ഓസ്uക്വറി ഉപയോഗിച്ച് ലിനക്സ് സെർവർ സുരക്ഷ എങ്ങനെ നിരീക്ഷിക്കാം

Facebook നിർമ്മിച്ച Linux, FreeBSD, Windows, Mac/OS X സിസ്റ്റങ്ങൾക്കായുള്ള ഒരു സ്വതന്ത്ര ഓപ്പൺ സോഴ്uസ്, ശക്തവും ക്രോസ്-പ്ലാറ്റ്uഫോം SQL-അധിഷ്ഠിത ഓപ്പറേറ്റിംഗ് സിസ്റ്റം ഇൻസ്ട്രുമെന്റേഷൻ, മോണിറ്ററിംഗ്, അനലിറ്റിക്uസ് ചട്ടക്കൂടാണ് ഓസ്uക്വറി. ഇത് ലളിതവും ഉപയോഗിക്കാൻ എളുപ്പമുള്ളതുമായ ഒരു ഓപ്പറേറ്റിംഗ് സിസ്റ്റം എക്സ്പ്ലോററാണ്.

താഴ്ന്ന നിലയിലുള്ള OS അനലിറ്റിക്സും നിരീക്ഷണവും നടത്തുന്ന നിരവധി ടൂളുകൾ ഇത് സംയോജിപ്പിക്കുന്നു; ഈ ടൂളുകൾ, MySQL/MariaDB, PostgreSQL എന്നിവ പോലുള്ള ഉയർന്ന പ്രവർത്തനക്ഷമതയുള്ള റിലേഷണൽ ഡാറ്റാബേസായി ഒരു ഓപ്പറേറ്റിംഗ് സിസ്റ്റത്തെ വെളിപ്പെടുത്തുന്നു, അവിടെ OS ആശയങ്ങൾ ടാബ്uലർ രൂപത്തിൽ പ്രതിനിധീകരിക്കുന്നു, അങ്ങനെ സിസ്റ്റം മോണിറ്ററിംഗും അനലിറ്റിക്uസും നടപ്പിലാക്കുന്നതിന് SQL കമാൻഡുകൾ ഉപയോഗിക്കാൻ ഉപയോക്താക്കളെ അനുവദിക്കുന്നു.

SQL ടേബിളുകൾ നടപ്പിലാക്കാൻ Osquery ഒരു ലളിതമായ പ്ലഗിൻ, എക്സ്റ്റൻഷൻസ് API ഉപയോഗിക്കുന്നു, ഉപയോഗത്തിന് തയ്യാറായ പട്ടികകളുടെ ഒരു ശേഖരം നിലവിലുണ്ട്, കൂടാതെ കൂടുതൽ എഴുതിക്കൊണ്ടിരിക്കുന്നു. ചില ടേബിളുകൾ ഒരു പ്രത്യേക ഓപ്പറേറ്റിംഗ് സിസ്റ്റത്തിൽ മാത്രമേ കണ്ടെത്താൻ കഴിയൂ, ഉദാഹരണത്തിന്, Linux സിസ്റ്റങ്ങളിൽ കേർണൽ_മോഡ്യൂൾസ് പട്ടിക മാത്രമേ നിങ്ങൾക്ക് കാണാനാകൂ.

കൂടാതെ, osqueryi ഷെൽ വഴിയോ നെറ്റ്uവർക്കിലെ നിരവധി ഹോസ്റ്റുകളിലോ ഒരു ഷെഡ്യൂളർ വഴി OS നില നിരീക്ഷിക്കാനും വിശകലനം ചെയ്യാനും നിങ്ങൾക്ക് ചോദ്യങ്ങൾ പ്രവർത്തിപ്പിക്കാം അല്ലെങ്കിൽ osquery Thrift API-കൾ ഉപയോഗിച്ച് നിങ്ങളുടെ ഏതെങ്കിലും ഇഷ്uടാനുസൃത ആപ്ലിക്കേഷനുകളിൽ നിന്ന് അവ നടപ്പിലാക്കാം.

ലിനക്സിൽ ഓസ്uക്വറി എങ്ങനെ ഇൻസ്റ്റാൾ ചെയ്യാം

കാണിച്ചിരിക്കുന്നതുപോലെ നിങ്ങളുടെ ബന്ധപ്പെട്ട ലിനക്സ് ഡിസ്ട്രിബ്യൂഷനിലെ dnf പാക്കേജ് മാനേജ്മെന്റ് ടൂൾ ഉപയോഗിച്ച് ഔദ്യോഗിക ശേഖരത്തിൽ നിന്ന് Osquery ഇൻസ്റ്റാൾ ചെയ്യാൻ കഴിയും.

$ export OSQUERY_KEY=1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B
$ sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys $OSQUERY_KEY
$ sudo add-apt-repository 'deb [arch=amd64] https://pkg.osquery.io/deb deb main'
$ sudo apt update
$ sudo apt install osquery

$ curl -L https://pkg.osquery.io/rpm/GPG | sudo tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osquery
$ sudo yum-config-manager --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo
$ sudo yum-config-manager --enable osquery-s3-rpm-repo
$ sudo yum install osquery

$ curl -L https://pkg.osquery.io/rpm/GPG | sudo tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osquery
$ dnf config-manager --add-repo --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo
$ sudo dnf config-manager --set-enabled osquery-s3-rpm
$ sudo dnf install osquery

ഓസ്uക്വറി ഉപയോഗിച്ച് ലിനക്uസ് എങ്ങനെ നിരീക്ഷിക്കാം, വിശകലനം ചെയ്യാം

നിങ്ങളുടെ സിസ്റ്റത്തിൽ Osquery വിജയകരമായി ഇൻസ്റ്റാൾ ചെയ്തുകഴിഞ്ഞാൽ, കാണിച്ചിരിക്കുന്നതുപോലെ നിങ്ങളുടെ OS-ന്റെ അവസ്ഥ അന്വേഷിക്കാൻ osqueryi ഷെൽ സമാരംഭിക്കുക.

$ osqueryi

Using a virtual database. Need help, type '.help'
osquery> 

ഒരു സംഗ്രഹിച്ച ലിനക്സ് സിസ്റ്റം വിവരങ്ങൾ ലഭിക്കുന്നതിന് ഇനിപ്പറയുന്ന കമാൻഡ് പ്രവർത്തിപ്പിക്കുക.

osquery> SELECT  * FROM system_info;

Linux സിസ്റ്റത്തിലെ എല്ലാ ഉപയോക്താക്കളുടെയും നന്നായി രൂപപ്പെടുത്തിയ ലിസ്റ്റ് ലഭിക്കുന്നതിന്, ഇനിപ്പറയുന്ന അന്വേഷണം പ്രവർത്തിപ്പിക്കുക.

osquery> SELECT * FROM users;

എല്ലാ ലിനക്സ് കേർണൽ മൊഡ്യൂളുകളുടെയും അവയുടെ നിലയുടെയും ഒരു ലിസ്റ്റ് ലഭിക്കുന്നതിന്, ഇനിപ്പറയുന്ന അന്വേഷണം പ്രവർത്തിപ്പിക്കുക.

osquery> SELECT * FROM kernel_modules;

CentOS, RHEL, Fedora എന്നിവയിൽ ഇൻസ്റ്റാൾ ചെയ്തിട്ടുള്ള എല്ലാ RPM പാക്കേജുകളുടെയും ഒരു ലിസ്റ്റ് ലഭിക്കുന്നതിന്, ഇനിപ്പറയുന്ന അന്വേഷണം പ്രവർത്തിപ്പിക്കുക.

osquery> .all rpm_packages;

Linux പ്രോസസ്സുകൾ പ്രവർത്തിപ്പിക്കുന്നതിനെക്കുറിച്ചുള്ള ഒരു വിവരം ലഭിക്കുന്നതിന്, ഇനിപ്പറയുന്ന അന്വേഷണം പ്രവർത്തിപ്പിക്കുക.

osquery> SELECT DISTINCT processes.name, listening_ports.port, processes.pid FROM listening_ports JOIN processes USING (pid) WHERE listening_ports.address = '0.0.0.0';

നിങ്ങൾ ഒരു ഡെസ്uക്uടോപ്പിൽ ഓസ്uക്വറി പ്രവർത്തിപ്പിക്കുകയും Firefox അല്ലെങ്കിൽ Chrome ഇൻസ്റ്റാൾ ചെയ്യുകയും ചെയ്uതിട്ടുണ്ടെങ്കിൽ, ഇനിപ്പറയുന്ന ചോദ്യം ഉപയോഗിച്ച് നിങ്ങളുടെ എല്ലാ ആഡ്-ഓണുകളും നിങ്ങൾക്ക് ലിസ്റ്റുചെയ്യാനാകും.

osquery> .all firefox_addons;
osquery> .all  chrome_extensions;

Linux-ൽ നടപ്പിലാക്കിയ എല്ലാ പട്ടികകളുടെയും ഒരു ലിസ്റ്റ് പ്രദർശിപ്പിക്കുന്നതിന്, കാണിച്ചിരിക്കുന്നതുപോലെ .tables കമാൻഡ് ഉപയോഗിക്കുക.

osquery> .tables;	#list all implemented tables
osquery> .help; 	#view help message

ഓസ്uക്വറി ഫയൽ ഇന്റഗ്രിറ്റി മോണിറ്ററിംഗ് (എഫ്uഐഎം), പ്രോസസ്സ്, സോക്കറ്റ് ഓഡിറ്റിംഗ് സവിശേഷതകൾ എന്നിവയും അതിലേറെയും നൽകുന്നു, അതിനാൽ ഇത് ഒരു നുഴഞ്ഞുകയറ്റം കണ്ടെത്തൽ ഉപകരണമാണ്, എന്നാൽ അത്തരം ഒരു ആവശ്യത്തിനായി ഇത് വിന്യസിക്കുന്നതിന് മുമ്പ് ഇത് ചില കോൺഫിഗറേഷനുകൾ ആവശ്യപ്പെടുന്നു. Osquery Github റിപ്പോസിറ്ററിയിൽ നിന്ന് നിങ്ങൾക്ക് കൂടുതൽ വിവരങ്ങൾ കണ്ടെത്താം.