ວິທີການກວດສອບຄວາມປອດໄພຂອງ Linux Server ກັບ Osquery

Osquery ແມ່ນແຫຼ່ງເປີດທີ່ບໍ່ເສຍຄ່າ, ມີລະບົບເຄື່ອງມື, ການກວດສອບແລະການວິເຄາະລະບົບ SQL ສຳ ລັບລະບົບ Linux, FreeBSD, Windows ແລະ Mac/OS X, ສ້າງໂດຍເຟສບຸກ. ມັນແມ່ນນັກຄົ້ນຄວ້າລະບົບປະຕິບັດການທີ່ງ່າຍແລະງ່າຍຕໍ່ການໃຊ້ງານ.

ມັນລວມເອົາເຄື່ອງມື ຈຳ ນວນ ໜຶ່ງ ທີ່ເຮັດການວິເຄາະແລະຕິດຕາມກວດກາລະດັບ OS ໃນລະດັບຕ່ ຳ; ເຄື່ອງມືເຫລົ່ານີ້ເປີດເຜີຍໃຫ້ເຫັນລະບົບປະຕິບັດການເປັນຖານຂໍ້ມູນທີ່ມີປະສິດຕິພາບສູງເຊັ່ນ MySQL/MariaDB, PostgreSQL ແລະອື່ນໆ, ເຊິ່ງແນວຄວາມຄິດຂອງ OS ແມ່ນເປັນຕົວແທນໃນຮູບແບບຕາຕະລາງ, ດັ່ງນັ້ນຈຶ່ງຊ່ວຍໃຫ້ຜູ້ໃຊ້ສາມາດໃຊ້ ຄຳ ສັ່ງ SQL ເພື່ອ ດຳ ເນີນການກວດສອບແລະວິເຄາະລະບົບ.

Osquery ໃຊ້ປັpluginກອິນທີ່ງ່າຍດາຍແລະການຂະຫຍາຍເວບໄຊທ໌ API ເພື່ອປະຕິບັດຕາຕະລາງ SQL, ມີການເກັບ ກຳ ຕາຕະລາງທີ່ມີຢູ່ໃນການກຽມພ້ອມ ສຳ ລັບການ ນຳ ໃຊ້, ແລະມີຫຼາຍລາຍລັກອັກສອນ. ບາງຕາຕະລາງສາມາດພົບໄດ້ໃນລະບົບປະຕິບັດການສະເພາະ, ຍົກຕົວຢ່າງ, ທ່ານພົບຕາຕະລາງ kernel_modules ໃນລະບົບ Linux ເທົ່ານັ້ນ.

ນອກຈາກນັ້ນ, ທ່ານຍັງສາມາດ ດຳ ເນີນການສອບຖາມເພື່ອຕິດຕາມແລະວິເຄາະ OS state ໃນໂຮດດຽວໂດຍຜ່ານຫອຍ osqueryi, ຫຼືໃນຫລາຍໆໂຮດໃນເຄືອຂ່າຍຜ່ານຕາຕະລາງເວລາຫລືປະຕິບັດຂໍ້ມູນເຫລົ່ານັ້ນຈາກໂປແກຼມທີ່ ກຳ ຫນົດເອງຂອງທ່ານໂດຍໃຊ້ osquery Thrift APIs.

ວິທີການຕິດຕັ້ງ Osquery ໃນ Linux

Osquery ສາມາດຕິດຕັ້ງໄດ້ຈາກບ່ອນເກັບມ້ຽນທີ່ເປັນທາງການໂດຍໃຊ້ເຄື່ອງມືຈັດການຊຸດ dnf ໃນການແຈກຈ່າຍ Linux ຂອງທ່ານຕາມທີ່ສະແດງ.

$ export OSQUERY_KEY=1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B
$ sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys $OSQUERY_KEY
$ sudo add-apt-repository 'deb [arch=amd64] https://pkg.osquery.io/deb deb main'
$ sudo apt update
$ sudo apt install osquery

$ curl -L https://pkg.osquery.io/rpm/GPG | sudo tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osquery
$ sudo yum-config-manager --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo
$ sudo yum-config-manager --enable osquery-s3-rpm-repo
$ sudo yum install osquery

$ curl -L https://pkg.osquery.io/rpm/GPG | sudo tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osquery
$ dnf config-manager --add-repo --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo
$ sudo dnf config-manager --set-enabled osquery-s3-rpm
$ sudo dnf install osquery

ວິທີການກວດສອບແລະວິເຄາະ Linux ໂດຍໃຊ້ Osquery

ເມື່ອທ່ານຕິດຕັ້ງ Osquery ຢ່າງ ສຳ ເລັດຜົນໃນລະບົບຂອງທ່ານ, ໃຫ້ເປີດແກະ osqueryi ເພື່ອເລີ່ມສອບຖາມສະຖານະຂອງ OS ຂອງທ່ານດັ່ງທີ່ສະແດງ.

$ osqueryi

Using a virtual database. Need help, type '.help'
osquery> 

ເພື່ອໃຫ້ໄດ້ຂໍ້ມູນກ່ຽວກັບລະບົບ Linux ທີ່ສະຫຼຸບໂດຍໃຊ້ ຄຳ ສັ່ງຕໍ່ໄປນີ້.

osquery> SELECT  * FROM system_info;

ເພື່ອໃຫ້ໄດ້ບັນຊີລາຍຊື່ທີ່ຖືກສ້າງຂື້ນຂອງຜູ້ໃຊ້ທັງ ໝົດ ໃນລະບົບ Linux, ໃຫ້ ດຳ ເນີນການສອບຖາມຕໍ່ໄປນີ້.

osquery> SELECT * FROM users;

ເພື່ອໃຫ້ໄດ້ຮັບບັນຊີລາຍຊື່ຂອງໂມດູນ kernel Linux ທັງ ໝົດ ແລະສະຖານະພາບຂອງມັນ, ໃຫ້ ດຳ ເນີນການສອບຖາມຕໍ່ໄປນີ້.

osquery> SELECT * FROM kernel_modules;

ເພື່ອໃຫ້ໄດ້ຮັບບັນຊີລາຍຊື່ຂອງທຸກໆຊຸດ RPM ທີ່ຕິດຕັ້ງຢູ່ໃນ CentOS, RHEL ແລະ Fedora, ດໍາເນີນການສອບຖາມຕໍ່ໄປນີ້.

osquery> .all rpm_packages;

ເພື່ອໃຫ້ໄດ້ຮັບ informatin ກ່ຽວກັບການເຮັດວຽກຂອງ Linux, ໃຫ້ ດຳ ເນີນການສອບຖາມຕໍ່ໄປນີ້.

osquery> SELECT DISTINCT processes.name, listening_ports.port, processes.pid FROM listening_ports JOIN processes USING (pid) WHERE listening_ports.address = '0.0.0.0';

ຖ້າທ່ານ ກຳ ລັງແລ່ນ osquery ໃນ desktop ແລະມີ Firefox ຫຼື Chrome ຕິດຕັ້ງ, ທ່ານສາມາດລາຍຊື່ add-ons ທັງ ໝົດ ຂອງທ່ານໂດຍໃຊ້ ຄຳ ຖາມຕໍ່ໄປນີ້.

osquery> .all firefox_addons;
osquery> .all  chrome_extensions;

ເພື່ອສະແດງລາຍຊື່ຂອງຕາຕະລາງທີ່ປະຕິບັດທັງ ໝົດ ໃນ Linux, ໃຫ້ໃຊ້ ຄຳ ສັ່ງ .tables ດັ່ງທີ່ສະແດງໄວ້.

osquery> .tables;	#list all implemented tables
osquery> .help; 	#view help message

Osquery ຍັງໃຫ້ການກວດສອບຄວາມຖືກຕ້ອງຂອງເອກະສານ (FIM), ແລະຂັ້ນຕອນແລະຂັ້ນຕອນການກວດສອບຊັອກເກີ້ແລະອື່ນໆ, ສະນັ້ນມັນແມ່ນເຄື່ອງມືກວດຫາການບຸກລຸກ, ແຕ່ສິ່ງນີ້ຮຽກຮ້ອງໃຫ້ມີການຕັ້ງຄ່າສະເພາະກ່ອນທີ່ທ່ານຈະສາມາດ ນຳ ໃຊ້ເພື່ອຈຸດປະສົງດັ່ງກ່າວ. ທ່ານສາມາດຊອກຫາຂໍ້ມູນເພີ່ມເຕີມຈາກຫໍສະ ໝຸດ Osquery Github.