Kā uzraudzīt Linux drošību, izmantojot OSQuery

Kā uzraudzīt Linux drošību, izmantojot OSQuery | Linux / Unix 2024
Kā uzraudzīt Linux drošību, izmantojot OSQuery | Linux / Unix 2024

Drošībai vienmēr vajadzētu būt vienam no galvenajiem iemesliem, kāpēc mēs meklējam integrētus risinājumus gan iekšēji, gan ārēji aparatūras, pakalpojumu, procesu un pašu lietotāju līmenī. Neapšaubāmi, Linux vidē mēs varam izmantot dažādus risinājumus, kas izstrādāti, lai uzlabotu mūsu sistēmu drošību, un tieši šī iemesla dēļ Solvetic izskaidros īpašo nosaukumu OSQuery, un mēs varēsim saprast, kā pateicoties tam mūsu sistēmai ir pievienots drošības līmenis, un kā administratori vai IT grupa mēs būsim nedaudz pārliecinātāki, taču nekad neatsakāmies no tradicionālajiem drošības padomiem.

Kas ir OSQueryOSQuery tika izstrādāts kā operētājsistēmas instrumentu ietvars un ir pieejams gan operētājsistēmai Windows, gan OS X (macOS), Linux un FreeBSD. OSQuery ir praktiski, tomēr visaptveroši rīki, kas ir atbildīgi par dažādu zema līmeņa operētājsistēmu skenēšanu un visaptverošu monitoringu gan darbībai, gan katram procesam.

Lai ieviestu SQL tabulas, OSQuery izmanto vienkāršu spraudni un paplašinājumu API, taču jau pastāv lietošanai gatavu tabulu kolekcija, dažas no šīm tabulām ir pieejamas tikai īpašai sistēmai, piemēram, Linux mēs redzēsim tikai tabulu kernel_modules.

Lai saprastu, kā darbojas OSQuery, šis rīks pakļauj operētājsistēmu kā augstas veiktspējas relāciju datu bāzi, lai, pateicoties šai iedarbībai, varētu rakstīt SQL vaicājumus, lai izpētītu operētājsistēmas datus daudz dziļākā veidā. Izmantojot OSQuery, SQL tabulas tiek attēlotas kā abstrakti jēdzieni, kas ir līdzīgi darbības procesiem, ielādētiem kodola moduļiem, atvērtiem tīkla savienojumiem, aparatūras notikumiem, failu jaucējiem vai citiem.

OSQuery funkcijas
Starp dažādām OSQuery funkcijām mēs atrodam:

  • Tam ir augstas veiktspējas, bet mazas vietas, sadalīts resursdatora uzraudzības dēmons ar nosaukumu osqueryd, pateicoties kuram būs iespējams ieplānot vaicājumu izpildi visā organizācijā uzstādītajā infrastruktūrā.
  • Pateicoties spraudņu arhitektūrai, osqueryd ģenerēto reģistru var integrēt iekšējos reģistros, lai vienmēr būtu pieejamas labākas drošības iespējas.
  • Tam ir interaktīva vaicājumu konsole, ko sauc par osqueryi, kas ir SQL saskarne, kas izstrādāta jaunu vaicājumu pārbaudei un operētājsistēmas rūpīgai izpētei. Šai konsolei ir visas SQL valodas priekšrocības, un tajā ir simtiem integrētu tabulu, kas būs ārkārtīgi svarīgi atbilde, sistēmas darbību līmeņa problēmu diagnostika un daudz kas cits.
  • OSQuery ir starpplatforma, neatkarīgi no tā, vai šī lietojumprogramma izmanto zema līmeņa operētājsistēmas API, mēs varam izveidot un izmantot OSQuery Windows sistēmās, macOS, Ubuntu, CentOS un citos Linux izplatījumos uzņēmuma līmenī.
  • OSQuery ir vietējās paketes visām saderīgajām operētājsistēmām, ir arī rīki un daudz dokumentācijas par to pakotņu izveidi, ar kurām mums ir resursi to administrēšanai.
  • Kodu bāzi OSQuery veido augstas veiktspējas modulāri komponenti, kas izmanto publiskās API, lai paplašinātu to priekšrocības.

Tagad mēs redzēsim, kā instalēt OSQuery operētājsistēmā Linux.

1. Instalējiet OSQuery operētājsistēmā Linux

1. darbība
OSQuery var instalēt no oficiālās krātuves, izmantojot apt, yum vai dnf pakotnes pārvaldības rīkus atkarībā no izmantotā izplatīšanas:

Debian vai Ubuntu vidē 

 eksportēt OSQUERY_KEY = 1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B /debquery 'sudo apt atjaunināt sudo apt instalēt osquery

Fedora vidē 

 čokurošanās -L https://pkg.osquery.io/rpm/GPG | sudo tee / etc / pki / rpm-gpg / RPM-GPG-KEY-osquery dnf config-manager --add-repo --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm. repo sudo dnf config-manager-ar setset iespējota osquery-s3-rpm sudo dnf instalēt osquery

CentOS 7 vidēsCentOS 7 vidēm, kuras mēs izmantosim šajā apmācībā, mēs izpildīsim katru no šīm rindām: 

 čokurošanās -L https://pkg.osquery.io/rpm/GPG | sudo tee / etc / pki / rpm-gpg / RPM-GPG-KEY-osquery sudo yum-config-manager --ad-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo sudo yum -config-manager-iespējot osquery-s3-rpm sudo yum instalēt osquery

2. solis
Bet CentOS 7 mums ir iespēja instalēt RPM "auto-repo-add" vai pievienot krātuves galamērķi. Šie RPM darbojas jebkurā Linux x86-64 ar bāzes instalāciju no 2011. gada, un vispirms mēs izpildām sekojošo: 

 sudo rpm -ivh https://osquery-packages.s3.amazonaws.com/centos7/noarch/osquery-s3-centos7-repo-1-0.0.noarch.rpm

3. solis
Pēc tam mēs palaižam OSQuery instalāciju šādi. 

 sudo yum instalēt osquery

4. solis
Mēs ievadām burtu y, lai apstiprinātu OSQuery lejupielādi un instalēšanu programmā CentOS 7. Kādā instalācijas brīdī mums ir jāatļauj GPG atslēgas instalēšana:

5. solis
Lai to apstiprinātu, mēs ievadām burtu s, un mēs redzēsim, ka OSQuery ir pareizi instalēta CentOS 7.

2. Izmantojiet OSQuery, lai analizētu Linux

1. darbība
Kad OSQuery ir pareizi instalēts CentOS 7, mēs sāksim osqueryi apvalku, lai sāktu operētājsistēmas statusa vaicājumus, tāpēc mēs izpildām: 

 osqueryi

2. solis
Lai iegūtu kopsavilkuma informāciju par mūsu Linux operētājsistēmu, mēs izpildīsim šādu komandu: 

 SELECT * FROM system_info;
3. solis
Rezultātos mēs redzēsim tādas detaļas kā:
  • Saimnieka vārds
  • IP adrese
  • Izmantotais CPU tips
  • UUID un citi

4. solis
Ja mēs vēlamies iegūt visu Linux sistēmas lietotāju sarakstu, mēs izpildīsim šādu OSQuery vaicājumu: 

 SELECT * FROM lietotāji;

5. solis
Lai iegūtu sarakstu ar visiem Linux kodola moduļiem un to statusu, izpildīsim tālāk norādīto. 

 SELECT * FROM kernel_modules;

6. darbība
Ja nepieciešams piekļūt visu CentM, RHEL un Fedora instalēto RPM pakotņu sarakstam, mēs izpildīsim šādu vaicājumu: 

 . visi rpm_packages;

7. solis
Lai piekļūtu informācijai par procesu palaišanu operētājsistēmā Linux, noderēs šāds vaicājums: 

 ATLASIET DISTINCT procesus.nosaukums, klausīšanās_ports.ports, procesi.pid FROM klausīšanās_porti PIEVIENOTIES procesiem, LIETOT (pid) WHERE Listen_ports.address = '0.0.0.0';
8. solis
Lai uzskaitītu visas mūsu izpildītās tabulas: 
 .galdi

9. solis
Lai uzskaitītu konkrētas tabulas shēmu (kolonnas, veidus), mēs izpildām vienu no šīm rindām: 

 .schema table_name pragma table_info (table_name);

10. solis
Lai parādītu vispārējo palīdzību, mēs veiksim sekojošo: 

 .palīdzēt

11. solis
Lai izietu no OSQuery, mēs izpildām: 

 .Izeja
Izmantojot OSQuery, būs iespējams piekļūt detalizētai informācijai par daudziem sistēmas parametriem, lai uzlabotu administrēšanas uzdevumus un vienmēr būtu lieliskas funkcionalitātes funkcijas.

wave wave wave wave wave

Populārākas Posts

wave
1
post-title
Kā labot Nevar lejupielādēt lietotni Google Play
2
post-title
GPO POWER OPTIONS: Izrakstieties Windows Server Windows 10 neaktivitātes dēļ
3
post-title
Python - valodas paplašināšana
4
post-title
Kā noņemt vai mainīt SIM PIN kodu Samsung Galaxy M10
5
post-title
Iphone 5, Galaxy S3 vai Lumia 920 Kuru pirkt?

Ieteicams

wave
- Sponsored Ad -

Redaktora Izvēle

wave
- Sponsored Ad -