ວິທີການກວດສອບຄວາມປອດໄພຂອງ Linux Server ກັບ Osquery
Osquery ແມ່ນແຫຼ່ງເປີດທີ່ບໍ່ເສຍຄ່າ, ມີລະບົບເຄື່ອງມື, ການກວດສອບແລະການວິເຄາະລະບົບ SQL ສຳ ລັບລະບົບ Linux, FreeBSD, Windows ແລະ Mac/OS X, ສ້າງໂດຍເຟສບຸກ. ມັນແມ່ນນັກຄົ້ນຄວ້າລະບົບປະຕິບັດການທີ່ງ່າຍແລະງ່າຍຕໍ່ການໃຊ້ງານ.
ມັນລວມເອົາເຄື່ອງມື ຈຳ ນວນ ໜຶ່ງ ທີ່ເຮັດການວິເຄາະແລະຕິດຕາມກວດກາລະດັບ OS ໃນລະດັບຕ່ ຳ; ເຄື່ອງມືເຫລົ່ານີ້ເປີດເຜີຍໃຫ້ເຫັນລະບົບປະຕິບັດການເປັນຖານຂໍ້ມູນທີ່ມີປະສິດຕິພາບສູງເຊັ່ນ MySQL/MariaDB, PostgreSQL ແລະອື່ນໆ, ເຊິ່ງແນວຄວາມຄິດຂອງ OS ແມ່ນເປັນຕົວແທນໃນຮູບແບບຕາຕະລາງ, ດັ່ງນັ້ນຈຶ່ງຊ່ວຍໃຫ້ຜູ້ໃຊ້ສາມາດໃຊ້ ຄຳ ສັ່ງ SQL ເພື່ອ ດຳ ເນີນການກວດສອບແລະວິເຄາະລະບົບ.
Osquery ໃຊ້ປັpluginກອິນທີ່ງ່າຍດາຍແລະການຂະຫຍາຍເວບໄຊທ໌ API ເພື່ອປະຕິບັດຕາຕະລາງ SQL, ມີການເກັບ ກຳ ຕາຕະລາງທີ່ມີຢູ່ໃນການກຽມພ້ອມ ສຳ ລັບການ ນຳ ໃຊ້, ແລະມີຫຼາຍລາຍລັກອັກສອນ. ບາງຕາຕະລາງສາມາດພົບໄດ້ໃນລະບົບປະຕິບັດການສະເພາະ, ຍົກຕົວຢ່າງ, ທ່ານພົບຕາຕະລາງ kernel_modules ໃນລະບົບ Linux ເທົ່ານັ້ນ.
ນອກຈາກນັ້ນ, ທ່ານຍັງສາມາດ ດຳ ເນີນການສອບຖາມເພື່ອຕິດຕາມແລະວິເຄາະ OS state ໃນໂຮດດຽວໂດຍຜ່ານຫອຍ osqueryi, ຫຼືໃນຫລາຍໆໂຮດໃນເຄືອຂ່າຍຜ່ານຕາຕະລາງເວລາຫລືປະຕິບັດຂໍ້ມູນເຫລົ່ານັ້ນຈາກໂປແກຼມທີ່ ກຳ ຫນົດເອງຂອງທ່ານໂດຍໃຊ້ osquery Thrift APIs.
ວິທີການຕິດຕັ້ງ Osquery ໃນ Linux
Osquery ສາມາດຕິດຕັ້ງໄດ້ຈາກບ່ອນເກັບມ້ຽນທີ່ເປັນທາງການໂດຍໃຊ້ເຄື່ອງມືຈັດການຊຸດ dnf ໃນການແຈກຈ່າຍ Linux ຂອງທ່ານຕາມທີ່ສະແດງ.
$ export OSQUERY_KEY=1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B $ sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys $OSQUERY_KEY $ sudo add-apt-repository 'deb [arch=amd64] https://pkg.osquery.io/deb deb main' $ sudo apt update $ sudo apt install osquery
$ curl -L https://pkg.osquery.io/rpm/GPG | sudo tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osquery $ sudo yum-config-manager --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo $ sudo yum-config-manager --enable osquery-s3-rpm-repo $ sudo yum install osquery
$ curl -L https://pkg.osquery.io/rpm/GPG | sudo tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osquery $ dnf config-manager --add-repo --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo $ sudo dnf config-manager --set-enabled osquery-s3-rpm $ sudo dnf install osquery
ວິທີການກວດສອບແລະວິເຄາະ Linux ໂດຍໃຊ້ Osquery
ເມື່ອທ່ານຕິດຕັ້ງ Osquery ຢ່າງ ສຳ ເລັດຜົນໃນລະບົບຂອງທ່ານ, ໃຫ້ເປີດແກະ osqueryi ເພື່ອເລີ່ມສອບຖາມສະຖານະຂອງ OS ຂອງທ່ານດັ່ງທີ່ສະແດງ.
$ osqueryi Using a virtual database. Need help, type '.help' osquery>
ເພື່ອໃຫ້ໄດ້ຂໍ້ມູນກ່ຽວກັບລະບົບ Linux ທີ່ສະຫຼຸບໂດຍໃຊ້ ຄຳ ສັ່ງຕໍ່ໄປນີ້.
osquery> SELECT * FROM system_info;
ເພື່ອໃຫ້ໄດ້ບັນຊີລາຍຊື່ທີ່ຖືກສ້າງຂື້ນຂອງຜູ້ໃຊ້ທັງ ໝົດ ໃນລະບົບ Linux, ໃຫ້ ດຳ ເນີນການສອບຖາມຕໍ່ໄປນີ້.
osquery> SELECT * FROM users;
ເພື່ອໃຫ້ໄດ້ຮັບບັນຊີລາຍຊື່ຂອງໂມດູນ kernel Linux ທັງ ໝົດ ແລະສະຖານະພາບຂອງມັນ, ໃຫ້ ດຳ ເນີນການສອບຖາມຕໍ່ໄປນີ້.
osquery> SELECT * FROM kernel_modules;
ເພື່ອໃຫ້ໄດ້ຮັບບັນຊີລາຍຊື່ຂອງທຸກໆຊຸດ RPM ທີ່ຕິດຕັ້ງຢູ່ໃນ CentOS, RHEL ແລະ Fedora, ດໍາເນີນການສອບຖາມຕໍ່ໄປນີ້.
osquery> .all rpm_packages;
ເພື່ອໃຫ້ໄດ້ຮັບ informatin ກ່ຽວກັບການເຮັດວຽກຂອງ Linux, ໃຫ້ ດຳ ເນີນການສອບຖາມຕໍ່ໄປນີ້.
osquery> SELECT DISTINCT processes.name, listening_ports.port, processes.pid FROM listening_ports JOIN processes USING (pid) WHERE listening_ports.address = '0.0.0.0';
ຖ້າທ່ານ ກຳ ລັງແລ່ນ osquery ໃນ desktop ແລະມີ Firefox ຫຼື Chrome ຕິດຕັ້ງ, ທ່ານສາມາດລາຍຊື່ add-ons ທັງ ໝົດ ຂອງທ່ານໂດຍໃຊ້ ຄຳ ຖາມຕໍ່ໄປນີ້.
osquery> .all firefox_addons; osquery> .all chrome_extensions;
ເພື່ອສະແດງລາຍຊື່ຂອງຕາຕະລາງທີ່ປະຕິບັດທັງ ໝົດ ໃນ Linux, ໃຫ້ໃຊ້ ຄຳ ສັ່ງ .tables ດັ່ງທີ່ສະແດງໄວ້.
osquery> .tables; #list all implemented tables osquery> .help; #view help message
Osquery ຍັງໃຫ້ການກວດສອບຄວາມຖືກຕ້ອງຂອງເອກະສານ (FIM), ແລະຂັ້ນຕອນແລະຂັ້ນຕອນການກວດສອບຊັອກເກີ້ແລະອື່ນໆ, ສະນັ້ນມັນແມ່ນເຄື່ອງມືກວດຫາການບຸກລຸກ, ແຕ່ສິ່ງນີ້ຮຽກຮ້ອງໃຫ້ມີການຕັ້ງຄ່າສະເພາະກ່ອນທີ່ທ່ານຈະສາມາດ ນຳ ໃຊ້ເພື່ອຈຸດປະສົງດັ່ງກ່າວ. ທ່ານສາມາດຊອກຫາຂໍ້ມູນເພີ່ມເຕີມຈາກຫໍສະ ໝຸດ Osquery Github.