Kaip stebėti „Linux“ saugumą naudojant „OSQuery“

Saugumas visada turėtų būti viena iš pagrindinių priežasčių, kodėl mes siekiame integruotų sprendimų tiek viduje, tiek išorėje aparatūros, paslaugų, procesų ir pačių vartotojų lygiu. Be jokios abejonės, „Linux“ aplinkoje galime pasinaudoti įvairiais sprendimais, kurie yra sukurti siekiant pagerinti mūsų sistemų saugumą, ir būtent dėl ​​šios priežasties „Solvetic“ paaiškins specialųjį, vadinamą „OSQuery“, ir mes galėsime geriau suprasti, kaip tai padaryti saugumo lygis yra pridėtas prie mūsų sistemos ir mes, kaip administratoriai ar IT grupė, būsime šiek tiek labiau pasitikintys savimi, tačiau niekada neatsisakysime tradicinių saugumo patarimų.

Kas yra OSQuery„OSQuery“ buvo sukurta kaip operacinės sistemos prietaisų sistema ir yra prieinama tiek „Windows“, tiek „OS X“ („MacOS“), „Linux“, tiek „FreeBSD“. „OSQuery“ turi praktiškus, tačiau išsamius įrankius, kurie yra atsakingi už įvairių žemo lygio operacinės sistemos nuskaitymų vykdymą ir visapusišką našumo ir kiekvieno proceso stebėjimą.

„OSQuery“ naudoja paprastą papildinį ir plėtinių API, kad įgyvendintų SQL lenteles, tačiau jau yra paruošta naudoti lentelių kolekcija, kai kurios iš šių lentelių yra prieinamos tik specialiai sistemai, pvz., „Linux“ matysime tik kernel_modules lentelę.

Kad suprastumėte, kaip veikia „OSQuery“, šis įrankis atskleidžia operacinę sistemą kaip didelio našumo santykių duomenų bazę, kad šios ekspozicijos dėka būtų galima parašyti SQL užklausas, kad būtų galima daug giliau ištirti operacinės sistemos duomenis. Naudojant „OSQuery“, SQL lentelės pateikiamos kaip abstrakčios sąvokos, panašios į vykdomus procesus, įkeltus branduolio modulius, atviro tinklo ryšius, aparatūros įvykius, failų maišus ar dar daugiau.

„OSQuery“ funkcijos
Tarp įvairių „OSQuery“ funkcijų galime rasti:

  • Jis turi didelio našumo, tačiau mažo pėdsako, paskirstytą pagrindinio kompiuterio stebėjimo demoną, vadinamą osqueryd, kurio dėka bus galima suplanuoti užklausų vykdymą visoje organizacijoje sumontuotoje infrastruktūroje.
  • „Osqueryd“ sukurtas registras gali būti integruotas į vidinius registrus dėl papildinių architektūros, kad visada būtų geresnės saugos parinktys.
  • Jame yra interaktyvi užklausų konsolė, vadinama „osqueryi“, kuri yra SQL sąsaja, sukurta naujoms užklausoms išbandyti ir nuodugniai ištirti operacinę sistemą. Ši konsolė turi visus visos SQL kalbos privalumus ir turi šimtus integruotų lentelių, kurios bus gyvybiškai svarbios atsakas, sistemos operacijų lygio problemų diagnostika ir kt.
  • „OSQuery“ yra įvairi platforma, nepaisant to, ar ši programa naudoja žemo lygio operacinės sistemos API, mes galime sukurti ir naudoti „OSQuery“ „Windows“ sistemose, „MacOS“, „Ubuntu“, „CentOS“ ir kituose „Linux“ platinimuose įmonės lygiu.
  • „OSQuery“ turi savų paketų, skirtų visoms suderinamoms operacinėms sistemoms, taip pat yra įrankių ir daug dokumentų apie paketų kūrimą, su kuriais turime išteklių jų administravimui.
  • „OSQuery“ kodų bazę sudaro didelio našumo moduliniai komponentai, naudojantys viešąsias API, siekiant išplėsti jų naudą.

Dabar mes pamatysime, kaip įdiegti „OSQuery“ „Linux“.

1. Įdiekite „OSQuery“ „Linux“

1 žingsnis
„OSQuery“ galima įdiegti iš oficialios saugyklos naudojant apt, yum arba dnf paketų valdymo įrankius, atsižvelgiant į naudojamą platinimą:

Debian arba Ubuntu aplinkoje

 eksportuoti OSQUERY_KEY = 1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B /debquery 'sudo apt atnaujinti sudo apt install osquery

„Fedora“ aplinkoje

 curl -L https://pkg.osquery.io/rpm/GPG | sudo tee / etc / pki / rpm-gpg / RPM-GPG-KEY-osquery dnf config-manager --add-repo --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm. repo sudo dnf config-manager-set-enabled osquery-s3-rpm sudo dnf install osquery

„CentOS 7“ aplinkoje„CentOS 7“ aplinkoje, kurią naudosime šioje pamokoje, vykdysime kiekvieną iš šių eilučių:

 curl -L https://pkg.osquery.io/rpm/GPG | sudo tee / etc / pki / rpm-gpg / RPM-GPG-KEY-osquery sudo yum-config-manager --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo sudo yum -config-manager-įjungti „osquery-s3-rpm sudo yum install osquery“

2 žingsnis
Tačiau „CentOS 7“ turime galimybę įdiegti RPM „auto-repo-add“ arba pridėti saugyklos paskirties vietą. Šie PTP veikia bet kuriame „Linux x86-64“ su pagrindiniu diegimu nuo 2011 m., Ir pirmiausia vykdome šiuos veiksmus:

 sudo rpm -ivh https://osquery-packages.s3.amazonaws.com/centos7/noarch/osquery-s3-centos7-repo-1-0.0.noarch.rpm

3 žingsnis
Tada paleisime OSQuery diegimą taip.

 sudo yum įdiegti osquery 

4 žingsnis
Mes įvedame raidę y, kad patvirtintume „OSQuery“ atsisiuntimą ir įdiegimą „CentOS 7.“. Tam tikru diegimo momentu turime suteikti leidimą įdiegti GPG raktą:

5 žingsnis
Norėdami tai patvirtinti, įvedame raidę s ir pamatysime, kad „OSQuery“ teisingai įdiegta „CentOS 7“.

2. Naudokite OSQuery, kad išanalizuotumėte „Linux“

1 žingsnis
Kai „OSQuery“ bus tinkamai įdiegta „CentOS 7“, mes paleisime „osqueryi“ apvalkalą, kad pradėtume operacinės sistemos būsenos užklausas, todėl vykdome:

 osqueryi 

2 žingsnis
Norėdami gauti suvestinę informaciją apie mūsų „Linux“ operacinę sistemą, vykdysime šią komandą:

 SELECT * FROM system_info; 
3 žingsnis
Rezultatuose matysime tokią informaciją kaip:
  • Priimančiojo vardas
  • IP adresas
  • Naudojamas CPU tipas
  • UUID ir daugiau

4 žingsnis
Jei norime gauti visų „Linux“ sistemos vartotojų sąrašą, vykdysime šią „OSQuery“ užklausą:

 SELECT * FROM users; 

5 žingsnis
Norėdami gauti visų „Linux“ branduolio modulių sąrašą ir atitinkamą jų būseną, vykdykime toliau nurodytus veiksmus.

 SELECT * FROM kernel_modules; 

6 žingsnis
Jei reikia pasiekti visų „CentOS“, „RHEL“ ir „Fedora“ įdiegtų RPM paketų sąrašą, vykdysime šią užklausą:

 . all rpm_packages;

7 žingsnis
Norėdami gauti informacijos apie tai, kaip vykdyti procesus „Linux“, bus naudinga ši užklausa:

 PASIRINKITE NUSTATOMI procesus 
8 žingsnis
Norėdami išvardyti visas mūsų vykdomas lenteles:
 .stalai 

9 veiksmas
Norėdami išvardyti konkrečios lentelės schemą (stulpelius, tipus), vykdome vieną iš šių eilučių:

 .schema table_name pragma table_info (table_name);

10 žingsnis
Norėdami parodyti bendrą pagalbą, atliksime šiuos veiksmus:

 .padėti 

11 žingsnis
Norėdami išeiti iš OSQuery, vykdome:

 .išeiti 
Naudodami „OSQuery“ galėsite pasiekti išsamią informaciją apie daugelį sistemos parametrų, kad pagerintumėte administravimo užduotis ir visada turėtumėte puikių funkcijų.

wave wave wave wave wave