So installierst du den Fleet Osquery Manager unter Ubuntu 22.04

Fleet ist ein Open-Source-Osquery-Manager, mit dem du sichere Workstations und Server verwalten und ein genaues Inventar aller deiner Geräte führen kannst. Fleet ermöglicht programmierbare Live-Abfragen, Streaming-Protokolle und Echtzeiteinsicht in Server, Container und Geräte wie Laptops und lokale Computer.

Mit einer Flotte kannst du Schwachstellen auf deinen Geräten identifizieren. Das bedeutet, dass die Flotte automatisch veraltete, gefährdete oder kompromittierte Software, Apps und Pakete identifiziert. Außerdem kann die Flotte Fehlkonfigurationen von Geräten und Probleme bei der MDM-Registrierung erkennen. Fleet kann für die IT-Branche, die Sicherheitsbranche oder für alle Geräte zur Überwachung der Einhaltung von Vorschriften nützlich sein.

Fleet ermöglicht und automatisiert außerdem Sicherheitsworkflows in einer einzigen Anwendung. Du kannst mit osquery/agent Ereignisse von mehreren Servern und Geräten sammeln und die gesammelten Daten dann an einem einzigen Ort speichern, auf den du über Fleet-Dashboards oder über ein Terminal mit fleetctl zugreifen kannst.

In diesem Tutorial wirst du den Fleet Osquery Manager auf einem Ubuntu 22.04 Server installieren. Dieser Prozess beinhaltet die Installation von MySQL- und Redis-Servern auf einem Ubuntu-System. Am Ende erfährst du auch, wie du den Host über Orbit zur Flotte hinzufügst. Orbit ist eine Osquery-Laufzeitumgebung und ein Auto-Updater, mit dem du Osquery einfach verteilen und Konfigurationen verwalten kannst.

Voraussetzungen

Um mit diesem Tutorial zu beginnen, brauchst du die folgenden Voraussetzungen:

  • Einen Server, auf dem Ubuntu 22.04 läuft – In diesem Beispiel wird ein Ubuntu-Server mit dem Hostnamen„fleet“ verwendet.
  • Einen Nicht-Root-Benutzer mit sudo/root-Administrator-Rechten.
  • Ein Domainname, der auf die IP-Adresse des Servers zeigt – In diesem Beispiel wird der Domainname„fleet.hwdomain.io“ verwendet.

Das war’s. Jetzt können wir die Installation des fleet osquery managers starten.

Installation des MySQL-Servers

In der Grundarchitektur verwendet der fleet osquery manager einen MySQL-Server als Backend-Datenbank und speichert Daten. Als Erstes musst du in diesem Leitfaden den MySQL-Server installieren, die MySQL-Installation sichern und das MySQL-Root-Passwort einrichten.

Um zu beginnen, führe den folgenden apt-Befehl aus, um den Ubuntu-Paketindex zu aktualisieren und zu aktualisieren.

sudo apt update

Installiere dann das MySQL-Serverpaket mit dem folgenden apt-Befehl. Wenn du dazu aufgefordert wirst, gib zur Bestätigung y ein und drücke ENTER, um fortzufahren.

sudo apt install mysql-server

mysql server installieren

Nachdem MySQL installiert ist, führe den folgenden systemctl-Befehl aus, um den MySQL-Server zu überprüfen und sicherzustellen, dass der Dienst aktiviert ist und läuft.

sudo systemctl is-enabled mysql
sudo systemctl status mysql

Du solltest eine Ausgabe wie diese erhalten – Der MySQL-Server ist aktiviert und wird beim Systemstart automatisch gestartet. Und der Status des MySQL-Servers ist „running“.

Mysql-Server verifizieren

Als Nächstes loggst du dich mit dem Befehl „mysql“ in die MySQL-Shell ein.

sudo mysql

Führe die folgende Abfrage aus, um das Passwort für den MySQL-Benutzer„root“ zu ändern. Achte darauf, dass du auch das folgende Passwort in der Abfrage änderst. Gib dann„exit“ ein, um dich von der MySQL-Shell abzumelden.

ALTER USER "root"@"localhost" IDENTIFIED WITH mysql_native_password BY "toor?p4ssw0rd";
exit

mysql root Passwort einrichten

Nun kannst du den MySQL-Server mit dem unten stehenden Befehl„mysql_secure_installation“ sichern.

sudo mysql_secure_installation

Wenn du nach dem MySQL-Root-Passwort gefragt wirst, gibst du das neue Passwort ein, das du eingerichtet hast. Dann wirst du nach den folgenden MySQL-Serverkonfigurationen gefragt:

  • Hast du die Komponente VALIDATE PASSWORD für MySQL eingerichtet? Gib zur Bestätigung Y ein.
  • Gib die Kennwortrichtlinie ein, die du verwenden möchtest. Wähle deine bevorzugte Richtlinie für deinen MySQL-Server aus.
  • Das MySQL-Root-Passwort ändern? Gib n für Nein ein.
  • Den anonymen Standardbenutzer von MySQL entfernen? Gib Y ein.
  • Remote-Login für MySQL-Root-Benutzer deaktivieren? Gib Y ein.
  • Standard-Datenbanktest vom MySQL-Server entfernen? Eingabe J.
  • Tabellenberechtigungen neu laden, um Änderungen zu übernehmen? Gib zur Bestätigung Y ein.

Damit ist der MySQL-Server installiert, das Root-Passwort konfiguriert und der MySQL-Server mit dem Befehl„mysql_secure_installation“ gesichert.

Installation des Redis-Servers

Standardmäßig verwendet der fleet osquery manager Redis, um die Ergebnisse verteilter Abfragen aufzunehmen und in eine Warteschlange zu stellen, Daten zu cachen usw. In diesem Schritt installierst du Redis auf deinem Ubuntu-Server.

Führe den folgenden apt-Befehl aus, um die Installation von Redis zu starten. Wenn du dazu aufgefordert wirst, gibst du zur Bestätigung y ein und drückst ENTER, um fortzufahren.

sudo apt install redis

redis installieren

Nachdem Redis installiert ist, führe den folgenden systemctl-Befehl aus, um den Redis-Dienst zu überprüfen und sicherzustellen, dass der Dienst aktiviert ist und läuft.

sudo systemctl is-enabled redis-server
sudo systemctl status redis-server

Du solltest eine Ausgabe wie diese erhalten – Die Ausgabe„enabled“ bestätigt, dass der Redis-Dienst aktiviert ist und beim Systemstart automatisch ausgeführt wird. Der Status des Redis-Dienstes ist standardmäßig “ running„.

Redis verifizieren

MySQL-Datenbank und Benutzer einrichten

Nach der Installation des MySQL-Servers und von Redis erstellst du nun eine neue Datenbank und einen Benutzer, die von fleet verwendet werden.

Melde dich in der MySQL-Shell mit dem Befehl „mysql“ an.

mysql -u root -p

Führe die folgenden Abfragen aus, um eine neue MySQL-Datenbank und einen neuen Benutzer zu erstellen. In diesem Beispiel erstellst du die Datenbank fleetdb mit dem Benutzer fleetadmin, der für die Installation des fleet osquery managers verwendet wird. Ändere auch das Passwort in der folgenden Abfrage.

CREATE DATABASE fleetdb;
CREATE USER fleetadmin@localhost IDENTIFIED BY 'S3curep4ssw0rd--=';
GRANT ALL PRIVILEGES ON fleetdb.* TO fleetadmin@localhost WITH GRANT OPTION;
FLUSH PRIVILEGES;

Datenbank erstellen

Als Nächstes führst du die folgende Abfrage aus, um die Liste der Benutzer auf dem MySQL-Server zu überprüfen. Du solltest eine Ausgabe erhalten, dass der Benutzer fleetadmin zu MySQL hinzugefügt wurde.

SELECT USER,host FROM mysql.user;

Benutzer verifizieren

Führe die folgende Abfrage aus, um die Berechtigungen für den MySQL-Benutzer fleetadmin zu überprüfen. Du solltest die Ausgabe erhalten, dass der Benutzer fleetadmin Zugriffsrechte auf die Datenbank fleetdb hat.

SHOW GRANTS FOR fleetadmin@localhost;

Privilegien überprüfen

Gib nun„quit“ ein, um dich von der MySQL-Shell abzumelden. Jetzt hast du die Konfiguration des MySQL-Servers abgeschlossen und kannst den fleet osquery manager installieren.

Herunterladen von Fleet Osquery Manager

Fleet osquery manager ist als einzelne Binärdatei erhältlich, die Folgendes enthält

  • Den Fleet TLS Webserver (es wird kein externer Webserver benötigt, aber er unterstützt einen Proxy, falls gewünscht)
  • Die Fleet-Weboberfläche
  • Die Fleet Anwendungsmanagement REST API
  • Die Endpunkte der Fleet osquery API

Fleetctl ist die Kommandozeilenschnittstelle von Fleet, mit der du den Fleet-Einsatz, die Konfigurationen, die Integration und die Berichte über die Kommandozeile verwalten kannst.

In diesem Schritt lädst du das fleet- und fleetctl-Binärpaket von der offiziellen GitHub-Seite herunter. Zum Zeitpunkt der Erstellung dieses Artikels ist die neueste Version von fleet und fleetctl v4.26.

Bevor du beginnst, erstelle mit dem unten stehenden Befehl einen neuen Systembenutzer„fleet„.

sudo useradd -r -d /opt/fleet -s /usr/sbin/nologin fleet

Lade das Binärpaket fleet und fleetctl – die Kommandozeilenschnittstelle für fleet – über den unten stehenden curl-Befehl herunter.

curl -LO https://github.com/fleetdm/fleet/releases/download/fleet-v4.26.0/fleet_v4.26.0_linux.tar.gz
curl -LO https://github.com/fleetdm/fleet/releases/download/fleet-v4.26.0/fleetctl_v4.26.0_linux.tar.gz

Setup Benutzer Download Flotte

Nach dem Download entpackst du die beiden Pakete fleet und fleetctl mit dem unten stehenden tar-Befehl.

tar xf fleet_v4.26.0_linux.tar.gz
tar xf fleetctl_v4.26.0_linux.tar.gz

Verschiebe nun die Binärdatei von„fleet“ und„fleetctl“ in das Verzeichnis„/usr/local/bin„.

cp fleet_v4.26.0_linux/fleet /usr/local/bin/
cp fleetctl_v4.26.0_linux/fleetctl /usr/local/bin/

Extraktpaket

Überprüfe die aktuelle PATH-Umgebungsvariable auf deinem System. Wenn das Verzeichnis„/usr/local/bin“ in der PATH-Umgebungsvariablen vorhanden ist, kannst du die Befehle „fleet“ und „fleetctl“ ausführen.

echo $PATH

Überprüfe den vollständigen Pfad der Befehle „fleet“ und „fleetctl“ mit dem folgenden Befehl. Beide Binärdateien sollten im Verzeichnis „/usr/local/bin“ zu finden sein.

which fleet
which fleetctl

Überprüfe die Version von„fleet“ und„fleetctl“ mit dem folgenden Befehl. In diesem Beispiel hast du fleet und fleetctl v4.26 installiert.

fleet version
fleetctl --version

fleet und fleetctl verifizieren

Führe abschließend den folgenden„fleet„-Befehl aus, um die Datenbank für deine Installation zu initialisieren. Achte darauf, dass du den Namen der Datenbank, den Benutzer und das Passwort änderst. Damit erstellst du die notwendigen Tabellen für den fleet osquery manager.

fleet prepare db --mysql_address=127.0.0.1:3306 --mysql_database=fleetdb --mysql_username=fleetadmin --mysql_password=S3curep4ssw0rd--=

Unten siehst du die Ausgabe während des Initialisierungs-/Migrationsprozesses der Flottendatenbank.

Flotte initialisieren

Wenn die Initialisierung abgeschlossen ist, solltest du eine Ausgabe wie„Migrations completed“ erhalten.

initialisiert.

Jetzt ist die Datenbank für den fleet osquery manager migriert. Im nächsten Schritt wirst du die Flottenbereitstellung konfigurieren.

Fleet Osquery Manager konfigurieren

Um fleet einsetzen zu können, musst du sicherstellen, dass du SSL/TLS-Zertifikate verifiziert hast. Vergewissere dich also, bevor du beginnst, dass du einen Domainnamen oder einen lokalen Domainnamen hast, der auf die IP-Adresse des Servers zeigt, und dass du SSL/TLS-Zertifikate generiert hast. Du kannst letsencrypt oder einen beliebigen Zertifikatsmanager in deiner lokalen Umgebung verwenden.

In diesem Beispiel werden die SSL/TLS-Zertifikate von Letsencryopt für die Installation des Fleet Osquery Managers verwendet.

Führe den folgenden Befehl aus, um neue Verzeichnisse „/etc/fleet„, „/etc/fleet/certs“, eine neue Konfigurationsdatei „/etc/fleet/fleet.yml“ und die neue Dienstdatei „/etc/systemd/system/fleet.service“ zu erstellen.

mkdir -p /etc/fleet/certs
touch /etc/fleet/fleet.yml
touch /etc/systemd/system/fleet.service

Kopiere deine SSL/TLS-Zertifikate in das Verzeichnis„/etc/fleet/certs“.

cp /etc/letsencrypt/live/fleet.hwdomain.io/fullchain.pem /etc/fleet/certs/
cp /etc/letsencrypt/live/fleet.hwdomain.io/privkey.pem /etc/fleet/certs/

Ändere den Eigentümer des Flottenkonfigurationsverzeichnisses„/etc/fleet/certs“ auf den Benutzer und die Gruppe „fleet“.

sudo chown -R fleet:fleet /etc/fleet

Als Nächstes öffnest du die Flottenkonfigurationsdatei „/etc/fleet/fleet.yml“ mit dem folgenden Editor-Befehl: nano.

nano /etc/fleet/fleet.yml

Füge die folgenden Zeilen in die Datei ein. Achte auch darauf, dass du die Datenbankdetails (dbname, Benutzer und Passwort) in den unten stehenden Zeilen änderst.

mysql:
  address: 127.0.0.1:3306
  database: fleetdb
  username: fleetadmin
  password: S3curep4ssw0rd--=
redis:
  address: 127.0.0.1:6379
server:
  cert: /etc/fleet/certs/fullchain.pem
  key: /etc/fleet/certs/privkey.pem
logging:
  json: true
# auth:
# jwt_key: 0iXLJRKhB77puDm13G6ehgkClK0kff6N

Speichere und beende die Datei „/etc/fleet/fleet.yml“, wenn du fertig bist.

Öffne nun die Fleet-Service-Datei „/etc/systemd/system/fleet.service“ mit dem unten stehenden nano-Editor-Befehl.

sudo nano /etc/systemd/system/fleet.service

Füge die folgenden Zeilen in die Datei ein. Damit startest du fleet als systemd-Dienst, mit dem du fleet ganz einfach über das Dienstprogramm systemctl verwalten kannst.

[Unit]
Description=Fleet Osquery Fleet Manager
After=network.target
[Service]
User=fleet
Group=fleet
LimitNOFILE=8192
ExecStart=/usr/local/bin/fleet serve -c /etc/fleet/fleet.yml
ExecStop=/bin/kill -15 $(ps aux | grep "fleet serve" | grep -v grep | awk '{print$2}')

[Install]
WantedBy=multi-user.target

Speichere und beende die Datei, wenn du fertig bist.

Als Nächstes führst du den folgenden systemctl-Befehl aus, um den systemd-Manager neu zu laden und die Änderungen zu übernehmen.

sudo systemctl daemon-reload

Danach starte und aktiviere den fleet-Dienst mit dem unten stehenden systemctl-Befehl. Der fleet-Dienst wird nun ausgeführt und aktiviert.

sudo systemctl start fleet
sudo systemctl enable fleet

Flotte einrichten osquery manager

Führe den folgenden systemctl-Befehl aus, um den fleet-Dienst zu überprüfen.

sudo systemctl status fleet

Die Ausgabe „active (running)“ bestätigt, dass der Flottendienst läuft, und die Ausgabe „…; enabled;...“ bestätigt, dass der Flottendienst beim Systemstart automatisch gestartet wird. Außerdem kannst du den Startbefehl von fleet sehen, der mit der Konfigurationsdatei‚/etc/fleet/fleet.yml‚ ausgeführt wird.

Flotte überprüfen

UFW-Firewall konfigurieren

In diesem Schritt richtest du die UFW-Firewall unter Ubuntu ein und lässt sie laufen. Du öffnest den Port des OpenSSH-Dienstes und den TCP-Port 8080, der vom fleet osquery manager verwendet wird, und startest und aktivierst die UFW.

Führe den folgenden ufw-Befehl aus, um den OpenSSH-Dienst und den TCP-Port 8080 zur UFW hinzuzufügen. Die Ausgabe „Rules update“ bestätigt, dass die neue Konfiguration zur UFW hinzugefügt wurde.

sudo ufw allow OpenSSH
sudo ufw allow 8080/tcp

Als Nächstes führst du den folgenden Befehl aus, um die UFW-Firewall zu starten und zu aktivieren. Wenn du dazu aufgefordert wirst, gib y ein und drücke ENTER, um fortzufahren. Damit sollte die UFW-Firewall laufen und aktiviert sein.

sudo ufw enable

Ausgabe:

ufw-Einrichtung

Überprüfe den Status der UFW-Firewall mit dem folgenden Befehl. Du solltest eine Ausgabe wie „Status: aktiv“ sehen, die bestätigt, dass die UFW läuft und aktiviert ist. Außerdem siehst du, dass der OpenSSH-Dienst Port 8080/tcp verfügbar und zur UFW-Firewall hinzugefügt ist.

sudo ufw status

Ausgabe:

ufw verifizieren

Konfiguration des Fleet Osquery Managers

In diesem Schritt richtest du den Einsatz des Fleet Osquery Managers ein. Du richtest den ersten Benutzer ein und konfigurierst den Einsatz über den Webbrowser.

Öffne deinen Webbrowser und rufe die Domäne deiner fleet osquery manager-Installation mit dem TCP-Port 8080 auf (d.h.: https://fleet.hwdomain.io:8080/).

Im ersten Schritt wirst du aufgefordert, den ersten Benutzer für deinen Flotteneinsatz einzurichten. Gib deinen vollständigen Namen, deine E-Mail-Adresse und dein Passwort ein und klicke dann auf Weiter.

Benutzerflotte erstellen

Gib die Details zur Organisation ein und klicke erneut auf Weiter.

Name der Organisation

Für die Flotten-URL kannst du den Standardwert beibehalten und auf Weiter klicken.

Standard-URL einrichten

Überprüfe noch einmal deine Flottenkonfigurationen und klicke auf Bestätigen, um die Bereitstellung abzuschließen.

Konfigurationen bestätigen

Wenn die Installation erfolgreich war, solltest du das Dashboard für die Flottenverwaltung erhalten.

Dashboard-Flotte

Jetzt ist die Installation des fleet osquery managers abgeschlossen. Nun kannst du neue Hosts auf verschiedene Arten zur Flotte hinzufügen, z. B. mit Orbit (osquery runtime), fleet Desktop für Hosts mit Desktop-Umgebung (einschließlich Windows und macOS) oder manuell, indem du das fleet secret und das TLS-Zertifikat erstellst.

Hinzufügen von Hosts über Orbit Osquery Runtime

Orbit ist eine Osquery-Laufzeitumgebung und ein Auto-Updater, mit dem du Osquery einfach einsetzen und Konfigurationen verwalten kannst. Orbit ist ein Agent für Fleet, er kann mit oder ohne Fleet verwendet werden, und Fleet kann mit oder ohne Orbit verwendet werden.

In diesem Schritt lernst du, wie du den Orbit-Paketinstaller für Debian-basierte Distributionen erstellst. Anschließend erfährst du, wie du einen neuen Host über Orbit zu Fleet hinzufügst.

Um zu beginnen, gehe zurück zum Flotten-Dashboard und klicke auf„Hosts hinzufügen„.

Gastgeber hinzufügen

Wähle die Registerkarte„Erweitert„, lade das Fleet-Zertifikat„fleet.pem“ herunter und kopiere dann den Befehl, mit dem du ein Orbit-Paket für bestimmte Distributionen erstellen kannst. Du kannst einen Orbit-Installer für RPM, DEB und pkg (für macOS) erstellen.

Gastgeber hinzufügen

Als Nächstes lädst du das heruntergeladene Fleet-Zertifikat auf den Fleet-Server hoch. In diesem Beispiel verwendest du„scp„, um die Datei „fleet.pem“ auf den fleet-Server hochzuladen.

scp fleet.pem root@192.168.5.45:/opt/

Nachdem das fleet.pem-Zertifikat hochgeladen wurde, führst du die Befehlszeile aus, mit der das Orbit-Installationspaket erstellt wird. Achte darauf, dass du den Parameter „–type“ in dein bevorzugtes Paket änderst.

In diesem Beispiel wirst du ein Orbit-Paket für eine Debian-basierte Distribution erstellen. Für RPM-basierte Distributionen kannst du den Parameter„–type“ in„rpm“ ändern, während das Paket„pkg“ für die Erstellung eines Orbit-Installers für macOS verwendet werden kann.

fleetctl package --type=deb --fleet-url=https://fleet.hwdomain.io:8080 \
--enroll-secret=TSSnHvy350wlo1HmIeLcxRS3DrQO+Vah \
--fleet-certificate=/opt/fleet.pem

Ausgabe:

Orbit-Installer erzeugen

Sobald der Prozess abgeschlossen ist, siehst du die Datei „fleet-osquery_version.deb“ in deinem aktuellen Arbeitsverzeichnis.

Als Nächstes installierst du das erzeugte Orbit-Paket mit dem unten stehenden dpkg-Befehl. Nach der Installation erstellt das orbit-Paket eine neue Dienstdatei„orbit.service„, mit der du orbit über systemctl verwalten kannst.

sudo dpkg -i fleet-osquery_version.deb

Ausgabe:

Flotte installieren osquery

Nachdem Orbit installiert wurde, führe den folgenden systemctl-Befehl aus, um den Orbit-Dienst zu starten. Überprüfe dann den Status, um sicherzustellen, dass der Orbit-Dienst läuft.

sudo systemctl start orbit
sudo systemctl status orbit

Du solltest eine Ausgabe wie diese erhalten – Der Orbit-Dienst ist„aktiv (läuft)“ und wird beim Systemstart automatisch ausgeführt.

Orbit-Status

Nun kehrst du zum Flotten-Dashboard zurück und solltest sehen, dass der neue Host„fleet.hwdomain.io“ zum Flotten-Osquery-Manager hinzugefügt wurde.

Gastgeber auflisten

Klicke auf den Hostnamen‚fleet.hwdomain.io‚, um detaillierte Informationen über den Host zu erhalten.

Details Gastgeber

Damit hast du dem fleet osquery manager über die Orbit osquery runtime einen Host hinzugefügt. Außerdem hast du einen Installer von Orbit für Debian-basierte Distributionen erstellt.

Einrichten von Fleetctl zur Verwaltung von Fleet

Fleetctl oder Fleet control ist eine Kommandozeile, mit der du den Fleet-Einsatz über das Terminal verwalten kannst. Mit Fleetctl kannst du Konfigurationen und Abfragen verwalten, einen osquery-Installer erstellen und den GitOps-Workflow mit fleet aktivieren.

In diesem Schritt richtest du fleetctl ein und verbindest dich mit dem von dir installierten fleet osquery Manager.

Führe zunächst den folgenden Befehl aus, um die Standard-URL für fleet einzurichten. Ändere den Domainnamen und stelle sicher, dass du eine sichere HTTPS-Verbindung verwendest. Damit richtest du die Flottenverbindung im„Standard„-Kontext/Profil ein.

fleetctl config set --address https://fleet.hwdomain.io:8080

Melde dich mit dem unten stehenden Befehl bei deinem Flottenmanager an. Achte darauf, dass du die E-Mail-Adresse in dem unten stehenden Befehl änderst.

fleetctl login --email alice@hwdomain.io

Gib nun das Passwort ein, mit dem du dich im Fleet Dashboard anmeldest. Nach erfolgreicher Anmeldung solltest du eine Ausgabe wie„Fleet login successful and context configured!“ erhalten.

mit der Flotte verbinden fleetctl

Nachdem du dich bei fleet angemeldet hast, führe den folgenden fleetctl-Befehl aus, um deine Konfigurationen zu überprüfen.

Überprüfe die Liste der verfügbaren Hosts in der Flotte.

fleetctl get hosts

Ausgabe – Du solltest sehen, dass der Host ‚fleet.hwdomain.io‚ mit der osquery v5.7.0 in fleet verfügbar ist.

Gastgeber auflisten

Überprüfe die Liste der verfügbaren Benutzer in der Flotte.

fleetctl get ur

Ausgabe – Du solltest den Fleet-Benutzer sehen, den du erstellt hast.

Benutzer auflisten

Damit hast du fleetctl konfiguriert und dich mit deinem Fleet Deployment verbunden. Jetzt kannst du von deinem Terminalserver aus Hosts und Abfragen einrichten, Updates verwalten und Live-Abfragen durchführen.

Fazit

In diesem Lernprogramm hast du den Fleet Osquery Manager auf einem Ubuntu 220.04 Server installiert. Du hast Fleet mit MySQL als Datenbank-Backend und Redis für das Ingesting von Queue- und Cache-Daten installiert. Außerdem hast du Fleet mit SSL/TLS-Zertifikaten gesichert und Fleet als systemd-Dienst laufen lassen, so dass du Fleet mit dem systemctl-Befehlsdienst einfach verwalten kannst.

Schließlich hast du Fleet über Orbit (osquery runtime) einen Host hinzugefügt und einen Paketinstaller für Debian-basierte Distributionen erstellt. Außerdem hast du fleetctl konfiguriert und dich bei Fleet angemeldet, damit du Hosts von deinem Terminalserver aus verwalten und konfigurieren kannst.

Jetzt kannst du neue Hosts über Orbit oder manuell über den einfachen osqueryd-Dienst zu Fleet osquery manage hinzufügen. Außerdem kannst du neue Abfragen für die Überwachung deiner Hosts definieren, eine Schwachstellenverarbeitung einrichten, mit der du CVEs über Fleet erkennen kannst, und vieles mehr. Mehr über Fleet erfährst du in der offiziellen Dokumentation von Fleet.

Das könnte dich auch interessieren …