Cómo monitorear la seguridad del servidor de Linux con Osquery

Úsquería es un código abierto gratuito, el marco de instrumentación, monitoreo y análisis de sistemas operativos potentes y multiplataforma de SQL para los sistemas de Linux, FreeBSD, Windows y Mac/OS X, construido por Facebook. Es un explorador de sistema operativo simple y fácil de usar.

Combina una serie de herramientas que realizan análisis y monitoreo de SO de bajo nivel; Estas herramientas revelan un sistema operativo como una base de datos relacional de alto rendimiento, como Mysql/Mariada, Postgresql y más, donde los conceptos del sistema operativo se representan en forma tabular, lo que permite a los usuarios emplear comandos SQL para llevar a cabo el monitoreo del sistema y el análisis.

Úsquería Use una API simple de complemento y extensiones para implementar tablas SQL, hay una colección de tablas que existen listas para su uso y se están escribiendo más. Algunas tablas solo se pueden encontrar en un sistema operativo específico, por ejemplo, solo encuentra la tabla Kernel_Modules en los sistemas Linux.

Además, puede ejecutar consultas para monitorear y analizar el estado del sistema operativo en un solo host a través del Shell Osqueryi, o en varios hosts en una red a través de un planificador o ejecutarlos desde cualquiera de sus aplicaciones personalizadas utilizando API de ahorro de Osquery.

Cómo instalar Osquery en Linux

El Úsquería se puede instalar desde el repositorio oficial utilizando APT YUM o la herramienta de administración de paquetes DNF en su distribución de Linux respectiva como se muestra como se muestra.

En Debian/Ubuntu

$ Export OSQUERY_KEY = 1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B $ SUDO APT-KEY ADV-Keyserver Keyserver.ubuntu.com--recv-keys $ osquery_key $ sudo add-apt-repository 'deb [arqu = amd64] https: // pkg.Úsquería.IO/Deb Deb Main '$ sudo Apt Update $ sudo apt install oSquery 

En rhel/centos

$ curl -l https: // pkg.Úsquería.IO/RPM/GPG | sudo tee/etc/pki/rpm-gpg/rpm-gpg-key-osquery $ sudo yum-config-manager --add-repo https: // pkg.Úsquería.IO/RPM/OSQUERY-S3-RPM.Repo $ sudo yum-config-manager-insequery-s3-rpm-repo $ sudo yum instalación 

En Fedora 22+

$ curl -l https: // pkg.Úsquería.IO/RPM/GPG | sudo tee/etc/pki/rpm-gpg/rpm-gpg-key-osquery $ dnf config-manager --add-repo --add-repo https: // pkg.Úsquería.IO/RPM/OSQUERY-S3-RPM.Repo $ sudo dnf config-manager --set-set-set-set s3-rpm $ sudo dnf install oSquery 

Cómo monitorear y analizar Linux usando Osquery

Una vez que haya instalado con éxito Úsquería En su sistema, inicie el Osqueryi shell para comenzar a consultar el estado de su sistema operativo como se muestra.

$ Osqueryi Uso de una base de datos virtual. Necesito ayuda, escriba '.AYUDA 'OSQUERY> 

Para obtener una información resumida del sistema Linux, ejecute el siguiente comando.

OSQUERY> SELECT * de System_Info; 

Obtener información del sistema Linux

Para obtener una lista bien formada de todos los usuarios en el sistema Linux, ejecute la siguiente consulta.

OSQUERY> SELECCIONAR * DE USUARIOS; 

Lista de todos los usuarios de Linux

Para obtener una lista de todos los módulos de kernel de Linux y su estado, ejecute la siguiente consulta.

OSQUERY> SELECT * de Kernel_Modules; 

Enumere todos los módulos de kernel en Linux

Para obtener una lista de todos los paquetes de RPM instalados en CentOS, Rhel y Fedora, ejecute la siguiente consulta.

Osquery> .todos los rpm_packages; 

Lista todos los paquetes de RPM instalados

Para obtener una información sobre la ejecución de los procesos de Linux, ejecute la siguiente consulta.

OSQuery> Seleccionar procesos distintos.Nombre, Listening_ports.puerto, procesos.PID de los procesos de unión de escucha_ports usando (PID) donde Listening_ports.dirección = '0.0.0.0 '; 

Enumere la información de los procesos de Linux

Si estas corriendo Úsquería en un escritorio y tener Firefox o Cromo Instalado, puede enumerar todos sus complementos utilizando la siguiente consulta.

Osquery> .Todos los Firefox_addons; Osquery> .todas las chrome_extensions; 

Para mostrar una lista de todas las tablas implementadas en Linux, use el .mesas comando como se muestra.

Osquery> .mesas; #list todas las tablas implementadas Osquery> .ayuda; #Mensaje de ayuda de visión 

Úsquería también proporciona monitoreo de integridad de archivos (Fim), y funciones de auditoría de procesos y socket y más, por lo tanto, es una herramienta de detección de intrusos, pero esto requiere ciertas configuraciones antes de que pueda implementarlo para tal propósito. Puede encontrar más información del repositorio de Osquery Github.