कैसे Osquery के साथ लिनक्स सर्वर सुरक्षा की निगरानी करने के लिए

Osquery लिनक्स, फ्रीबीएसडी, विंडोज और मैक/ओएस एक्स सिस्टम के लिए एक मुक्त खुला स्रोत, शक्तिशाली और क्रॉस-प्लेटफ़ॉर्म एसक्यूएल-आधारित ऑपरेटिंग सिस्टम इंस्ट्रूमेंटेशन, मॉनिटरिंग और एनालिटिक्स फ्रेमवर्क है, जो द्वारा बनाया गया है। फेसबुक । यह एक सरल और उपयोग में आसान ऑपरेटिंग सिस्टम एक्सप्लोरर है।

यह कई उपकरणों को जोड़ती है जो निम्न-स्तरीय ओएस एनालिटिक्स और मॉनिटरिंग करते हैं; ये उपकरण एक ऑपरेटिंग सिस्टम को उच्च प्रदर्शन वाले रिलेशनल डेटाबेस जैसे MySQL / MariaDB , PostgreSQL और अधिक के रूप में प्रकट करते हैं, जहां OS अवधारणाओं का प्रतिनिधित्व किया जाता है सारणीबद्ध रूप, इस प्रकार उपयोगकर्ताओं को सिस्टम की निगरानी और विश्लेषण करने के लिए SQL कमांड को नियोजित करने की अनुमति देता है।

Osquery SQL तालिकाओं को लागू करने के लिए एक सरल प्लगइन और एक्सटेंशन API का उपयोग करें, उपयोग के लिए तैयार अस्तित्व में तालिकाओं का एक संग्रह है, और अधिक लिखे जा रहे हैं। कुछ तालिकाओं को केवल एक विशिष्ट ऑपरेटिंग सिस्टम पर पाया जा सकता है, उदाहरण के लिए, आप केवल लिनक्स सिस्टम पर कर्नेल_मॉडल टेबल पाते हैं।

इसके अतिरिक्त, आप osqueryi खोल या किसी शेड्यूलर के माध्यम से नेटवर्क पर कई होस्ट्स के माध्यम से ओएस होस्ट की निगरानी और विश्लेषण करने के लिए क्वेरी चला सकते हैं या osquery Thrift का उपयोग करके अपने किसी भी कस्टम एप्लिकेशन से उन्हें निष्पादित कर सकते हैं। एपीआई।

कैसे लिनक्स में Osquery स्थापित करने के लिए

दिखाए गए अनुसार आपके मजबूत लिनक्स वितरण पर उपयुक्त यम या dnf पैकेज प्रबंधन उपकरण का उपयोग करके आधिकारिक भंडार से ओस्क्वरी स्थापित किया जा सकता है।

$ export OSQUERY_KEY=1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B
$ sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys $OSQUERY_KEY
$ sudo add-apt-repository 'deb [arch=amd64] https://pkg.osquery.io/deb deb main'
$ sudo apt update
$ sudo apt install osquery

$ curl -L https://pkg.osquery.io/rpm/GPG | sudo tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osquery
$ sudo yum-config-manager --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo
$ sudo yum-config-manager --enable osquery-s3-rpm-repo
$ sudo yum install osquery

$ curl -L https://pkg.osquery.io/rpm/GPG | sudo tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osquery
$ dnf config-manager --add-repo --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo
$ sudo dnf config-manager --set-enabled osquery-s3-rpm
$ sudo dnf install osquery

कैसे मॉनिटर और Osquery का उपयोग कर लिनक्स का विश्लेषण करने के लिए

एक बार जब आप अपने सिस्टम पर सफलतापूर्वक Osquery स्थापित कर लेते हैं, तो अपने OS की स्थिति को दिखाने के लिए osqueryi शेल लॉन्च करें।

$ osqueryi

Using a virtual database. Need help, type '.help'
osquery> 

संक्षेप में लिनक्स सिस्टम की जानकारी प्राप्त करने के लिए निम्नलिखित कमांड चलाएँ।

osquery> SELECT  * FROM system_info;

लिनक्स सिस्टम पर सभी उपयोगकर्ताओं की एक अच्छी तरह से तैयार की गई सूची प्राप्त करने के लिए, निम्नलिखित क्वेरी चलाएँ।

osquery> SELECT * FROM users;

सभी लिनक्स कर्नेल मॉड्यूल और उनकी स्थिति की सूची प्राप्त करने के लिए, निम्नलिखित क्वेरी चलाएँ।

osquery> SELECT * FROM kernel_modules;

CentOS, RHEL और Fedora पर सभी स्थापित RPM संकुल की सूची प्राप्त करने के लिए, निम्नलिखित क्वेरी चलाएँ।

osquery> .all rpm_packages;

लिनक्स प्रक्रियाओं को चलाने के बारे में एक सूचना-पत्र प्राप्त करने के लिए, निम्नलिखित क्वेरी चलाएँ।

osquery> SELECT DISTINCT processes.name, listening_ports.port, processes.pid FROM listening_ports JOIN processes USING (pid) WHERE listening_ports.address = '0.0.0.0';

यदि आप डेस्कटॉप पर osquery चला रहे हैं और फ़ायरफ़ॉक्स या क्रोम इंस्टॉल किया है, तो आप निम्नलिखित क्वेरी का उपयोग करके अपने सभी ऐड-ऑन को सूचीबद्ध कर सकते हैं।

osquery> .all firefox_addons;
osquery> .all  chrome_extensions;

लिनक्स में सभी कार्यान्वित तालिकाओं की सूची प्रदर्शित करने के लिए, दिखाए गए अनुसार .tables कमांड का उपयोग करें।

osquery> .tables;	#list all implemented tables
osquery> .help; 	#view help message

Osquery भी फ़ाइल अखंडता निगरानी प्रदान करता है ( FIM ), और प्रक्रिया और सॉकेट ऑडिटिंग सुविधाएँ और अधिक, इस प्रकार यह एक घुसपैठ का पता लगाने वाला उपकरण है, लेकिन इससे पहले कि आप निश्चित कॉन्फ़िगरेशन के लिए कॉल करें इसे ऐसे उद्देश्य के लिए तैनात करें। आप Osquery Github भंडार से अधिक जानकारी प्राप्त कर सकते हैं।