So überwachen Sie die Linux-Sicherheit mit OSQuery

administrator Leave a Comment

Sicherheit muss immer einer der Hauptgründe sein, warum wir nach integralen internen und externen Lösungen auf der Ebene von Hardware , Services, Prozessen und den Benutzern selbst suchen. Es besteht kein Zweifel, dass wir in Linux-Umgebungen die verschiedenen Lösungen verwenden können, die entwickelt wurden, um die Sicherheit unserer Systeme zu verbessern. Aus diesem Grund wird TechnoWikis eine spezielle OSQuery erläutern und wir werden verstehen, wie dadurch eine zusätzliche Sicherheitsstufe hinzugefügt wird Unser System und wir als Administratoren oder IT-Gruppe werden etwas selbstbewusster sein, ohne jedoch jemals auf die traditionellen Sicherheitsratschläge zu verzichten.

Was ist OSQuery?
OSQuery wurde als Instrumentierungsframework für das Betriebssystem entwickelt und ist sowohl für Windows, OS X (macOS), Linux als auch für FreeBSD verfügbar. OSQuery verfügt über praktische, aber vollständige Tools, die für die Durchführung verschiedener Analysen des Betriebssystems auf niedriger Ebene und die integrale Überwachung der Leistung und der einzelnen Prozesse verantwortlich sind.

OSQuery verwendet ein einfaches Plugin und eine Erweiterungs-API, um SQL-Tabellen zu implementieren. Es ist jedoch bereits eine Sammlung von Tabellen einsatzbereit. Einige dieser Tabellen sind nur für ein spezielles System verfügbar, z. B. in Im Falle von Linux sehen wir nur die Tabelle kernel_modules.

Um die Funktionsweise von OSQuery zu verstehen, stellt dieses Tool das Betriebssystem als relationale Hochleistungsdatenbank zur Verfügung, sodass dank dieser Offenlegung SQL-Abfragen geschrieben werden können, um die Betriebssystemdaten viel tiefer zu untersuchen. Bei Verwendung von OSQuery werden SQL-Tabellen als abstrakte Konzepte dargestellt, ähnlich wie laufende Prozesse, geladene Kernelmodule, offene Netzwerkverbindungen, Hardwareereignisse, Datei-Hashes oder mehr.

OSQuery-Funktionen
Unter den verschiedenen Funktionen von OSQuery finden wir:

  • Es verfügt über einen verteilten Hostüberwachungs-Daemon mit hoher Leistung und geringem Platzbedarf (osqueryd), mit dem Abfragen so geplant werden können, dass sie auf der gesamten in der Organisation bereitgestellten Infrastruktur ausgeführt werden.
  • Die von osqueryd generierte Registrierung kann dank einer Architektur von Ergänzungen in die internen Registrierungen integriert werden, um immer bessere Sicherheitsoptionen zur Verfügung zu haben.
  • Es hat eine interaktive Abfragekonsole mit dem Namen osqueryi, eine SQL-Schnittstelle, die entwickelt wurde, um neue Abfragen zu testen und das Betriebssystem eingehend zu untersuchen. Diese Konsole bietet alle Vorteile einer vollständigen SQL-Sprache und verfügt über Hunderte integrierter Tabellen, die von entscheidender Bedeutung sind Reaktion auf Vorfälle, Problemdiagnosen auf der Ebene des Systembetriebs und mehr.
  • OSQuery ist eine plattformübergreifende Anwendung. Unabhängig davon, ob diese Anwendung die Betriebssystem-APIs auf niedriger Ebene verwendet, können wir OSQuery auf Windows-Systemen, macOS, Ubuntu, CentOS und anderen Linux-Distributionen auf Unternehmensebene erstellen und verwenden .
  • OSQuery hat native Pakete für alle kompatiblen Betriebssysteme, es gibt auch Tools und genügend Dokumentation zur Erstellung von Paketen, mit denen wir Ressourcen für die Verwaltung haben.
  • Der OSQuery-Basiscode besteht aus modularen Hochleistungskomponenten, die öffentliche APIs verwenden, um ihre Vorteile zu erweitern.
See also  So löschen Sie das Profilbenutzerkonto Windows 10, 8, 7

Nun wollen wir sehen, wie OSQuery unter Linux installiert wird.

1. Installieren Sie OSQuery unter Linux

Schritt 1

OSQuery kann aus dem offiziellen Repository mit den Paketverwaltungstools apt, yum oder dnf installiert werden, je nachdem, welche Distribution wie folgt verwendet wird:

In Debian- oder Ubuntu-Umgebungen 
 export OSQUERY_KEY = 1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys $ OSQUERY_KEY sudo add-apt-repository 'deb [arch = amd64] https://pkg.osquery.io/deb deb main' sudo apt update sudo apt install osquery

In Fedora-Umgebungen 
 curl -L https://pkg.osquery.io/rpm/GPG | sudo tee / etc / pki / rpm-gpg / RPM-GPG-KEY-osquery dnf config-manager --add-repo --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo sudo dnf config-manager --set-enabled osquery-s3-rpm sudo dnf installiere osquery

In CentOS 7-Umgebungen
Für CentOS 7-Umgebungen, die wir in diesem Lernprogramm verwenden, führen wir die folgenden Zeilen aus: 

 curl -L https://pkg.osquery.io/rpm/GPG | sudo tee / etc / pki / rpm-gpg / RPM-GPG-KEY-osquery sudo yum-config-manager --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo sudo yum-config-manager - aktiviere osquery-s3-rpm sudo yum installiere osquery

Schritt 2

Für CentOS 7 haben wir jedoch die Möglichkeit, das RPM “Auto-Repo-Add” zu installieren oder das Ziel des Repositorys hinzuzufügen. Diese RPMs funktionieren auf jedem Linux x86-64 mit einer Basisinstallation ab dem Jahr 2011 und führen zunächst Folgendes aus: 

 sudo rpm -ivh https://osquery-packages.s3.amazonaws.com/centos7/noarch/osquery-s3-centos7-repo-1-0.0.noarch.rpm

1-Install-OSQuery-in-Linux.png

Schritt 3

Dann führen wir auch die OSQuery-Installation aus. 

 sudo yum installiere osquery

2-Install-OSQuery-en-centos.png

Schritt 4

Geben Sie den Buchstaben ein und bestätigen Sie den Download und die Installation von OSQuery in CentOS 7. Irgendwann müssen wir die Installation des GPG-Schlüssels autorisieren:

3-autorisieren-Sie-die-Installation-des-Schlüssels-GPG.png

Schritt 5

Wir geben die Buchstaben s ein, um dies zu bestätigen und wir werden sehen, dass OSQuery korrekt in CentOS 7 installiert ist.

4-se-install-de-forma-correcto-OSQuery-en-CentOS-7.png

2. Verwenden Sie OSQuery, um Linux zu analysieren

Schritt 1

Sobald OSQuery in CentOS 7 korrekt installiert ist, starten wir die osqueryi-Shell, um die Abfragen des Status des Betriebssystems zu starten. Dazu führen wir Folgendes aus: 

 osqueryi

5-Verwendung-von-OSQuery-zu-analysieren-Linux.png

Schritt 2

Um eine Zusammenfassung unseres Linux-Betriebssystems zu erhalten, führen wir den folgenden Befehl aus: 

 SELECT * FROM system_info;
Schritt 3

In den Ergebnissen sehen wir Details wie:

  • Hostname
  • IP-Adresse
  • Typ der verwendeten CPU
  • UUID und mehr
See also  Erstelle eine Fanseite auf Facebook

6-Verwendung-von-OSQuery-zu-analysieren-Linux.png

Schritt 4

Wenn wir eine Liste aller Benutzer im Linux-System erhalten möchten, führen wir die folgende OSQuery-Abfrage aus: 

 SELECT * FROM Benutzer;

7-query-OSQuery.png

Schritt 5

Um eine Liste aller Linux-Kernelmodule und ihren jeweiligen Status zu erhalten, führen wir Folgendes aus. 

 SELECT * FROM kernel_modules;

8-kernel_modules.png

Schritt 6

Wenn auf die Liste aller in CentOS, RHEL und Fedora installierten RPM-Pakete zugegriffen werden muss, führen wir die folgende Abfrage aus: 

 .alle rpm_packages;

9-Pakete-RPM-installiert-in-CentOS.png

Schritt 7

Um auf Informationen zum Ausführen von Prozessen unter Linux zuzugreifen, ist die folgende Abfrage hilfreich: 

 SELECT DISTINCT process.name, listening_ports.port, process.pid FROM listening_port JOIN-Prozesse USING (pid) WHERE listening_ports.address = '0.0.0.0';
Schritt 8

Um alle implementierten Tabellen aufzulisten, die wir ausführen: 

 .tables

10-run-process-on-Linux.png

Schritt 9

Um das Schema (Spalten, Typen) einer bestimmten Tabelle aufzulisten, führen wir eine der folgenden Zeilen aus: 

 .schema tabellenname Pragma table_info (table_name);

11-.schema-table_name.png

Schritt 10

Um die allgemeine Hilfe anzuzeigen, führen wir Folgendes aus: 

 .hilfe

12-osquery-help.png

Schritt 11

Um OSQuery zu beenden, führen wir Folgendes aus: 

 .exit

Mit OSQuery ist es möglich, auf detaillierte Informationen zu vielen Systemparametern zuzugreifen, um die Verwaltungsaufgaben zu verbessern und immer über hervorragende Funktionsmerkmale zu verfügen.

administrator

More Posts

Leave a Reply

Your email address will not be published. Required fields are marked *