Cara memantau keamanan server linux dengan osquery

OsQuery adalah open source gratis, kerangka kerja sistem operasi berbasis SQL yang kuat dan lintas platform, pemantauan, dan kerangka kerja analitik untuk sistem Linux, FreeBSD, Windows, dan Mac/OS, yang dibangun oleh Facebook. Ini adalah penjelajah sistem operasi yang sederhana dan mudah digunakan.

Ini menggabungkan sejumlah alat yang melakukan analitik dan pemantauan OS tingkat rendah; Alat-alat ini mengungkapkan sistem operasi sebagai database relasional berkinerja tinggi seperti Mysql/Mariadb, PostgreSQL Dan lebih banyak lagi, di mana konsep OS diwakili dalam bentuk tabel, sehingga memungkinkan pengguna untuk menggunakan perintah SQL untuk melakukan pemantauan sistem dan analitik.

OsQuery Gunakan API plugin dan ekstensi sederhana untuk mengimplementasikan tabel SQL, ada kumpulan tabel yang ada siap digunakan, dan lebih banyak lagi sedang ditulis. Beberapa tabel hanya dapat ditemukan pada sistem operasi tertentu, misalnya, Anda hanya menemukan tabel Kernel_modules pada sistem Linux.

Selain itu, Anda dapat menjalankan kueri untuk memantau dan menganalisis status OS pada satu host melalui Osqueryi Shell, atau di beberapa host di jaringan melalui penjadwal atau menjalankannya dari aplikasi khusus Anda menggunakan OsQuery Thrift API.

Cara menginstal osquery di linux

Itu OsQuery dapat diinstal dari repositori resmi menggunakan alat manajemen paket apt yum atau dnf pada distribusi linux Anda masing -masing seperti yang ditunjukkan.

Di debian/ubuntu

$ Ekspor osquery_key = 1484120ac4e9f8a1a577aeeee97a80c63c9d8b80b $ sudo apt-key adv --keyserver keyserverer.Ubuntu.com --recv-keys $ osquery_key $ sudo add-apt-repository 'deb [arch = amd64] https: // pkg.OsQuery.io/deb deb main '$ sudo apt update $ sudo apt install osquery 

Di rhel/centos

$ curl -l https: // pkg.OsQuery.IO/RPM/GPG | sudo tee/etc/pki/rpm-gpg/rpm-gpg-key-osquery $ sudo yum-config-manager --add-repo https: // pkg.OsQuery.IO/RPM/OsQuery-S3-RPM.repo $ sudo yum-config-manager-osquery-s3-rpm-repo $ sudo yum menginstal osquery 

Di Fedora 22+

$ curl -l https: // pkg.OsQuery.IO/RPM/GPG | sudo tee/etc/pki/rpm-gpg/rpm-gpg-key-osquery $ dnf config-manager --add-repo --add-repo https: // pkg.OsQuery.IO/RPM/OsQuery-S3-RPM.repo $ sudo dnf config-manager-set-diable osquery-s3-rpm $ sudo dnf instal osquery 

Cara memantau dan menganalisis Linux menggunakan OsQuery

Setelah Anda berhasil menginstal OsQuery Di sistem Anda, luncurkan Osqueryi shell untuk mulai menanyakan keadaan OS Anda seperti yang ditunjukkan.

$ osqueryi Menggunakan database virtual. Butuh bantuan, ketik '.Bantuan 'OsQuery> 

Untuk mendapatkan informasi sistem linux yang dirangkum, jalankan perintah berikut.

OsQuery> Pilih * dari System_info; 

Untuk mendapatkan daftar semua pengguna yang diformat dengan baik di sistem Linux, jalankan kueri berikut.

OsQuery> Pilih * dari pengguna; 

Untuk mendapatkan daftar semua modul kernel Linux dan statusnya, jalankan kueri berikut.

OsQuery> Pilih * dari kernel_modules; 

Untuk mendapatkan daftar semua paket RPM yang diinstal di CentOS, RHEL dan FEDORA, jalankan kueri berikut.

OsQuery> .semua rpm_packages; 

Untuk mendapatkan informatin tentang menjalankan proses Linux, jalankan kueri berikut.

OsQuery> Pilih proses yang berbeda.Nama, Listening_ports.Port, Proses.PID dari Listening_ports Bergabung Proses Menggunakan (PID) Di mana Listening_ports.alamat = '0.0.0.0 '; 

Jika Anda berlari OsQuery di desktop dan miliki Firefox atau Chrome diinstal, Anda dapat mendaftarkan semua add-ons Anda menggunakan kueri berikut.

OsQuery> .semua firefox_addons; OsQuery> .semua chrome_extensions; 

Untuk menampilkan daftar semua tabel yang diimplementasikan di Linux, gunakan .tabel perintah seperti yang ditunjukkan.

OsQuery> .tabel; #list semua tabel yang diimplementasikan OsQuery> .membantu; Pesan Bantuan #View 

OsQuery juga menyediakan pemantauan integritas file (Fim), dan proses dan fitur audit soket dan banyak lagi, dengan demikian merupakan alat deteksi intrusi, tetapi ini membutuhkan konfigurasi tertentu sebelum Anda dapat menggunakannya untuk tujuan seperti itu. Anda dapat menemukan informasi lebih lanjut dari repositori OsQuery GitHub.