Jinsi ya Kufuatilia Usalama wa Seva ya Linux na Osquery
Osquery ni chanzo huria kisicholipishwa, zana za mfumo wa uendeshaji zenye nguvu na mtambuka za SQL, ufuatiliaji, na mifumo ya uchanganuzi ya mifumo ya Linux, FreeBSD, Windows, na Mac/OS X, iliyojengwa na Facebook. Ni kichunguzi cha mfumo wa uendeshaji rahisi na rahisi kutumia.
Inachanganya zana kadhaa zinazofanya uchanganuzi na ufuatiliaji wa OS ya kiwango cha chini; zana hizi hufichua mfumo wa uendeshaji kama hifadhidata ya uhusiano wa utendaji wa juu kama vile MySQL/MariaDB, PostgreSQL na zaidi, ambapo dhana za OS zinawakilishwa katika muundo wa jedwali, hivyo basi kuruhusu watumiaji kuajiri amri za SQL kutekeleza ufuatiliaji na uchanganuzi wa mfumo.
Osquery hutumia programu-jalizi rahisi na API ya viendelezi kutekeleza majedwali ya SQL, kuna mkusanyiko wa majedwali yaliyo tayari kutumika, na mengine yanaandikwa. Baadhi ya majedwali yanaweza kupatikana tu kwenye mfumo maalum wa uendeshaji, kwa mfano, unapata jedwali la kernel_modules kwenye mifumo ya Linux.
Zaidi ya hayo, unaweza kutekeleza maswali ili kufuatilia na kuchanganua hali ya Mfumo wa Uendeshaji kwenye seva pangishi moja kupitia ganda la osqueryi, au kwa seva pangishi kadhaa kwenye mtandao kupitia kiratibu au kuzitekeleza kutoka kwa programu zako zozote maalum kwa kutumia API za Uwekevu.
Jinsi ya Kufunga Osquery kwenye Linux
Osquery inaweza kusakinishwa kutoka kwa hazina rasmi kwa kutumia zana ya usimamizi wa kifurushi cha dnf kwenye usambazaji wako wa Linux kama inavyoonyeshwa.
$ export OSQUERY_KEY=1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B $ sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys $OSQUERY_KEY $ sudo add-apt-repository 'deb [arch=amd64] https://pkg.osquery.io/deb deb main' $ sudo apt update $ sudo apt install osquery
$ curl -L https://pkg.osquery.io/rpm/GPG | sudo tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osquery $ sudo yum-config-manager --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo $ sudo yum-config-manager --enable osquery-s3-rpm-repo $ sudo yum install osquery
$ curl -L https://pkg.osquery.io/rpm/GPG | sudo tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osquery $ dnf config-manager --add-repo --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo $ sudo dnf config-manager --set-enabled osquery-s3-rpm $ sudo dnf install osquery
Jinsi ya Kufuatilia na Kuchambua Linux Kwa Kutumia Osquery
Mara baada ya kusakinisha Osquery kwenye mfumo wako kwa ufanisi, zindua ganda la osqueryi ili kuanza kuuliza hali ya Mfumo wako wa Uendeshaji kama inavyoonyeshwa.
$ osqueryi Using a virtual database. Need help, type '.help' osquery>
Ili kupata muhtasari wa habari ya mfumo wa Linux endesha amri ifuatayo.
osquery> SELECT * FROM system_info;
Ili kupata orodha iliyoumbizwa vyema ya watumiaji wote kwenye mfumo wa Linux, endesha swali lifuatalo.
osquery> SELECT * FROM users;
Ili kupata orodha ya moduli zote za Linux kernel na hali zao, endesha hoja ifuatayo.
osquery> SELECT * FROM kernel_modules;
Ili kupata orodha ya vifurushi vyote vya RPM vilivyosakinishwa kwenye CentOS, RHEL na Fedora, endesha hoja ifuatayo.
osquery> .all rpm_packages;
Ili kupata taarifa kuhusu kuendesha michakato ya Linux, endesha hoja ifuatayo.
osquery> SELECT DISTINCT processes.name, listening_ports.port, processes.pid FROM listening_ports JOIN processes USING (pid) WHERE listening_ports.address = '0.0.0.0';
Ikiwa unatumia osque kwenye eneo-kazi na umesakinisha Firefox au Chrome, unaweza kuorodhesha programu jalizi zako zote kwa kutumia hoja ifuatayo.
osquery> .all firefox_addons; osquery> .all chrome_extensions;
Ili kuonyesha orodha ya majedwali yote yaliyotekelezwa katika Linux, tumia amri ya .tables kama inavyoonyeshwa.
osquery> .tables; #list all implemented tables osquery> .help; #view help message
Osquery pia hutoa ufuatiliaji wa uadilifu wa faili (FIM), na vipengele vya ukaguzi wa mchakato na soketi na zaidi, kwa hivyo ni zana ya kugundua uvamizi, lakini hii inahitaji usanidi fulani kabla ya kuituma kwa madhumuni kama hayo. Unaweza kupata habari zaidi kutoka kwa hazina ya Osquery Github.