Kako pratiti sigurnost Linux poslužitelja s Osqueryjem

Osquery je besplatni okvir otvorenog koda, moćan i višeplatformski operativni sustav temeljen na SQL-u, nadzorni i analitički okvir za sustave Linux, FreeBSD, Windows i Mac/OS X, koji je napravio Facebook. To je jednostavan i lak za korištenje pretraživač operacijskog sustava.

Kombinira niz alata koji izvode nisku razinu OS analitike i nadzora; ovi alati otkrivaju operativni sustav kao relacijsku bazu podataka visokih performansi kao što su MySQL/MariaDB, PostgreSQL i više, gdje su koncepti OS-a predstavljeni u tabelarnom obliku, čime se korisnicima omogućuje korištenje SQL naredbi za praćenje i analitiku sustava.

Osquery koristi jednostavan dodatak i API proširenja za implementaciju SQL tablica, postoji kolekcija tablica spremna za upotrebu, a piše se još više. Neke se tablice mogu pronaći samo na određenom operativnom sustavu, na primjer, tablicu kernel_modules možete pronaći samo na Linux sustavima.

Dodatno, možete pokrenuti upite za praćenje i analizu stanja OS-a na jednom hostu putem osqueryi shell ili na nekoliko hostova na mreži putem planera ili ih izvršiti iz bilo koje vaše prilagođene aplikacije koristeći osquery Thrift Apis.

Kako instalirati Osquery u Linux

Osquery se može instalirati iz službenog repozitorija pomoću alata za upravljanje paketima apt yum ili dnf na vašoj distribuciji Linuxa kao što je prikazano.

Na Debian/Ubuntu

export OSQUERY_KEY=1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys $OSQUERY_KEY
sudo add-apt-repository 'deb [arch=amd64] https://pkg.osquery.io/deb deb main'
sudo apt update
sudo apt install osquery

Na RHEL/CentOS

curl -L https://pkg.osquery.io/rpm/GPG | sudo tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osquery
sudo yum-config-manager --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo
sudo yum-config-manager --enable osquery-s3-rpm-repo
sudo yum install osquery

Na Fedori 22+

curl -L https://pkg.osquery.io/rpm/GPG | sudo tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osquery
dnf config-manager --add-repo --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo
sudo dnf config-manager --set-enabled osquery-s3-rpm
sudo dnf install osquery

Kako pratiti i analizirati Linux pomoću Osqueryja

Nakon što ste uspješno instalirali Osquery na svoj sustav, pokrenite ljusku osqueryi da počnete ispitivati stanje vašeg OS-a kao što je prikazano.

osqueryi

Using a virtual database. Need help, type '.help'
osquery> 

Da biste dobili sažetak informacija o Linux sustavu, pokrenite sljedeću naredbu.

osquery> SELECT  * FROM system_info;

Da biste dobili dobro oblikovan popis svih korisnika na Linux sustavu, pokrenite sljedeći upit.

osquery> SELECT * FROM users;

Da biste dobili popis svih modula jezgre Linuxa i njihov status, pokrenite sljedeći upit.

osquery> SELECT * FROM kernel_modules;

Da biste dobili popis svih instaliranih RPM paketa na CentOS, RHEL i Fedora, pokrenite sljedeći upit.

osquery> .all rpm_packages;

Da biste dobili informacije o pokretanju Linux procesa, pokrenite sljedeći upit.

osquery> SELECT DISTINCT processes.name, listening_ports.port, processes.pid FROM listening_ports JOIN processes USING (pid) WHERE listening_ports.address = '0.0.0.0';

Ako pokrećete osquery na radnoj površini i imate instaliran Firefox ili Chrome, možete navesti sve svoje dodatke pomoću sljedećeg upita.

osquery> .all firefox_addons;
osquery> .all  chrome_extensions;

Za prikaz popisa svih implementiranih tablica u Linuxu koristite naredbu .tables kao što je prikazano.

osquery> .tables;	#list all implemented tables
osquery> .help; 	#view help message

Osquery također nudi nadzor integriteta datoteka (FIM), značajke revizije procesa i utičnica i više, stoga je alat za otkrivanje upada, ali to zahtijeva određene konfiguracije prije nego što možete rasporedite ga za takvu svrhu. Više informacija možete pronaći u repozitoriju Osquery Github.