Ricerca nel sito web

Come monitorare la sicurezza del server Linux con Osquery


Osquery è un framework di strumentazione, monitoraggio e analisi del sistema operativo, monitoraggio e analisi del sistema operativo multipiattaforma, open source, potente e gratuito basato su SQL per sistemi Linux, FreeBSD, Windows e Mac/OS X, realizzato da Facebook. È un esploratore del sistema operativo semplice e facile da usare.

Combina una serie di strumenti che eseguono analisi e monitoraggio del sistema operativo di basso livello; questi strumenti rivelano un sistema operativo come un database relazionale ad alte prestazioni come MySQL/MariaDB, PostgreSQL e altri, in cui i concetti del sistema operativo sono rappresentati in forma tabellare, consentendo così agli utenti di utilizzare comandi SQL per eseguire il monitoraggio e l'analisi del sistema.

Osquery utilizza un semplice plugin e API di estensioni per implementare le tabelle SQL, esiste una raccolta di tabelle pronte per l'uso e altre sono in fase di scrittura. Alcune tabelle possono essere trovate solo su un sistema operativo specifico, ad esempio, trovi solo la tabella kernel_modules sui sistemi Linux.

Inoltre, puoi eseguire query per monitorare e analizzare lo stato del sistema operativo su un singolo host tramite la shell osqueryi o su diversi host su una rete tramite uno scheduler o eseguirli da qualsiasi delle tue applicazioni personalizzate utilizzando osquery Thrift API.

Come installare Osquery su Linux

Osquery può essere installato dal repository ufficiale utilizzando lo strumento di gestione dei pacchetti apt yum o dnf sulla rispettiva distribuzione Linux, come mostrato.

Su Debian/Ubuntu

export OSQUERY_KEY=1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys $OSQUERY_KEY
sudo add-apt-repository 'deb [arch=amd64] https://pkg.osquery.io/deb deb main'
sudo apt update
sudo apt install osquery

Su RHEL/CentOS

curl -L https://pkg.osquery.io/rpm/GPG | sudo tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osquery
sudo yum-config-manager --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo
sudo yum-config-manager --enable osquery-s3-rpm-repo
sudo yum install osquery

Su Fedora 22+

curl -L https://pkg.osquery.io/rpm/GPG | sudo tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osquery
dnf config-manager --add-repo --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo
sudo dnf config-manager --set-enabled osquery-s3-rpm
sudo dnf install osquery

Come monitorare e analizzare Linux utilizzando Osquery

Una volta installato con successo Osquery sul tuo sistema, avvia la shell osqueryi per iniziare a interrogare lo stato del tuo sistema operativo come mostrato.

osqueryi

Using a virtual database. Need help, type '.help'
osquery> 

Per ottenere informazioni riepilogative sul sistema Linux, eseguire il comando seguente.

osquery> SELECT  * FROM system_info;

Per ottenere un elenco ben formato di tutti gli utenti del sistema Linux, esegui la seguente query.

osquery> SELECT * FROM users;

Per ottenere un elenco di tutti i moduli del kernel Linux e il loro stato, esegui la seguente query.

osquery> SELECT * FROM kernel_modules;

Per ottenere un elenco di tutti i pacchetti RPM installati su CentOS, RHEL e Fedora, esegui la seguente query.

osquery> .all rpm_packages;

Per ottenere informazioni sull'esecuzione dei processi Linux, eseguire la seguente query.

osquery> SELECT DISTINCT processes.name, listening_ports.port, processes.pid FROM listening_ports JOIN processes USING (pid) WHERE listening_ports.address = '0.0.0.0';

Se utilizzi osquery su un desktop e hai installato Firefox o Chrome, puoi elencare tutti i tuoi componenti aggiuntivi utilizzando la seguente query.

osquery> .all firefox_addons;
osquery> .all  chrome_extensions;

Per visualizzare un elenco di tutte le tabelle implementate in Linux, utilizzare il comando .tables come mostrato.

osquery> .tables;	#list all implemented tables
osquery> .help; 	#view help message

Osquery fornisce anche il monitoraggio dell'integrità dei file (FIM), funzionalità di controllo dei processi e dei socket e altro ancora, quindi è uno strumento di rilevamento delle intrusioni, ma ciò richiede determinate configurazioni prima di poterlo fare. utilizzarlo per tale scopo. Puoi trovare ulteriori informazioni nel repository Github di Osquery.