osquery+kolide fleet安裝

原創 wj193165zl 2019-08-06 00:13

 osquery是用於記錄本機的一些系統信息,如passwd文件的改變,用戶的增加等,有了它,我們可以在系統發生改變後,能夠及時查詢出來。

curl -L https://pkg.osquery.io/rpm/GPG | tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osquery
yum-config-manager --add-repo https://pkg.osquery.io/rpm/osquery-s3-rpm.repo
yum-config-manager --enable osquery-s3-rpm
yum install osquery -y
cp /usr/share/osquery/osquery.example.conf /etc/osquery/osquery.conf

osquery有兩種運行模式:

一種是交互式運行:osqueryi

還有一種是後臺進程模式:osqueryd

osquery存儲日誌的文件路徑:/var/log/osquery/

osqueryd.INFO:保存了主機差異變化信息

osqueryd.results.log

osqueryd.snapshots.log:每次查詢的結果記錄

osquery的配置文件基礎解析:osquery配置文件分爲三打段

options:osquery daemon的一些配置,日誌產生路徑,線程數等。

schedule:設置定時任務

packs:osquery的規則配置

osquery默認有些規則,但是有時候也需要新增規則,下面是一個實用規則的地址,可以參考:

https://github.com/grayddq/HIDS

這個git倉庫中,有個secrety.conf文件,該文件是系統主機的監控文件,可以放在/etc/osquery目錄下,

修改osquery.conf文件,在packs下增加一行:

"secrity": "/etc/osquery/secrity.conf"

然後重啓osquery服務:systemctl restart osqueryd

kolide fleet安裝

首先安裝mysql:

wget https://repo.mysql.com/mysql80-community-release-el7-3.noarch.rpm
rpm -ivh mysql80-community-release-el7-3.noarch.rpm
yum update
yum install -y mysql-community-server.x86_64 mysql-community-client.x86_64 -y
cat /var/log/mysqld.log    //讀取mysql的初始化密碼
mysql -uroot -pinit_password
//修改root密碼
mysql > alter user "root"@"localhost" identified by "Root123...";   
mysql > flush privileges;
mysql > create database kolide;
mysql > exit

安裝redis

注:此處安裝只爲了測試,爲了安全,切勿在生成環境如此安裝
wget http://download.redis.io/redis-stable.tar.gz
yum install -y gcc g++
tar -zxvf redis-stable.tar.gz && cd redis-stable
make && make install
cp redis.conf /etc/redis.conf
sed -i 's/daemonize no/daemonize yes/' /etc/redis.conf
redis-server /etc/redis.conf

安裝fleet

從github上下載fleet.zip文件,

下載地址爲:https://github.com/kolide/fleet/releases

下載fleet.zip後,解壓:unzip fleet.zip

cp fleet/linux/fleet /usr/bin/fleet

cp fleet/linux/fleetctl /usr/bin/fleetctl

連接數據庫:

/usr/bin/fleet prepare db --mysql_address=127.0.0.1:3306 --mysql_database=kolide --mysql_username=root --mysql_password=password

接下來配置證書
openssl genrsa -out /etc/pki/tls/private/server.key 4096
openssl req -new -key /etc/pki/tls/private/server.key -out /etc/pki/tls/certs/server.csr
openssl x509 -req -days 3650 -in /etc/pki/tls/certs/server.csr -signkey /etc/pki/tls/private/server.key -out /etc/pki/tls/certs/server.cert
創建日誌目錄:
mkdir /var/log/kolide

啓動服務
/usr/bin/fleet serve \
    --mysql_address=127.0.0.1:3306 \
    --mysql_database=kolide \
    --mysql_username=root \
    --mysql_password=password \
    --redis_address=127.0.0.1:6379 \
    --server_cert=/etc/pki/tls/certs/server.cert \
    --server_key=/etc/pki/tls/private/server.key \
    --logging_json \
    --osquery_result_log_file=/var/log/kolide/osquery_result \
    --osquery_status_log_file=/var/log/kolide/osquery_status

在第一次執行上面的命令後,會讓我們使用參數--auth_jwt_key進行認證,並給出一串key,
然後再上面的命令最後,加上這個參數,並附上key

/usr/bin/fleet serve \
    --mysql_address=127.0.0.1:3306 \
    --mysql_database=kolide \
    --mysql_username=root \
    --mysql_password=password \
    --redis_address=127.0.0.1:6379 \
    --server_cert=/etc/pki/tls/certs/server.cert \
    --server_key=/etc/pki/tls/private/server.key \
    --logging_json \
    --osquery_result_log_file=/var/log/kolide/osquery_result \
    --osquery_status_log_file=/var/log/kolide/osquery_status \
    --auth_jwt_key=your_key

在啓動後,查看8080端口是否起來

然後通過https://IP:8080登陸,注意,這裏必須使用https進行登陸

登陸了fleet後,進行密碼初始化,初始化完成後,開始添加主機:

點擊右上角的add new host出現如下圖的界面:

複製下面的enroll secret

在主機上執行:echo 'your enroll secret' > /var/osquery/enroll_secret

接下來,點擊fetch fleet certificate,下載證書:

下載後,執行:mv yourCertificate.pem /var/osquery/server.pem

然後再重新執行osqueryd

/usr/bin/osqueryd \
    --enroll_secret_path=/var/osquery/enroll_secret \
    --tls_server_certs=/var/osquery/server.pem \
    --tls_hostname=YourServerIP:8080 \
    --host_identifier=hostname \
    --enroll_tls_endpoint=/api/v1/osquery/enroll \
    --config_plugin=tls \
    --config_tls_endpoint=/api/v1/osquery/config \
    --config_tls_refresh=10 \
    --disable_distributed=false \
    --distributed_plugin=tls \
    --distributed_interval=3 \
    --distributed_tls_max_attempts=3 \
    --distributed_tls_read_endpoint=/api/v1/osquery/distributed/read \
    --distributed_tls_write_endpoint=/api/v1/osquery/distributed/write \
    --logger_plugin=tls \
    --logger_tls_endpoint=/api/v1/osquery/log \
    --logger_tls_period=10

執行完後,刷新頁面,可以看到有主機添加,

上面就是osquery+kolide fleet的安裝

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

(原創) odoo各版本對視圖中節點groups屬性的處理差別

1.14版(含14)視圖節點groups屬性的處理結果表現在可見性上(invisible),如果當前用戶不在指定的角色中,則設置可見性標記invisible爲"1"         2.16版(含16)以後對視圖節點groups屬性的處理

yier 2024-06-08 14:35:45

lightdb hash index的性能和限制

  除了btree外,lightdb是支持hash index的,但是總體來說支持的特性範圍均不如btree索引,比如parallel沒有btree索引智能,不支持=之外的操作,不支持bitmap index scan,不支持哈希唯一索引(

zhjh256 2024-06-08 14:32:04

pathlib and difflib

pathlib.Path("a.crt").write_text(a[0]) p.chmod(0o444) Path.cwd() p.write_bytes(b'Binary file contents') p.read_bytes()

root- 2024-06-08 14:31:34

利用WinSW將Nginx 作爲可正常啓動/停止的windows服務

下載winsw程序,Releases · winsw/winsw (github.com) 將下載的exe文件放置到nginx.exe的同級目錄,名字可以修改爲nginx-service.exe(也可不修改) 新建txt文本文檔,並將其名

漫漫人生路總會錯幾步 2024-06-08 14:30:54

純CSS+單個div實現抖音LOGO

純CSS+單個div就能繪製抖音LOGO 關鍵點: 主要藉助了兩個僞元素實現了整體結構,藉助了 drop-shadow 生成一層整體陰影 drop-shadow 只能是單層陰影,所以另一層陰影需要多嘗試 contrast(150%) br

劉漢貴 2024-06-08 14:30:14

告別Word,用Python打造你的專業簡歷!

今天給大家介紹下一個在純 python 中構建簡歷的實用工具,工具的連接地址https://github.com/koek67/resume-builder/blob/main/readme.md 用法介紹 要求 Python 3.7 或更

十月狐狸 2024-06-08 14:24:54

一款.NET開源、免費、實用的多功能原神工具箱(改善桌面端玩家的遊戲體驗)

前言 今天大姚給大家分享一款.NET開源(MIT License)、免費、實用的多功能原神工具箱,旨在改善桌面端玩家的遊戲體驗:胡桃工具箱。 工具箱介紹 胡桃工具箱是一款.NET開源(MIT License)、免費、實用的多功能原神工具箱

追逐時光 2024-06-08 14:24:33

輻射3刷藥

去megaton裏面的屍鬼.那裏買藥, 把破爛賣給他. 然後傳送到其他地圖, 再傳送回來, 他就又有錢和新藥了.繼續賣破爛, 買藥.刷幾次就夠了.

張博的博客 2024-06-08 14:22:03

重新研究go的併發模型.

go裏面可以實現很多併發模型的優雅解決方案. 總結起來. package main import ( "fmt" "time" ) var bufChan chan int = make(chan int, 1000) var

張博的博客 2024-06-08 14:22:03

Python 潮流週刊#54:ChatTTS 強大的文本生成語音模型

本週刊由 Python貓 出品,精心篩選國內外的 250+ 信息源,爲你挑選最值得分享的文章、教程、開源項目、軟件工具、播客和視頻、熱門話題等內容。願景:幫助所有讀者精進 Python 技術,並增長職業和副業的收入。 本期週刊分享了 12

豌豆花下貓 2024-06-08 14:21:23

kafka知識整理——部署

一、部署 (1)zk配置 修改zk配置文件config/zookeeper.properties,修改dataDir或端口 dataDir=/home/kafka/kafka3.7/data/zookeeper clientPort=218

鄭某 2024-06-08 14:16:43

Asp .Net Core 系列:詳解鑑權(身份驗證)以及實現 Cookie、JWT、自定義三種鑑權 (含源碼解析)

什麼是鑑權(身份驗證)? https://learn.microsoft.com/zh-cn/aspnet/core/security/authentication/?view=aspnetcore-8.0 定義 鑑權,又稱身份驗證,是

IT技術派 2024-06-08 14:15:33

cdn到oss,根據用戶終端是手機和電腦等不同分別訪問兩套前端代碼

    使用規則引擎 其中一個配置了很多瀏覽器,另外一個配置匹配所有 ,這樣就能正常訪問。如果這兩個網站,有一個沒有使用規則引擎,那麼就會兩個網站都匹配上,然後第四條規則目標path和第一條的會拼接起來作爲oss的key,肯定不存在,所以

馬昌偉 2024-06-08 14:14:22

Codeforces Round 950 (Div. 3)G. Yasya and the Mysterious Tree(字典樹處理區間異或值)

Problem - G - Codeforces 存個字典樹板子。 1 #include <bits/stdc++.h> 2 3 using i64 = long long; 4 5 constexpr int N

SnowLove 2024-06-08 14:10:12

Codeforces Round 949 (Div. 2)D. Turtle and Multiplication(歐拉路徑、線性篩、思維構造)

Problem - D - Codeforces    思路 補充官方正解,主要解釋一下爲什麼可以轉化爲求完全圖的歐拉路徑。題目要求構造的數的種數最少,相當於對於當前的m來說要儘可能構造出最長的序列長度,所以一定儘量要是完全圖。其次要求不

SnowLove 2024-06-08 14:10:12