Jak monitorovat zabezpečení Linuxu pomocí OSQuery

Jak monitorovat zabezpečení Linuxu pomocí OSQuery | Linux / Unix 2024
Jak monitorovat zabezpečení Linuxu pomocí OSQuery | Linux / Unix 2024

Zabezpečení by mělo být vždy jedním z hlavních důvodů, proč hledáme ucelená řešení interně i externě na úrovni hardwaru, služeb, procesů i samotných uživatelů. V prostředích Linuxu můžeme bezpochyby využít různá řešení, která byla vyvinuta za účelem zvýšení zabezpečení našich systémů, a proto Solvetic vysvětlí speciál nazvaný OSQuery a budeme schopni pochopit, jak díky němu do našeho systému je přidána úroveň zabezpečení a jako správci nebo skupina IT budeme o něco jistější, ale aniž bychom se museli vzdát tradičních bezpečnostních rad.

Co je to OSQueryOSQuery byl vyvinut jako instrumentační rámec pro operační systém a je k dispozici pro Windows, OS X (macOS), Linux a FreeBSD. OSQuery má praktické, ale komplexní nástroje, které jsou zodpovědné za spouštění různých nízkoúrovňových skenů operačního systému a monitorování výkonu a každého procesu komplexním způsobem.

OSQuery využívá k implementaci tabulek SQL jednoduchý plugin a API pro rozšíření, ale již existuje kolekce tabulek připravených k použití, některé z těchto tabulek jsou k dispozici pouze pro speciální systém, například v případě V Linuxu uvidíme pouze tabulku kernel_modules.

Abychom pochopili, jak OSQuery funguje, tento nástroj vystavuje operační systém jako vysoce výkonnou relační databázi, takže díky této expozici lze psát dotazy SQL a prozkoumávat data operačního systému mnohem hlouběji. Při použití OSQuery jsou tabulky SQL reprezentovány jako abstraktní pojmy podobné spuštěným procesům, načteným modulům jádra, otevřeným síťovým připojením, událostem hardwaru, hašování souborů nebo dalším.

Funkce OSQuery
Mezi různými funkcemi OSQuery najdeme:

  • Má vysoce výkonného démona monitorování distribuovaného hostitele nazvaného osqueryd, ale s nízkými rozměry, díky kterému bude možné naplánovat spouštění dotazů na celé infrastruktuře připojené v organizaci.
  • Registr generovaný osquerydem může být integrován do interních registrů díky architektuře pluginů, aby byly vždy k dispozici lepší možnosti zabezpečení.
  • Má interaktivní konzolu dotazů, zvanou osqueryi, což je rozhraní SQL vyvinuté pro testování nových dotazů a důkladné prozkoumání operačního systému. Tato konzole má všechny výhody úplného jazyka SQL a má stovky integrovaných tabulek, které budou zásadní pro případ odezva, diagnostika problémů na úrovni operačního systému a další.
  • OSQuery je multiplatformní platforma, bez ohledu na to, zda tato aplikace využívá nízkoúrovňová rozhraní API operačního systému, jsme schopni vytvářet a používat OSQuery na systémech Windows, macOS, Ubuntu, CentOS a dalších distribucích Linuxu na úrovni společnosti.
  • OSQuery má nativní balíčky pro všechny kompatibilní operační systémy, nechybí ani nástroje a spousta dokumentace k tvorbě balíčků, se kterými máme prostředky na jejich správu.
  • Základna kódů OSQuery se skládá z vysoce výkonných, modulárních komponent využívajících veřejná rozhraní API k rozšíření svých výhod.

Nyní uvidíme, jak nainstalovat OSQuery na Linux.

1. Nainstalujte OSQuery na Linux

Krok 1
OSQuery lze nainstalovat z oficiálního úložiště pomocí nástrojů pro správu balíků apt, yum nebo dnf v závislosti na použité distribuci takto:

V prostředí Debianu nebo Ubuntu 

 export OSQUERY_KEY = 1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys $ OSQUERY_KEY sudo add-apt-repository 'deb [arch = amd64] debio] pd https: // /debquery 'sudo apt aktualizovat sudo apt nainstalovat osquery

V prostředích Fedory 

 curl -L https://pkg.osquery.io/rpm/GPG | sudo tee / etc / pki / rpm-gpg / RPM-GPG-KEY-osquery dnf config-manager --add-repo --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm. repo sudo dnf config-manager --set-enabled osquery-s3-rpm sudo dnf install osquery

V prostředích CentOS 7V prostředích CentOS 7, která použijeme v tomto kurzu, spustíme každý z následujících řádků: 

 curl -L https://pkg.osquery.io/rpm/GPG | sudo tee / etc / pki / rpm-gpg / RPM-GPG-KEY-osquery sudo yum-config-manager --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo sudo yum -config-manager-povolit osquery-s3-rpm sudo yum nainstalovat osquery

Krok 2
Ale pro CentOS 7 máme možnost nainstalovat RPM „auto-repo-add“ nebo přidat cíl úložiště. Tyto RPM fungují na jakémkoli Linuxu x86-64 se základní instalací od roku 2011 a nejprve provedeme následující: 

 sudo rpm -ivh https://osquery-packages.s3.amazonaws.com/centos7/noarch/osquery-s3-centos7-repo-1-0.0.noarch.rpm

Krok 3
Poté spustíme instalaci OSQuery takto. 

 sudo yum nainstalovat osquery

Krok 4
Zadáme písmeno y, abychom potvrdili stažení a instalaci OSQuery v CentOS 7. V určitém okamžiku instalace musíme autorizovat instalaci GPG klíče:

Krok 5
Abychom to potvrdili, zadáme písmeno s a uvidíme, že OSQuery je v CentOS 7 nainstalován správně.

2. K analýze Linuxu použijte OSQuery

Krok 1
Jakmile je OSQuery správně nainstalován v CentOS 7, spustíme prostředí osqueryi a spustíme dotazy na stav operačního systému, proto spustíme: 

 osqueryi

Krok 2
Abychom získali souhrnné informace o našem operačním systému Linux, spustíme následující příkaz: 

 SELECT * FROM system_info;
Krok 3
Ve výsledcích uvidíme detaily jako:
  • Jméno hostitele
  • IP adresa
  • Použitý typ CPU
  • UUID a další

Krok 4
Pokud chceme získat seznam všech uživatelů v systému Linux, spustíme následující dotaz OSQuery: 

 VYBRAT * OD uživatelů;

Krok 5
Chcete -li získat seznam všech modulů jádra Linuxu a jejich příslušného stavu, spusťme následující. 

 SELECT * FROM kernel_modules;

Krok 6
Pokud je nutné získat přístup k seznamu všech balíčků RPM nainstalovaných v CentOS, RHEL a Fedora, provedeme následující dotaz: 

 .všechny rpm_packages;

Krok 7
Pro přístup k informacím o tom, jak spouštět procesy v Linuxu, bude užitečný následující dotaz: 

 VYBRAT DISTINKT procesy.název, naslouchací_porty.port, zpracovává.pid Z poslechových_portů PŘIPOJTE SE K POUŽITÍ (pid) KDE poslouchá_porty.adresa = '0.0.0.0';
Krok 8
Chcete -li zobrazit seznam všech implementovaných tabulek, které spouštíme: 
 .tabulky

Krok 9
Chcete -li zobrazit schéma (sloupce, typy) konkrétní tabulky, spustíme jeden z následujících řádků: 

 .schema název_tabulky pragma tabulka_info (název_tabulky);

Krok 10
Chcete -li zobrazit obecnou nápovědu, provedeme následující: 

 .Pomoc

Krok 11
Pro ukončení OSQuery spustíme: 

 .výstup
S OSQuery bude možné přistupovat k podrobným informacím o mnoha systémových parametrech za účelem vylepšení úloh správy a vždy s vynikajícími funkcemi.

wave wave wave wave wave

Populární Příspěvky

wave
1
post-title
▷ Signál nefunguje ✔️ ŘEŠENÍ
2
post-title
Sdílejte internet z mobilu Android
3
post-title
Jak přidat disk pomocí příkazu LVM v Linuxu
4
post-title
Zálohování v Linuxu z disku na disk
5
post-title
Jak ve Macu ve výchozím nastavení upřednostnit WiFi nebo Ethernet

Doporučená

wave
- Sponsored Ad -

Redakce Choice

wave
- Sponsored Ad -