OsQuery: Alat pemeriksaan sistem sumber terbuka Facebook menggunakan SQL

sorotan utama:

• Osquery Facebook memanfaatkan pertanyaan SQL untuk memeriksa keadaan sistem OS X dan Linux. Alat sumber terbuka ini berjalan di CentOS, Ubuntu, dan OS X.
• OsQuery membentangkan data sistem dalam format pangkalan data relasi, memudahkan penyelesaian masalah seperti konflik pelabuhan atau program yang tidak responsif.
• Ia menawarkan osqueryi (konsol interaktif) untuk pertanyaan ad-hoc dan osqueryd (daemon) untuk pengagregatan data yang dijadualkan merentasi pelbagai mesin. Penciptaan jadual tersuai juga disokong.
• Konfigurasi vagrant memudahkan bangunan dan menguji pakej OsQuery. Pemasangan melibatkan bangunan pakej manual dan pemasangan tempatan. Sebaik sahaja dipasang, ia menyediakan akses kepada maklumat sistem seperti proses berjalan, modul kernel, sambungan rangkaian, plugin penyemak imbas, butiran perkakasan, dan hash fail.

Pada mulanya, konsep menggunakan SQL untuk menanyakan sistem operasi mungkin kelihatan tidak konvensional. Walau bagaimanapun, utiliti Osquery dengan cepat menjadi jelas. Penjelasan ini memperincikan manfaat, pemasangan, dan memberikan contoh contoh menggunakan kotak vagrant pra-konfigurasi (berguna untuk mereka yang tidak langsung OS X atau Linux Access).

Fungsi:

OsQuery mensimulasikan pangkalan data relasi, menawarkan "jadual" (bukan jadual pangkalan data tradisional) yang mendedahkan data OS dalam format SQL yang boleh dipersoalkan. Ini membolehkan pertanyaan kompleks termasuk bergabung. Ini memudahkan tugas seperti mengenal pasti konflik pelabuhan yang disebabkan oleh aplikasi yang tidak berfungsi, menggantikan carian senarai proses manual. Keserasian rentas platform Osquery memanjangkan penggunaannya kepada pelayan pengeluaran, persekitaran pembangunan, dan pelbagai mesin lain. Sifat sumber terbuka dan dokumentasi yang sedia ada menjadikannya mudah diakses. Projek ini secara aktif menambah jadual baru, menangani jurang yang berpotensi dalam data yang ada.

Pemasangan dan Penggunaan:

OsQuery menyediakan konfigurasi vagrant untuk membina pakej. Proses pemasangan menyimpang dari pemasangan Pengurus Pakej Standard (seperti apt-get install) kerana ketiadaannya dari repositori rasmi. Langkah -langkah melibatkan bangunan pakej manual dan pemasangan tempatan. Mari kita gambarkan dengan contoh Ubuntu 14.04:

1. klon dan mulakan kotak vagrant: Pastikan git, vagrant, dan virtualbox dipasang. Kemudian:

   git clone https://github.com/facebook/osquery
   cd osquery
   vagrant up ubuntu14

2. Bina dalam persekitaran maya: ssh ke dalam VM (), maka: vagrant ssh ubuntu14

   sudo su
   cd /vagrant
   ./tools/provision.sh
   make
   make package

   (Nota: Pengguna Windows mungkin menghadapi kesilapan Symlink; berjalan semula

   mungkin menyelesaikannya.) Pakej yang dihasilkan (provision.sh) akan berada di osquery-0.0.1-trusty.amd64.deb. /vagrant/build/linux/

3. Pemasangan:

   Gunakan :

   git clone https://github.com/facebook/osquery
   cd osquery
   vagrant up ubuntu14

   fail .deb ini kemudiannya boleh disalin dan dipasang pada mesin Ubuntu 14.04 yang lain. Proses ini menyesuaikan diri dengan sistem operasi yang disokong lain.

4. Menggunakan OsQuery: Akses konsol interaktif (). Contoh pertanyaan: osqueryi

   Senaraikan semua pengguna:
   • SELECT * FROM users;
   Kenal pasti proses dengan binari yang hilang (penunjuk malware yang berpotensi):
   • SELECT name, path, pid FROM processes WHERE on_disk = 0;
   tunjukkan pengguna dan kumpulan mereka:
   • SELECT u.uid, u.gid, u.username, g.name, u.description FROM users u LEFT JOIN groups g ON (u.gid = g.gid);
   Cari Kumpulan Kosong:
   • SELECT groups.gid, groups.name FROM groups LEFT JOIN users ON (groups.gid = users.gid) WHERE users.uid IS NULL;

Kesimpulan:

OsQuery adalah alat sumber terbuka yang berharga dari Facebook, menawarkan pendekatan berasaskan SQL yang unik untuk pemeriksaan sistem. Aplikasi pemantauan sistem span, analisis keselamatan, dan pelbagai tugas lain, menjadikannya aset yang kuat untuk pentadbir sistem dan profesional keselamatan.

(Nota: URL imej adalah ruang letak dan perlu digantikan dengan URL imej sebenar jika imej dimasukkan.)

Atas ialah kandungan terperinci OsQuery: Terokai OS anda dengan SQL. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!