针对Linux 文件完整性监控的实现

 

摘要

 

计算机和互联网是20世纪以来最伟大的发明之一，随着计算机技术的不断发展，人们的生活方式发生了巨大的变化。计算机和互联网的发展给人们的生产生活带来了极大的便利，但同时也存在一定的安全隐患。在人们借助互联网展开一系列活动的时候，个人信息和交易信息就会在网络中储存并传输。网络安全方面还存在一定的隐患，当前各种病毒层出不穷，黑客袭击事件也十分常见，如何去保护网络信息安全是当前全人类共同关注的重点问题。本文从网络安全的角度出发来Linux系统信息安全进行分析。osquery是一个安全开源工具，它采用操作系统并将其转换为一个巨大的数据库，使用可以使用类似SQL的语句进行查询的表。通过这些查询，可以监控文件完整性，检查防火墙的状态和配置，执行目标服务器的安全审核等。它是一个跨平台的应用程序，支持最新版本的macOS，Windows 10，CentOS和Ubuntu。它被官方描述为“基于SQL的操作系统仪器，监控和分析”框架，起源于Facebook。本设计将会利用osquery 去实时的监控linux 系统，对系统做出保护，可以快速的响应非法分子对系统的破坏。

 

关键词：osquery 文件监控 日志分析 信息安全

 

 

 

 

 

 

 

 

 

 

 

 

目录

 

第一章 绪论. 1

1.1 Linux文件完整性的重要性. 1

1.2 项目概况. 1

1.3 Osquery 背景. 2

第二章 安装使用osquery 监控系统. 3

2.1 安装osquery 3

2.2 配置与管理osquery 5

2.3 测试监控文件. 30

第三章 利用ELK搭建日志分析系统. 32

3.1 ELK简介. 33

3.2 ELK的环境准备. 33

3.3 利用ELK分析Osquery 日志数据. 37

第四章 总结与展望. 39

致谢. 40

参考文献. 41

 

 

 

 

 

 

 

 

 

 

 

 

 

 

第一章 绪论

 

1. 1 Linux文件完整性的重要性

Linux 支持的文件系统种类繁多，他们为用户的数据存储和管理提供了良好的操作和使用界面。在文件系统中，存在着文件 / 目录访问权限管理和控制. 加密文件系统等的安全机制和问题需要考虑，本设计将详细介绍保证 Linux 文件系统安全的技术和方法。在黑客攻击服务器中会对服务器的文件进行修改或者删除，只有掌握了对文件完整性的实时监控，才可以的有效的防御黑客的攻击，和应急响应的速度。

 

1. 2 项目概况

当前形势是特别发达的信息化时代，为了防止信息的泄露和系统遭受攻击，可以用最快的速度响应系统出现的问题，所以本设计将要使用osquery监控系统和ELK日志分析系统，搭建一个可以实时的文件监控系统监控的属性变化主要包括：权限. 属主. 属组. 文件大小. 创建时间. 最后修改时间. 最后访问时间。

在本设计将会涉及到：

?    安装osquery。

?    配置操作系统的各个方面，如Rsyslog，osquery需要正常运行。

?    设置可通过两种使用的配置文件osqueryi和osqueryd。

?    使用osquery 包，它是可以添加到计划中的预定义查询组。

?    使用特殊查询osqueryi来查找安全问题。

?    启动守护程序，以便它可以自动运行查询。

?    日志转发。

1. 3 Osquery 背景

osquery是Windows，OS X如图macOS，Linux和FreeBSD的操作系统检测框架。这些工具使低级操作系统分析和监控既高效又直观。

osquery将操作系统公开为高性能关系数据库。这允许编写SQL查询以探索操作系统数据。使用osquery，SQL表表示抽象概念，例如运行进程，加载的内核模块，开放网络连接，浏览器插件，硬件事件或文件哈希。

osquery，可以访问以下组件：

osqueryi：交互式osquery shell，用于执行即席查询。

osqueryd：用于在后台调度和运行查询的守护程序。

osqueryctl：用于测试osquery的部署或配置的帮助程序脚本。它也可以用来代替操作系统的服务管理器来启动/停止/重启osqueryd。

osqueryi与osqueryd都是独立的工具。他之间并没有联系，你可以使用一个而不用另一个。运行每个标志和选项所需的大多数标志和选项都是相同的，可以使用osqueryd的配置文件启动osqueryi，这样就可以在不使用大量命令行开关的情况下自定义环境。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

第二章 安装使用osquery 监控系统

2. 1 安装osquery

在centos7 上安装osquery

1. 将osquery密钥添加到系统。

curl -L https://pkg. osquery. io/rpm/GPG | sudo tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osquery如图2-1所示。

 

图2-1 添加秘钥到系统

1. 添加并启用osquery存储库，然后安装该软件包

yum-config-manager --add-repo https://pkg. osquery. io/rpm/osquery-s3-rpm. repo如图2-2所示。

 

图2-2 添加并启用osquery存储库

1. 安装osquery-s3  Sudo yum-config-manager --enable osquery-s3-rpm如图2-3所示。

 

图2-3 安装osquery-s3

1. 使用yum 安装 osquery Sudo yum install osquery如图2-4所示。

 

 

图2-4 安装osquery

5. 安装后的osquery并不是可以立即使用的; 它不是一个即开即用的应用程序。无论是使用交互式shell还是守护进程，都必须从命令行或通过配置文件传递一些标志和选项。要查看守护程序可用的标志和选项。

6. 运行osqueryi是列出和查询打开后的osquery表的最简单方法。例如，使用以下命令启动它：osqueryi –verbose 如图2-5所示。

 

图2-5 启动osqueryi

7. 其他查询，如select time, severity, message from syslog;将返回如下消息，这说明还有好多配置没有完成。如图2-6所示。

 

图2-6 time查询