登录 / 注册
IT168技术开发频道
IT168首页 > 技术开发 > 技术开发技术 > 正文

如何在Linux上使用Osquery设置文件完整性监控(FIM)

2018-09-10 17:45    it168网站 原创  作者: 刘美利 编辑: 刘美利

  【IT168 技术】osquery是一个SQL驱动操作系统检测和分析工具,它由Facebook创建,支持像SQL语句一样查询系统的各项指标,可以用于OSX和Linux操作系统。

  Osquery是一个多平台软件,可以安装在Linux,Windows,MacOS和FreeBSD上。它允许我们使用基于SQL的查询来处理操作系统的配置文件、性能、安全检查等。

  在本教程中,我们将向您展示如何使用OsQueq设置文件完整性监控(FIM)。我们使用的linux操作系统是Ubuntu 18.04和CENTOS 7。

  条件

  •   Linux(Ubuntu或CentOS)

  •   Root权限

  •   完成了第一个osquery指南

  步骤一:在Linux服务器上安装osquery

  Osquery为所有的安装平台提供了自己的存储库,我们要做的第一步是从官方的osquery存储库安装osquery包。

  在Ubuntu上

  将osquery密钥添加到系统。

  Export OSQUERY_KEY = 1484120AC4E9F8A1A577AEEE97A80C63C9D8B80B

  sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys $ OSQUERY_KEY

  添加osquery存储库并安装。

  sudo add-apt-repository'deb [arch = amd64] https://pkg.osquery.io/deb deb

  main'sudo apt install osquery -y

  在CentOS上

  将osquery密钥添加到系统。

  curl -L https://pkg.osquery.io/rpm/GPG | sudo tee / etc / pki / rpm-gpg / RPM-GPG-KEY-osquery

  添加并启用osquery存储库,然后安装该软件包。

  Sudo yum-config-manager --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo

  sudo yum-config-manager --enable osquery-s3-rpm

  sudo yum install osquery -y

  等待安装所有软件包

  注意:如果您收到关于yum-config-manager命令的错误消息。

  sudo: yum-config-manager: command not found

  安装'yum-utils'包。

  yum -y install yum-utils

  步骤二:启用Osquery的Syslog Consumption

  Osquery提供了一些功能,可以使用Apple system Log (ASL)读取Apple MacOS上的系统日志,对于Linux则使用syslog。

  在此步骤中,我们将通过rsyslog启用osquery的syslog consumption。

  在Ubuntu上

  使用如下apt命令安装rsyslog

  sudo apt install rsyslog –y

  在CentOS上

  使用如下yum命令安装rsyslog包。

  sudo yum install rsyslog -y

  安装完成后,转到'/etc/rsyslog.d'目录并创建一个新的配置文件osquery.conf。

  cd /etc/rsyslog.d/

  vim osquery.conf

  然后粘贴如下配置

  template(

  name =“OsqueryCsvFormat”

  type =“string”

  string =“%timestamp ::: date-rfc3339,csv%,%hostname ::: csv%,%syslogseverity ::: csv%,%syslogfacility-text ::: csv%,%syslogtag ::: csv%,%msg ::: csv%\ n“

  )

  *。* action(type =”ompipe“Pipe =”/ var / osquery / syslog_pipe“template =”OsqueryCsvFormat“)

  保存并退出

  步骤三: osquery基本配置

  osquery默认配置是'osquery.conf',通常位于'/ etc / osquery'目录中。

  在这一步,我们将了解osquery配置组件,创建自定义osquery配置,然后将osqueryd部署为服务。

  格式化为JSON 文件的osquery 配置包含如下规范:

  Options:osqueryd CLI命令的一部分,它决定应用程序的启动和初始化。

  Schedule:将计划的查询名称的Flow定义到查询详情。

  Decorators:用于向结果和快照日志添加额外的“decorations”。

  Packs:一组调度查询

  More:File Path, YARA, Prometheus, Views, EC2, Chef Configuration。

  转到'/ etc / osquery'目录并创建一个新的自定义配置'osquery.conf'。

  cd / etc / osquery /

  vim osquery.conf

  粘贴以下配置。

  {

  “options”:{

  “config_plugin”:“filesystem”,

  “logger_plugin”:“filesystem”,

  “logger_path”:“/ var / log / osquery”,

  “disable_logging”:“false”,

  “log_result_events”:“true” ,

  “schedule_splay_percent”:“10”,

  “pidfile”:“/ var / osquery / osquery.pidfile”,

  “events_expiry”:“3600”,

  “database_path”:“/ var / osquery / osquery.db”,

  “verbose” :“false”,

  “worker_threads”:“2”,

  “enable_monitor“:”true“,

  ”disable_events“:”false“,

  ”disable_audit“:”false“,

  ”audit_allow_config“:”true“,

  “host_identifier”:“hakase-labs”,

  “enable_syslog”:“true”,

  “syslog_pipe_path”:“/ var / osquery / syslog_pipe”,

  “force”:“true”,

  “audit_allow_sockets”:“true”,

  “schedule_default_interval” :“3600”

  },

  “schedule”:{

  “crontab”:{

  “query”:“SELECT * FROM crontab;”,

  “interval”:300

  },

  “system_info”:{

  “query”:“SELECT hostname,cpu_brand, physical_memory FROM system_info;“,

  “interval”:3600

  },

  “ssh_login”:{

  “query”:“SELECT username,time,host FROM last WHERE type = 7”,

  “interval”:360

  }

  },

  “decorators”:{

  “load”:[

  “SELECT uuid AS host_uuid FROM system_info;”,

  “SELECT user AS username FROM logged_in_users ORDER BY time DESC LIMIT 1;”

  ]

  },

  “packs”:{

  “osquery-monitoring”:“/ usr / share / osquery / packages / osquery -monitoring.conf”

  }

  }

  保存并退出

  注意:

  •   我们使用'filesystem'作为配置文件和记录器插件

  •   定义'/ var / log / osquery'目录的记录器路径

  •   将SysLog-PIP启用到'/Va/ysLogy/SySalpJixBube文件中。

  •   在调度程序中,我们定义了三个查询来检查crontab, system info, 和ssh login.

  •   启用名为“osquery-monitoring”的osquery包,并将该包放置在'/Ur/Stuts/OsQue/Pokes’目录中。

  启动osqueryd daemon service(使其在每次系统引导时启动)。

  systemctl start osqueryd

  systemctl enable osqueryd

  重新启动rsyslog服务

  systemctl restart rsyslog

  osquery基本配置完成。

  步骤四:使用osquery配置文件完整性监控(FIM)

  Osquery使用Linux和FSEvents提供Linux和MacOS Darwin上的文件完整性监控。简单地的说,它使用'file_path'检测定义目录上的任何一个文件的更改,然后将所有活动存储到file_events表中。

  在这个步骤中,我们将配置Osquery来使用自定义FIM包监视重要目录,如HOST、SSH目录,以及tmp和www web根目录等。

  转到“/usr/share/osquery/packs”目录,创建一个新的软件包配置文件“fim.conf”。

  cd / usr / share / osquery / packs

  vim fim.conf

  配置如下:

  {

  "queries": {

  "file_events": {

  "query": "SELECT * FROM file_events;",

  "removed": false,

  "interval": 300

  }

  },

  "file_paths": {

  "homes": [

  "/root/.ssh/%%",

  "/home/%/.ssh/%%"

  ],

  "etc": [

  "/etc/%%"

  ],

  "home": [

  "/home/%%"

  ],

  "tmp": [

  "/tmp/%%"

  ],

  "www": [

  "/var/www/%%"

  ]

  }

  }

  保存并退出

  返回到 '/etc/osquery'配置目录,编辑osquery.conf文件。

  cd /etc/osquery/

  vim osquery.conf

  在 'packs' 中添加文件完整性监控包配置。

  “packs”:{

  “osquery-monitoring”:“/ usr / share / osquery / packages / osquery -monitoring.conf”,

  “fim”:“/ usr / share / osquery / packages / fim.conf ”

  }

  保存并退出,然后重新启动osqueryd服务。

  systemctl restart osqueryd

  注意:继续使用JSON linter“ http://jsonlint.com/ ” 检查JSON配置文件,确保没有错误。

  步骤五:测试

  我们将通过在定义的目录“home”和“www”上创建一个新文件来测试文件完整性监控包。

  转到“/var/www/”目录,创建一个名为“howtoforge.md”的新文件。

  cd /var/www/

  touch howtoforge.md

  转到'/ home / youruser /'目录并创建一个名为'hakase-labs.md'的新文件。

  cd / home / vagrant /

  touch hakase-labs.md

  使用实时交互模式osqueryi 和osquery 的结果日志检查所有日志监控。

  osqueryi

  运行下面的osqueryi命令。

  osqueryi --config-path /etc/osquery/osquery.conf

  检查'file_events'表中文件更改的所有日志。

  对于全局更改。

  select * from file_events;

  对于'home'目录。

  select target_path, category, action, atime, ctime, mtime from file_events WHERE category="home";

  对于'www' web root目录。

  select target_path, category, action, atime, ctime, mtime from file_events WHERE category="www";

  osqueryd 结果日志

  转到'/ var / log / osquery'目录,您将获得'osqueryd.results.log'文件。

  cd / var / log / osquery /

  ls -lah osqueryd.results.log

  使用'grep'命令筛选osquery日志。

  grep -rin howtoforge.md osqueryd.results.log

  grep -rin hakase-labs.md osqueryd.results.log

  你将看到所有已创建的文件信息

  使用osquery在Linux Server Ubuntu和CentOS上安装和配置文件完整性监控(FIM)已成功完成。

关键字: Linux , 完整性监控
  • IT168企业级IT168企业级
  • IT168文库IT168文库

扫一扫关注

行车视线文章推荐

首页 评论 返回顶部