Comment surveiller la sécurité du serveur Linux avec OsQuery

Comment surveiller la sécurité du serveur Linux avec OsQuery

Osquery est une open source gratuite, puissante et multiplateforme SQL du système d'exploitation SQL, la surveillance et le cadre d'analyse pour les systèmes Linux, FreeBSD, Windows et Mac / OS X, construits par Facebook. Il s'agit d'un explorateur de système d'exploitation simple et facile à utiliser.

Il combine un certain nombre d'outils qui effectuent des analyses et une surveillance du système d'exploitation de bas niveau; Ces outils révèlent un système d'exploitation comme une base de données relationnelle haute performance telle que Mysql/ /Mariadb, Postgresql Et plus, où les concepts du système d'exploitation sont représentés sous forme tabulaire, permettant ainsi aux utilisateurs à utiliser les commandes SQL pour effectuer la surveillance et l'analyse du système.

Osquery Utilisez une API de plugin et d'extensions simples pour implémenter des tables SQL, il existe une collection de tableaux existants prêts à l'emploi, et d'autres sont en cours d'écriture. Certaines tables ne peuvent être trouvées que sur un système d'exploitation spécifique, par exemple, vous ne trouvez que le tableau Kernel_Modules sur les systèmes Linux.

De plus, vous pouvez exécuter des requêtes pour surveiller et analyser l'état du système d'exploitation sur un seul hôte via le coquille d'osqueryi, ou sur plusieurs hôtes sur un réseau via un planificateur ou les exécuter à partir de l'une de vos applications personnalisées à l'aide d'API de Thrift Osquery.

Comment installer OsQuery dans Linux

Le Osquery peut être installé à partir du référentiel officiel à l'aide de l'outil de gestion des packages APT YUM ou DNF sur votre distribution Linux respective comme indiqué.

Sur Debian / Ubuntu

$ Export OSQuery_key = 1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B $ sudo apt-key adv - KeyServer KeyServer.ubuntu.com --rev-keys $ osquery_key $ sudo add-apsository 'deb [arch = amd64] https: // pkg.osquery.io / deb deb Main '$ sudo apt mise à jour $ sudo apt installer osquery 

Sur Rhel / Centos

$ curl -l https: // pkg.osquery.IO / RPM / GPG | sudo tee / etc / pki / rpm-gpg / rpm-gpg-key-osquery $ sudo yum-config-manager --add-repo https: // pkg.osquery.IO / RPM / OSQuery-S3-RPM.Repo $ sudo yum-config-manager - Enable OSQuery-S3-RPM-repo $ sudo yum installer OSQuery 

Sur Fedora 22+

$ curl -l https: // pkg.osquery.IO / RPM / GPG | sudo tee / etc / pki / rpm-gpg / rpm-gpg-key-osquery $ dnf config-manager --add-repo --add-repo https: // pkg.osquery.IO / RPM / OSQuery-S3-RPM.Repo $ sudo dnf config-manager - Set-compatiable Osquery-S3-RPM $ sudo dnf installer OSQuery 

Comment surveiller et analyser Linux à l'aide d'OsQuery

Une fois que vous avez réussi à installer Osquery Sur votre système, lancez le Osqueryi Shell pour commencer à interroger l'état de votre système d'exploitation comme indiqué.

$ osqueryi Utilisation d'une base de données virtuelle. Besoin d'aide, type '.aider 'OSQuery> 

Pour obtenir une information System Linux résumée, exécutez la commande suivante.

OSQuery> SELECT * FROM System_info; 
Obtenir des informations système Linux

Pour obtenir une liste bien formée de tous les utilisateurs du système Linux, exécutez la requête suivante.

OSQuery> Sélectionner * chez les utilisateurs; 
Liste de tous les utilisateurs de Linux

Pour obtenir une liste de tous les modules de noyau Linux et leur statut, exécutez la requête suivante.

OSQuery> SELECT * FROM KERNEL_MODULES; 
Énumérez tous les modules de noyau dans Linux

Pour obtenir une liste de tous les packages RPM installés sur Centos, Rhel et Fedora, exécutez la requête suivante.

OSQuery> .Tous RPM_PACKAGES; 
Liste tous les packages RPM installés

Pour obtenir une information sur l'exécution des processus Linux, exécutez la requête suivante.

OSQuery> Sélectionnez des processus distincts.nom, écoute_ports.port, processus.PID From écoute_ports rejoindre les processus en utilisant (PID) où écouter_ports.adresse = '0.0.0.0 '; 
Liste des informations sur les processus Linux

Si vous courez osquery sur un bureau et avoir Incendier ou Chrome Installé, vous pouvez répertorier tous vos modules complémentaires en utilisant la requête suivante.

OSQuery> .Tous Firefox_Addons; OSQuery> .Tous Chrome_Extensions; 

Pour afficher une liste de toutes les tables implémentées dans Linux, utilisez le .les tables Commande comme indiqué.

OSQuery> .les tables; #Liste toutes les tables implémentées OSQuery> .aider; Message d'aide #view 

Osquery fournit également la surveillance de l'intégrité des fichiers (Fim), et les fonctionnalités d'audit de processus et de socket et plus encore, c'est donc un outil de détection d'intrusion, mais cela appelle certaines configurations avant de pouvoir la déployer à un tel but. Vous pouvez trouver plus d'informations dans le référentiel Osquery Github.