Table of Contents
Cómo monitorear la seguridad del servidor Linux con Osquery
Osquery. es un marco de instrumentación, monitoreo y análisis de sistemas operativos de código abierto, potente y multiplataforma basado en SQL para sistemas Linux, FreeBSD, Windows y Mac/OS X, creado por Facebook. Es un explorador de sistema operativo simple y fácil de usar.
Combina una serie de herramientas que realizan análisis y monitoreo de SO de bajo nivel; estas herramientas revelan un sistema operativo como una base de datos relacional de alto rendimiento, como MySQL. MariaDB. PostgreSQL. y más, donde los conceptos del sistema operativo se representan en forma tabular, lo que permite a los usuarios emplear comandos SQL para llevar a cabo análisis y monitoreo del sistema.
Osquery. utiliza un complemento simple y una API de extensiones para implementar tablas SQL, hay una colección de tablas existentes listas para usar, y se están escribiendo más. Algunas tablas solo se pueden encontrar en un sistema operativo específico, por ejemplo, solo encuentra la tabla kernel_modules en sistemas Linux.
Además, puede ejecutar consultas para monitorear y analizar el estado del sistema operativo en un solo host a través del osqueryi shell. o en varios hosts de una red a través de un planificador o ejecútelos desde cualquiera de sus aplicaciones personalizadas mediante las API de osquery Thrift.
Cómo instalar Osquery en Linux
El Osquery. se puede instalar desde el repositorio oficial usando la herramienta de administración de paquetes apt yum o dnf en su respectiva distribución de Linux como se muestra.
En Debian/Ubuntu $ export OSQUERY_KEY = 1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B $ sudo apt-key adv–keyserver keyserver.ubuntu.com–recv-keys $ OSQUERY_KEY $ sudo add-apt-repository ‘deb [arch = amd64] https://pkg.osquery.io/deb deb main’ $ sudo apt update $ sudo apt install osquery En RHEL/CentOS $ curl-L https://pkg.osquery.io/rpm/GPG | sudo tee/etc/pki/rpm-gpg/RPM-GPG-KEY-osquery $ sudo yum-config-manager–add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo $ sudo yum-config-manager–enable osquery-s3-rpm-repo $ sudo yum install osquery En Fedora 22+ $ curl-L https://pkg.osquery.io/rpm/GPG | sudo tee/etc/pki/rpm-gpg/RPM-GPG-KEY-osquery $ dnf config-manager–add-repo–add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm .repo $ sudo dnf config-manager–set-enabled osquery-s3-rpm $ sudo dnf install osquery
Cómo monitorear y analizar Linux usando Osquery
freestar.config.enabled_slots.push (LocationName: ” tecmint_incontent “, slotId:” tecmint_incontent “);
Una vez que haya instalado Osquery. en su sistema, inicie el shell osqueryi. para comenzar a consultar el estado de su sistema operativo como se muestra.
$ osqueryi. Usando una base de datos virtual. Necesita ayuda, escriba ‘.help’ osquery>
Para obtener una información resumida del sistema Linux, ejecute el siguiente comando.
osquery> SELECT * FROM system_info; 
Obtener información del sistema Linux
Para obtener un lista bien formateada de todos los usuarios del sistema Linux, ejecute la siguiente consulta.
osquery> SELECT * FROM users; 
Lista de todos los usuarios de Linux
Para obtener una lista de todos los kernel de Linux m odules y su estado, ejecute la siguiente consulta.
osquery> SELECT * FROM kernel_modules; 
Lista de todos los módulos del kernel en Linux
Para obtener una lista de todos los paquetes RPM instalados en CentOS, RHEL y Fedora, ejecute la siguiente consulta.
osquery> .all rpm_packages; 
Listar todos los paquetes RPM instalados
Para obtener información sobre la ejecución de procesos Linux, ejecute la siguiente consulta.
osquery> SELECT DISTINCT process.name, listening_ports.port, process.pid FROM listening_ports UNIR procesos USING (pid ) DONDE listening_ports.address = ‘0.0.0.0’; 
Mostrar información de procesos de Linux
Si está ejecutando osquery. en un escritorio y tiene Firefox. o Chrome. instalado, puede enumerar todos sus complementos mediante la siguiente consulta.
