Como monitorar a segurança do servidor Linux com osquery

Osquery é um código aberto gratuito, poderoso e de plataforma cruzada, instrumentação do sistema operacional baseado em SQL, estrutura de monitoramento e análise para sistemas Linux, FreeBSD, Windows e Mac/OS, construídos por Facebook. É um explorador de sistema operacional simples e fácil de usar.

Ele combina uma série de ferramentas que executam análises e monitoramento de OS de baixo nível; Essas ferramentas revelam um sistema operacional como um banco de dados relacional de alto desempenho, como Mysql/Mariadb, PostGresql E mais, onde os conceitos do sistema operacional são representados em forma tabular, permitindo que os usuários empregem comandos SQL para realizar o monitoramento e análise do sistema.

Osquery Use uma API simples de plug -in e extensões para implementar tabelas SQL, existe uma coleção de tabelas prontas para uso e mais está sendo escrito. Algumas tabelas só podem ser encontradas em um sistema operacional específico, por exemplo, você encontra apenas a tabela Kernel_modules nos sistemas Linux.

Além disso, você pode executar consultas para monitorar e analisar o estado de OS em um único host via Osqueryi Shell, ou em vários hosts em uma rede por meio de um agendador ou executá -los de qualquer um de seus aplicativos personalizados usando APIs de Thrift de Osquery.

Como instalar osquery no Linux

O Osquery pode ser instalado no repositório oficial usando a ferramenta de gerenciamento de pacotes APT YUM ou DNF em sua respectiva distribuição Linux, como mostrado.

No Debian/Ubuntu

$ export Osquery_key = 1484120AC4E9F8A1A577AEEEE97A80C63C9D8B80B $ SUDO APT-KEY ADV-KeyServer.Ubuntu.com--RECV-KEYS $ osquery_key $ sudo add-propt-repository 'Deb [arch = amd64] https: // pkg.Osquery.IO/Deb Main '$ sudo apt update $ sudo apt install Osquery 

Em Rhel/Centos

$ curl -l https: // pkg.Osquery.io/rpm/gpg | sudo tee/etc/pki/rpm-gpg/rpm-gpg-key-osquery $ sudo yum-config-manager --add-repo https: // pkg.Osquery.io/rpm/osquery-s3-rpm.repo $ sudo yum-config-manager --enable Osquery-s3-rpm-repo $ sudo yum install Osquery 

Em Fedora 22+

$ curl -l https: // pkg.Osquery.io/rpm/gpg | sudo tee/etc/pki/rpm-gpg/rpm-gpg-key-osquery $ dnf config-manager --add-repo --add-repo https: // pkg.Osquery.io/rpm/osquery-s3-rpm.REPO $ sudo dnf config-manager-OSQUERY-S3-RPM, habilitado para set 

Como monitorar e analisar o Linux usando osquery

Depois de instalar com sucesso Osquery No seu sistema, inicie o Osqueryi shell para começar a consultar o estado do seu sistema operacional, como mostrado.

$ Osqueryi Usando um banco de dados virtual. Precisa de ajuda, digite '.Ajude 'Osquery> 

Para obter uma informação resumida do sistema Linux, execute o seguinte comando.

Osquery> selecione * de System_info; 

Obtenha informações do sistema Linux

Para obter uma lista bem formada de todos os usuários no sistema Linux, execute a seguinte consulta.

Osquery> selecione * dos usuários; 

Lista de todos os usuários do Linux

Para obter uma lista de todos os módulos do kernel Linux e seu status, execute a seguinte consulta.

Osquery> selecione * de Kernel_modules; 

Liste todos os módulos do kernel no Linux

Para obter uma lista de todos os pacotes de RPM instalados no CentOS, Rhel e Fedora, execute a seguinte consulta.

Osquery> .todos rpm_packages; 

Liste todos os pacotes de RPM instalados

Para obter uma informação sobre a execução de processos Linux, execute a seguinte consulta.

Osquery> selecione processos distintos.Nome, Singeting_ports.porta, processos.PID de auditores de junta processos usando (PID) onde auditores_ports.endereço = '0.0.0.0 '; 

Listar informações de processos Linux

Se você estiver correndo Osquery em uma área de trabalho e tenho Raposa de fogo ou cromada Instalado, você pode listar todos os seus complementos usando a seguinte consulta.

Osquery> .todos os firefox_addons; Osquery> .todas Chrome_extensions; 

Para exibir uma lista de todas as tabelas implementadas no Linux, use o .mesas comando como mostrado.

Osquery> .mesas; #list todas as tabelas implementadas osquery> .ajuda; #View Ajuda Mensagem 

Osquery também fornece monitoramento de integridade de arquivos (FIM), e os recursos de auditoria de processos e soquetes e muito mais, portanto, é uma ferramenta de detecção de intrusões, mas isso exige certas configurações antes que você possa implantá -la para esse propósito. Você pode encontrar mais informações do OSQUERY Github Repository.