Kako pratiti sigurnost Linuxa pomoću OSQueryja

Kako pratiti sigurnost Linuxa pomoću OSQueryja | Linux / Unix 2024
Kako pratiti sigurnost Linuxa pomoću OSQueryja | Linux / Unix 2024

Sigurnost bi uvijek trebala biti jedan od glavnih razloga zašto tražimo integralna rješenja, interno i eksterno, na razini hardvera, usluga, procesa i samih korisnika. Bez sumnje, u Linux okruženjima možemo se koristiti različitim rješenjima koja su razvijena za poboljšanje sigurnosti naših sustava, pa će iz tog razloga Solvetic objasniti posebnu pod nazivom OSQuery i moći ćemo razumjeti kako zahvaljujući njoj više Razina sigurnosti dodana je našem sustavu i kao administratori ili IT grupa bit ćemo nešto sigurniji, ali bez odustajanja od tradicionalnih sigurnosnih savjeta.

Što je OSQueryOSQuery je razvijen kao instrumentacijski okvir za operativni sustav i dostupan je za Windows, OS X (macOS), Linux i FreeBSD. OSQuery ima praktične, ali sveobuhvatne alate koji su odgovorni za pokretanje različitih skeniranja operativnih sustava niske razine i sveobuhvatan nadzor performansi i svakog procesa.

OSQuery koristi jednostavan dodatak i API za proširenja za implementaciju SQL tablica, ali već postoji zbirka tablica spremnih za uporabu, neke od tih tablica dostupne su samo za poseban sustav, na primjer, u slučaju Linux ćemo vidjeti samo tablicu kernel_modules.

Kako bi razumjeli kako OSQuery funkcionira, ovaj alat izlaže operacijski sustav kao relacijsku bazu podataka visokih performansi, tako da se zahvaljujući ovoj izloženosti mogu upisivati ​​SQL upiti za istraživanje podataka operacijskog sustava na mnogo dublji način. Kada se koristi OSQuery, SQL tablice su predstavljene kao apstraktni koncepti slični tekućim procesima, učitani jezgri moduli, otvorene mrežne veze, hardverski događaji, raspršivanja datoteka ili više.

Značajke OSQueryja
Među različitim značajkama OSQuery nalazimo:

  • Ima distribuirani demon za nadgledanje distribuiranog hosta visokih performansi, ali s malim obujmom, osqueryd, zahvaljujući kojem će biti moguće rasporediti upite za izvođenje na cijeloj infrastrukturi postavljenoj u organizaciji.
  • Registar koji generira osqueryd može se integrirati u interne registre zahvaljujući arhitekturi dodataka kako bi uvijek bile dostupne bolje sigurnosne opcije.
  • Ima interaktivnu konzolu upita, nazvanu osqueryi, koje je SQL sučelje razvijeno za testiranje novih upita i temeljito istraživanje operacijskog sustava. Ova konzola ima sve prednosti potpunog jezika SQL i ima stotine integriranih tablica koje će biti od vitalnog značaja za incidente odgovor, dijagnostika problema na razini operacijskog sustava i drugo.
  • OSQuery je cross platforma, bez obzira koristi li ova aplikacija API-je za operacijske sustave niske razine, u mogućnosti smo izgraditi i koristiti OSQuery na Windows sustavima, macOS-u, Ubuntu-u, CentOS-u i drugim Linux distribucijama na razini tvrtke.
  • OSQuery ima izvorne pakete za sve kompatibilne operativne sustave, tu su i alati i puno dokumentacije o kreiranju paketa s kojima imamo resurse za njihovu administraciju.
  • OSQuery baza kodova sastoji se od modularnih komponenti visokih performansi koje koriste javne API-je za proširenje svojih prednosti.

Sada ćemo vidjeti kako instalirati OSQuery na Linux.

1. Instalirajte OSQuery na Linux

Korak 1
OSQuery se može instalirati iz službenog spremišta pomoću alata za upravljanje paketima apt, yum ili dnf, ovisno o distribuciji koja se koristi ovako:

U Debian ili Ubuntu okruženjima 

 izvezi OSQUERY_KEY = 1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-ključevi $ OSQUERY_KEY sudo add-apt-repository 'deb [arch = amd64] deb https // deb https // /debquery 'sudo apt update sudo apt install osquery

U Fedora okruženjima 

 curl -L https://pkg.osquery.io/rpm/GPG | sudo tee / etc / pki / rpm-gpg / RPM-GPG-KEY-osquery dnf config-manager --add-repo --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm. repo sudo dnf config-manager-osquery -set-omogućen osquery-s3-rpm sudo dnf install osquery

U CentOS 7 okruženjimaZa CentOS 7 okruženja, koja ćemo koristiti u ovom vodiču, izvršit ćemo svaki od sljedećih redaka: 

 curl -L https://pkg.osquery.io/rpm/GPG | sudo tee / etc / pki / rpm-gpg / RPM-GPG-KEY-osquery sudo yum-config-manager --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo sudo yum -config-manager --omogući osquery-s3-rpm sudo yum install osquery

Korak 2
No, za CentOS 7 imamo mogućnost instalirati RPM "auto-repo-add" ili dodati odredište spremišta. Ovi RPM-ovi rade na bilo kojem Linuxu x86-64 s osnovnom instalacijom od 2011. godine i prvo izvršavamo sljedeće: 

 sudo rpm -ivh https://osquery-packages.s3.amazonaws.com/centos7/noarch/osquery-s3-centos7-repo-1-0.0.noarch.rpm

Korak 3
Zatim pokrećemo OSQuery instalaciju ovako. 

 sudo yum instalirajte osquery

Korak 4
Unosimo slovo y kako bismo potvrdili preuzimanje i instalaciju OSQueryja u CentOS 7. U nekom trenutku instalacije moramo odobriti instalaciju GPG ključa:

Korak 5
Unosimo slovo s da bismo to potvrdili i vidjet ćemo da je OSQuery ispravno instaliran u CentOS 7.

2. Koristite OSQuery za analizu Linuxa

Korak 1
Nakon što je OSQuery ispravno instaliran u CentOS 7, pokrenut ćemo osqueryi ljusku za pokretanje upita o statusu operativnog sustava, za to izvršavamo: 

 osqueryi

Korak 2
Da bismo dobili sažete informacije o našem operativnom sustavu Linux, izvršit ćemo sljedeću naredbu: 

 SELECT * FROM system_info;
Korak 3
U rezultatima ćemo vidjeti detalje poput:
  • Naziv hosta
  • IP adresa
  • Korištena vrsta procesora
  • UUID i više

Korak 4
Ako želimo dobiti popis svih korisnika na Linux sustavu, izvršit ćemo sljedeći upit OSQuery: 

 SELECT * FROM users;

Korak 5
Da bismo dobili popis svih modula jezgre Linuxa i njihovog statusa, izvršimo sljedeće. 

 SELECT * FROM kernel_modules;

Korak 6
Ako je potrebno pristupiti popisu svih RPM paketa instaliranih u CentOS -u, RHEL -u i Fedori, izvršit ćemo sljedeći upit: 

 .svi rpm_paketi;

Korak 7
Za pristup informacijama o pokretanju procesa na Linuxu bit će koristan sljedeći upit: 

 ODABERITE DISTINCT Procesi.ime, slušajući_portovi.port, procesi.pid IZ SLUŠAJU_portovi PRIDRUŽITE se procesima UPORABLJAJUĆI (pid) GDJE slušanje_ports.address = '0.0.0.0';
Korak 8
Za popis svih implementiranih tablica koje izvršavamo: 
 .tabele

Korak 9
Za popis shema (stupaca, vrsta) određene tablice izvršavamo jedan od sljedećih redaka: 

 .schema table_name pragma table_info (table_name);

Korak 10
Za prikaz opće pomoći izvršit ćemo sljedeće: 

 .Pomozite

Korak 11
Za izlaz iz OSQuery izvršavamo: 

 .Izlaz
Pomoću OSQueryja bit će moguće pristupiti detaljnim informacijama o mnogim sistemskim parametrima kako bi se poboljšali administrativni zadaci i uvijek imale velike funkcionalne značajke.

wave wave wave wave wave

Popularni Postovi

wave
1
post-title
▷ Kako znati koji program koristi TCP port 80, 8080 ili drugi
2
post-title
Poništite i uklonite zaboravljenu lozinku za Windows 10 bez formatiranja Hiren -ovog BootCD PE
3
post-title
Kako riješiti problem sa zvukom Xiaomi Mi A2
4
post-title
Najbolji trikovi i kako postaviti Face ID na iPhone Xs i Xs Max
5
post-title
PHP Rad s nizovima ili nizovima

Preporučeno

wave
- Sponsored Ad -

Izbor Urednika

wave
- Sponsored Ad -