Pesquisa de site

Como monitorar a segurança do servidor Linux com Osquery

Osquery é uma estrutura de instrumentação, monitoramento e análise de sistema operacional baseada em SQL, de código aberto, poderosa e multiplataforma, gratuita para sistemas Linux, FreeBSD, Windows e Mac/OS X, desenvolvida por Facebook. É um explorador de sistema operacional simples e fácil de usar.

Ele combina uma série de ferramentas que realizam análises e monitoramento de sistema operacional de baixo nível; essas ferramentas revelam um sistema operacional como um banco de dados relacional de alto desempenho, como MySQL/MariaDB, PostgreSQL e mais, onde os conceitos de sistema operacional são representados em formato tabular, permitindo assim que os usuários utilizem comandos SQL para realizar monitoramento e análise do sistema.

Osquery usa um plugin simples e API de extensões para implementar tabelas SQL, existe uma coleção de tabelas prontas para uso e mais estão sendo escritas. Algumas tabelas só podem ser encontradas em um sistema operacional específico, por exemplo, você só encontra a tabela kernel_modules em sistemas Linux.

Além disso, você pode executar consultas para monitorar e analisar o estado do sistema operacional em um único host por meio do shell osqueryi ou em vários hosts em uma rede por meio de um agendador ou executá-las a partir de qualquer um dos seus aplicativos personalizados usando o osquery Thrift. APIs.

Como instalar o Osquery no Linux

O Osquery pode ser instalado a partir do repositório oficial usando apt yum ou a ferramenta de gerenciamento de pacotes dnf em sua respectiva distribuição Linux, conforme mostrado.

No Debian/Ubuntu

export OSQUERY_KEY=1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys $OSQUERY_KEY
sudo add-apt-repository 'deb [arch=amd64] https://pkg.osquery.io/deb deb main'
sudo apt update
sudo apt install osquery

No RHEL/CentOS

curl -L https://pkg.osquery.io/rpm/GPG | sudo tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osquery
sudo yum-config-manager --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo
sudo yum-config-manager --enable osquery-s3-rpm-repo
sudo yum install osquery

No Fedora 22+

curl -L https://pkg.osquery.io/rpm/GPG | sudo tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osquery
dnf config-manager --add-repo --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo
sudo dnf config-manager --set-enabled osquery-s3-rpm
sudo dnf install osquery

Como monitorar e analisar Linux usando Osquery

Depois de instalar o Osquery com sucesso em seu sistema, inicie o shell osqueryi para começar a consultar o estado do seu sistema operacional, conforme mostrado.

osqueryi

Using a virtual database. Need help, type '.help'
osquery>

Para obter informações resumidas do sistema Linux, execute o seguinte comando.

osquery> SELECT  * FROM system_info;

Para obter uma lista bem formatada de todos os usuários do sistema Linux, execute a seguinte consulta.

osquery> SELECT * FROM users;

Para obter uma lista de todos os módulos do kernel Linux e seus status, execute a seguinte consulta.

osquery> SELECT * FROM kernel_modules;

Para obter uma lista de todos os pacotes RPM instalados no CentOS, RHEL e Fedora, execute a seguinte consulta.

osquery> .all rpm_packages;

Para obter informações sobre a execução de processos Linux, execute a consulta a seguir.

osquery> SELECT DISTINCT processes.name, listening_ports.port, processes.pid FROM listening_ports JOIN processes USING (pid) WHERE listening_ports.address = '0.0.0.0';

Se você estiver executando o osquery em um desktop e tiver o Firefox ou o Chrome instalado, você pode listar todos os seus complementos usando a seguinte consulta.

osquery> .all firefox_addons;
osquery> .all  chrome_extensions;

Para exibir uma lista de todas as tabelas implementadas no Linux, use o comando .tables conforme mostrado.

osquery> .tables;	#list all implemented tables
osquery> .help; 	#view help message

Osquery também fornece monitoramento de integridade de arquivos (FIM), e recursos de auditoria de processos e soquetes e muito mais, portanto, é uma ferramenta de detecção de intrusão, mas isso exige certas configurações antes que você possa implantá-lo para tal propósito. Você pode encontrar mais informações no repositório Osquery Github.