av operativsystemskanninger og overvåke både ytelse og hver prosess på en omfattende måte.

OSQuery bruker en enkel plugin og et utvidelses -API for å implementere SQL -tabeller, men det finnes allerede en samling tabeller som er klare til bruk, noen av disse tabellene er bare tilgjengelige for et spesielt system, for eksempel i I tilfelle av Linux vil vi bare se tabellen kernel_modules.

For å forstå hvordan OSQuery fungerer, avslører dette verktøyet operativsystemet som en høytytende relasjonsdatabase, slik at takket være denne eksponeringen kan SQL-spørringer skrives for å utforske operativsystemdata på en mye dypere måte. Når du bruker OSQuery, blir SQL -tabeller representert som abstrakte konsepter som ligner på kjørende prosesser, lastede kjernemoduler, åpne nettverkstilkoblinger, maskinvarehendelser, filhasjer eller mer.

OSQuery -funksjoner
Blant de forskjellige funksjonene i OSQuery finner vi:

  • Den har en høytytende, men lavt fotavtrykk, distribuert hostovervåkingsdemon kalt osqueryd, takket være hvilken det vil være mulig å planlegge spørsmål for å kjøre på hele infrastrukturen som er montert i organisasjonen.
  • Registeret generert av osqueryd kan integreres i de interne registre takket være en plugin -arkitektur for alltid å ha bedre sikkerhetsalternativer tilgjengelig.
  • Den har en interaktiv spørrekonsoll, kalt osqueryi, som er et SQL -grensesnitt utviklet for å teste nye spørringer og grundig utforske operativsystemet, denne konsollen har alle fordelene med hele SQL -språket og har hundrevis av integrerte tabeller som vil være avgjørende for hendelser respons, problemdiagnostikk på systemoperasjonsnivå og mer.
  • OSQuery er en tverrplattform, uavhengig av om denne applikasjonen bruker operativsystemets APIer på lavt nivå, kan vi bygge og bruke OSQuery på Windows-systemer, macOS, Ubuntu, CentOS og andre Linux-distribusjoner på firmanivå..
  • OSQuery har opprinnelige pakker for alle kompatible operativsystemer, det er også verktøy og mye dokumentasjon om opprettelse av pakker som vi har ressurser til administrasjonen av.
  • OSQuery-kodebasen består av høytytende, modulære komponenter som bruker offentlige APIer for å utvide fordelene.

Nå skal vi se hvordan du installerer OSQuery på Linux.

1. Installer OSQuery på Linux

Trinn 1
OSQuery kan installeres fra det offisielle depotet ved hjelp av pakkehåndteringsverktøyene apt, yum eller dnf, avhengig av distribusjonen som brukes slik:

I Debian- eller Ubuntu -miljøer 

 eksporter OSQUERY_KEY = 1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys $ OSQUERY_KEY sudo add-apt-repository 'deb [arch = amd64] deb https: // pkg/deb64] /debquery 'sudo apt oppdatering sudo apt install osquery

I Fedora -miljøer 

 curl -L https://pkg.osquery.io/rpm/GPG | sudo tee / etc / pki / rpm-gpg / RPM-GPG-KEY-osquery dnf config-manager --add-repo --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm. repo sudo dnf config-manager-set-enabled osquery-s3-rpm sudo dnf install osquery

I CentOS 7 -miljøerFor CentOS 7 -miljøer, som vi skal bruke i denne opplæringen, skal vi utføre hver av følgende linjer: 

 curl -L https://pkg.osquery.io/rpm/GPG | sudo tee / etc / pki / rpm-gpg / RPM-GPG-KEY-osquery sudo yum-config-manager-add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo sudo yum -config-manager-aktiver osquery-s3-rpm sudo yum install osquery

Steg 2
Men for CentOS 7 har vi muligheten til å installere RPM "auto-repo-add" eller legge til destinasjonen til depotet. Disse turtallene fungerer på alle Linux x86-64 med en grunninstallasjon fra 2011, og først utfører vi følgende: 

 sudo rpm -ivh https://osquery-packages.s3.amazonaws.com/centos7/noarch/osquery-s3-centos7-repo-1-0.0.noarch.rpm

Trinn 3
Deretter kjører vi OSQuery -installasjonen slik. 

 sudo yum installer osquery

Trinn 4
Vi skriver inn bokstaven y for å bekrefte nedlasting og installasjon av OSQuery i CentOS 7. På et tidspunkt i installasjonen må vi godkjenne installasjonen av GPG -nøkkelen:

Trinn 5
Vi skriver inn bokstaven s for å bekrefte dette, og vi vil se at OSQuery er riktig installert i CentOS 7.

2. Bruk OSQuery til å analysere Linux

Trinn 1
Når OSQuery er installert riktig i CentOS 7, skal vi starte osqueryi -skallet for å starte spørsmålene om operativsystemstatusen, for dette utfører vi: 

 osqueryi

Steg 2
For å få en oppsummerende informasjon om Linux -operativsystemet vårt, skal vi utføre følgende kommando: 

 VELG * FRA systeminfo;
Trinn 3
I resultatene vil vi se detaljer som:
  • Vertsnavn
  • IP adresse
  • CPU -type brukt
  • UUID og mer

Trinn 4
Hvis vi ønsker å få en liste over alle brukerne på Linux -systemet, skal vi utføre følgende OSQuery -spørring: 

 VELG * FRA brukere;

Trinn 5
For å få en liste over alle Linux -kjernemoduler og deres respektive status, la oss kjøre følgende. 

 VELG * FRA kjernemoduler;

Trinn 6
Hvis det er nødvendig å få tilgang til listen over alle RPM -pakker installert i CentOS, RHEL og Fedora, skal vi utføre følgende spørring: 

 .all rpm_packages;

Trinn 7
For å få tilgang til informasjon om hvordan du kjører prosesser på Linux, vil følgende spørring være nyttig: 

 VELG DISTINCT prosesser.navn, lytterport.port, prosesser.pid FRA lytte_porter BLI MED prosesser BRUK (pid) WHERE listening_ports.address = '0.0.0.0';
Trinn 8
For å vise alle de implementerte tabellene vi utfører: 
 . tabeller

Trinn 9
For å vise skjemaet (kolonner, typer) for en bestemt tabell, utfører vi en av følgende linjer: 

 .skjema tabellnavn pragma tabellinfo (tabellnavn);

Trinn 10
For å vise den generelle hjelpen skal vi utføre følgende: 

 .hjelp

Trinn 11
For å avslutte OSQuery utfører vi: 

 .exit
Med OSQuery vil det være mulig å få tilgang til detaljert informasjon om mange systemparametere for å forbedre administrasjonsoppgaver og alltid ha flotte funksjonalitetsfunksjoner.

wave wave wave wave wave

Populære Innlegg

wave
1
post-title
▷ Lag DropBox Mac -snarvei ✔️
2
post-title
Hvordan komprimere og dekomprimere data i Python
3
post-title
▷ Installer Crossover på Chromebook
4
post-title
Lag frontend -utviklingsarkitektur med NPM, Grunt og Bower
5
post-title
▷ Slik kobler du til og synkroniserer Huawei Band 6 iPhone

Anbefalt

wave
- Sponsored Ad -

Redaksjonens

wave
- Sponsored Ad -