Giunsa ang Pag-monitor sa Linux Server Security nga adunay Osquery
Ang Osquery usa ka libre nga open source, gamhanan ug cross-platform SQL-based operating system instrumentation, monitoring, ug analytics framework para sa Linux, FreeBSD, Windows, ug Mac/OS X system, nga gitukod sa Facebook. Kini usa ka yano ug dali gamiton nga operating system explorer.
Naghiusa kini sa daghang mga himan nga naghimo sa ubos nga lebel sa analytics ug pag-monitor sa OS; kini nga mga himan nagpadayag sa usa ka operating system isip usa ka high-performance relational database sama sa MySQL/MariaDB, PostgreSQL ug uban pa, diin ang mga konsepto sa OS girepresentahan sa tabular nga porma, sa ingon nagtugot sa mga tiggamit sa paggamit sa mga SQL commands aron sa pagpatuman sa sistema sa monitoring ug analytics.
Ang Osquery naggamit sa usa ka yano nga plugin ug mga extension API aron ipatuman ang mga lamesa sa SQL, adunay usa ka koleksyon sa mga lamesa nga naglungtad nga andam gamiton, ug daghan pa ang gisulat. Ang ubang mga lamesa makit-an ra sa usa ka piho nga operating system, pananglitan, makit-an ra nimo ang lamesa sa kernel_modules sa mga sistema sa Linux.
Dugang pa, mahimo nimong ipadagan ang mga pangutana aron mamonitor ug analisahon ang kahimtang sa OS sa usa ka host pinaagi sa osqueryi shell, o sa daghang mga host sa usa ka network pinaagi sa usa ka scheduler o ipatuman kini gikan sa bisan unsang imong naandan nga aplikasyon gamit ang osquery Thrift API.
Giunsa ang Pag-install sa Osquery sa Linux
Ang Osquery mahimong ma-install gikan sa opisyal nga repository gamit ang dnf package management tool sa imong tagsa-tagsa ka Linux distribution sama sa gipakita.
$ export OSQUERY_KEY=1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B $ sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys $OSQUERY_KEY $ sudo add-apt-repository 'deb [arch=amd64] https://pkg.osquery.io/deb deb main' $ sudo apt update $ sudo apt install osquery
$ curl -L https://pkg.osquery.io/rpm/GPG | sudo tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osquery $ sudo yum-config-manager --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo $ sudo yum-config-manager --enable osquery-s3-rpm-repo $ sudo yum install osquery
$ curl -L https://pkg.osquery.io/rpm/GPG | sudo tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osquery $ dnf config-manager --add-repo --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo $ sudo dnf config-manager --set-enabled osquery-s3-rpm $ sudo dnf install osquery
Giunsa Pag-monitor ug Pag-analisar ang Linux Gamit ang Osquery
Kung malampuson nimo nga na-install ang Osquery sa imong sistema, ilunsad ang osqueryi shell aron magsugod sa pagpangutana sa kahimtang sa imong OS sama sa gipakita.
$ osqueryi Using a virtual database. Need help, type '.help' osquery>
Aron makakuha usa ka summarized nga impormasyon sa sistema sa Linux padagana ang mosunod nga sugo.
osquery> SELECT * FROM system_info;
Aron makakuha og maayong pagkaporma nga listahan sa tanang tiggamit sa sistema sa Linux, padagana ang mosunod nga pangutana.
osquery> SELECT * FROM users;
Aron makakuha og lista sa tanang Linux kernel modules ug sa ilang status, padagana ang mosunod nga pangutana.
osquery> SELECT * FROM kernel_modules;
Aron makakuha usa ka lista sa tanan nga na-install nga RPM nga mga pakete sa CentOS, RHEL ug Fedora, padagana ang mosunod nga pangutana.
osquery> .all rpm_packages;
Aron makakuha og impormasyon bahin sa pagpadagan sa mga proseso sa Linux, padagana ang mosunod nga pangutana.
osquery> SELECT DISTINCT processes.name, listening_ports.port, processes.pid FROM listening_ports JOIN processes USING (pid) WHERE listening_ports.address = '0.0.0.0';
Kung nagdagan ka sa osquery sa desktop ug na-install ang Firefox o Chrome, mahimo nimong ilista ang tanan nimong mga add-on gamit ang mosunod nga pangutana.
osquery> .all firefox_addons; osquery> .all chrome_extensions;
Aron ipakita ang listahan sa tanang gipatuman nga mga lamesa sa Linux, gamita ang .tables nga sugo sama sa gipakita.
osquery> .tables; #list all implemented tables osquery> .help; #view help message
Naghatag usab ang Osquery sa pag-monitor sa integridad sa file (FIM), ug mga bahin sa pag-awdit sa proseso ug socket ug daghan pa, busa kini usa ka himan sa pag-detect sa pag-intrusion, apan nagtawag kini alang sa pipila nga mga pag-configure sa dili pa nimo kini ma-deploy alang sa ingon nga katuyoan. Makita nimo ang dugang nga impormasyon gikan sa Osquery Github repository.