Zoeken op website

Hoe Linux Server-beveiliging te bewaken met Osquery

Osquery is een gratis open source, krachtig en platformonafhankelijk SQL-gebaseerd instrumentatie-, monitoring- en analyseframework voor Linux-, FreeBSD-, Windows- en Mac/OS X-systemen, gebouwd door Facebook. Het is een eenvoudige en gemakkelijk te gebruiken besturingssysteemverkenner.

Het combineert een aantal tools die OS-analyses en -monitoring op laag niveau uitvoeren; deze tools onthullen een besturingssysteem als een krachtige relationele database zoals MySQL/MariaDB, PostgreSQL en meer, waarin OS-concepten worden weergegeven tabelvorm, waardoor gebruikers SQL-opdrachten kunnen gebruiken om systeemmonitoring en -analyses uit te voeren.

Osquery gebruikt een eenvoudige plug-in en uitbreidings-API om SQL-tabellen te implementeren. Er bestaat een verzameling tabellen die klaar zijn voor gebruik, en er worden er nog meer geschreven. Sommige tabellen zijn alleen te vinden op een specifiek besturingssysteem. De tabel kernel_modules vind je bijvoorbeeld alleen op Linux-systemen.

Bovendien kunt u query's uitvoeren om de status van het besturingssysteem te controleren en te analyseren op een enkele host via de osqueryi shell, of op verschillende hosts op een netwerk via een planner, of deze uitvoeren vanuit een van uw aangepaste applicaties met behulp van osquery Thrift API's.

Hoe Osquery onder Linux te installeren

De Osquery kan worden geïnstalleerd vanuit de officiële repository met behulp van apt yum of dnf pakketbeheertool op uw respectievelijke Linux-distributie, zoals weergegeven.

Op Debian/Ubuntu

export OSQUERY_KEY=1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys $OSQUERY_KEY
sudo add-apt-repository 'deb [arch=amd64] https://pkg.osquery.io/deb deb main'
sudo apt update
sudo apt install osquery

Op RHEL/CentOS

curl -L https://pkg.osquery.io/rpm/GPG | sudo tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osquery
sudo yum-config-manager --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo
sudo yum-config-manager --enable osquery-s3-rpm-repo
sudo yum install osquery

Op Fedora 22+

curl -L https://pkg.osquery.io/rpm/GPG | sudo tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osquery
dnf config-manager --add-repo --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo
sudo dnf config-manager --set-enabled osquery-s3-rpm
sudo dnf install osquery

Linux monitoren en analyseren met Osquery

Zodra u Osquery succesvol op uw systeem heeft geïnstalleerd, start u de osqueryi shell om de status van uw besturingssysteem op te vragen, zoals weergegeven.

osqueryi

Using a virtual database. Need help, type '.help'
osquery>

Om een samengevatte Linux-systeeminformatie te krijgen, voert u de volgende opdracht uit.

osquery> SELECT  * FROM system_info;

Voer de volgende query uit om een goed opgemaakte lijst van alle gebruikers op het Linux-systeem te krijgen.

osquery> SELECT * FROM users;

Voer de volgende query uit om een lijst te krijgen van alle Linux-kernelmodules en hun status.

osquery> SELECT * FROM kernel_modules;

Om een lijst te krijgen van alle geïnstalleerde RPM-pakketten op CentOS, RHEL en Fedora, voer je de volgende query uit.

osquery> .all rpm_packages;

Voer de volgende query uit om informatie te krijgen over het uitvoeren van Linux-processen.

osquery> SELECT DISTINCT processes.name, listening_ports.port, processes.pid FROM listening_ports JOIN processes USING (pid) WHERE listening_ports.address = '0.0.0.0';

Als u osquery op een desktop gebruikt en Firefox of Chrome geïnstalleerd heeft, kunt u al uw add-ons weergeven met behulp van de volgende zoekopdracht.

osquery> .all firefox_addons;
osquery> .all  chrome_extensions;

Om een lijst van alle geïmplementeerde tabellen in Linux weer te geven, gebruikt u de opdracht .tables zoals weergegeven.

osquery> .tables;	#list all implemented tables
osquery> .help; 	#view help message

Osquery biedt ook monitoring van de bestandsintegriteit (FIM), proces- en socket-auditfuncties en meer. Het is dus een hulpmiddel voor inbraakdetectie, maar hiervoor zijn bepaalde configuraties vereist voordat u dit kunt doen gebruik het voor een dergelijk doel. U kunt meer informatie vinden in de Osquery Github-repository.