使用osquery实现文件完整性监控(FIM)的完整指南

使用osquery实现文件完整性监控(FIM)的完整指南

osquery 项目地址: https://gitcode.com/gh_mirrors/osq/osquery

前言

文件完整性监控(File Integrity Monitoring, FIM)是信息安全领域的重要实践，它通过持续监控关键系统文件和目录的变化，帮助安全团队及时发现潜在的恶意活动或配置变更。本文将详细介绍如何使用osquery这一强大的端点监控工具实现跨平台的文件完整性监控解决方案。

osquery FIM基础概念

osquery提供了多种文件监控机制，针对不同操作系统采用最优的实现方式：

• Linux系统：使用inotify子系统(file_events表)或Audit子系统(process_file_events表)
• Windows系统：利用NTFS日志功能(ntfs_journal_events表)
• macOS系统：基于FSEvents实现(file_events表)

启用FIM功能

FIM功能在osquery中默认是禁用的，需要以下配置步骤：

1. 确保事件系统已启用：--disable_events=false
2. 根据平台启用对应的FIM表：
   • --enable_file_events=true (Linux/macOS的file_events)
   • --disable_audit=false (Linux的process_file_events)
   • --enable_ntfs_event_publisher=true (Windows的ntfs_journal_events)

文件路径匹配规则

osquery使用类似fnmatch的通配符模式来指定监控路径，支持以下匹配模式：

• %：匹配单层目录下的所有文件和文件夹
• %%：递归匹配所有子目录和文件
• %abc：匹配单层目录下以"abc"结尾的项目
• abc%：匹配单层目录下以"abc"开头的项目

匹配示例解析

• /Users/%/Library：监控每个用户的Library文件夹本身（不包含内容）
• /Users/%/Library/：监控Library文件夹内的直接内容（不递归）
• /Users/%/Library/%%：递归监控Library文件夹及其所有子内容
• /bin/%sh：监控bin目录下以"sh"结尾的文件

重要注意事项：

1. 不支持路径中间递归匹配，如/Users/%%/Configuration.conf无效
2. 监控目录而非单个文件可避免文件替换导致的监控失效
3. 使用绝对路径而非~等简写形式

完整FIM配置示例

{
  "schedule": {
    "file_events": {
      "query": "SELECT * FROM file_events;",
      "removed": false,
      "interval": 300
    }
  },
  "file_paths": {
    "sensitive_dirs": [
      "/etc/%%",
      "/root/.ssh/%%",
      "/home/%/.ssh/%%"
    ],
    "system_binaries": [
      "/bin/%",
      "/sbin/%",
      "/usr/bin/%",
      "/usr/sbin/%"
    ]
  },
  "exclude_paths": {
    "sensitive_dirs": [
      "/home/developer/.ssh/%%"
    ]
  }
}

配置解析

1. schedule：定义定期执行的查询，每5分钟收集一次文件事件
2. file_paths：定义监控路径类别和具体路径模式
3. exclude_paths：定义需要排除的路径（必须与file_paths中的类别对应）

高级配置技巧

动态路径监控

可以使用SQL查询动态确定监控路径：

{
  "file_paths_query": {
    "user_configs": [
      "SELECT DISTINCT '/home/' || username || '/.gitconfig' as path FROM users WHERE username != '';"
    ]
  }
}

文件访问监控（仅Linux）

除常规FIM外，还可监控文件访问事件：

{
  "file_accesses": ["sensitive_dirs"]
}

注意：为避免性能问题，访问监控需要显式启用特定类别。

事件输出示例

文件变更事件会包含丰富的上下文信息：

{
  "action": "ATTRIBUTES_MODIFIED",
  "category": "sensitive_dirs",
  "md5": "bf3c734e1e161d739d5bf436572c32bf",
  "sha1": "9773cf934440b7f121344c253a25ae6eac3e3182",
  "sha256": "d0d3bf53d6ae228122136f11414baabcdc3d52a7db9736dd256ad81229c8bfac",
  "target_path": "/root/.ssh/authorized_keys",
  "time": "1629208712",
  "transaction_id": "0"
}

Linux系统调优

使用inotify时可能需要调整系统参数：

# 增加单个用户最大监控文件数
fs.inotify.max_user_watches = 524288

# 增加inotify实例数限制
fs.inotify.max_user_instances = 256

# 增加事件队列大小
fs.inotify.max_queued_events = 32768

常见问题排查

1. 权限问题：确保以root/Administrator身份运行osquery
2. 安全模块冲突：
   • CentOS：检查SELinux设置
   • Debian：检查AppArmor配置
   • macOS：授予Full Disk Access权限
3. auditd冲突：Linux Audit子系统不能与auditd共享
4. 使用--verbose标志：获取详细调试信息

已知限制

1. 某些平台需要监控路径已存在才能开始监控
2. inotify在文件删除后会停止监控该路径
3. 移动目录到监控目录时可能不会立即监控新内容
4. 大量子目录可能导致inotify句柄耗尽

最佳实践建议

1. 优先监控目录而非单个文件
2. 对高变动频率路径设置排除规则
3. 定期审查FIM配置和事件日志
4. 在生产环境部署前进行充分测试
5. 结合其他osquery表（如进程监控）进行关联分析

通过合理配置osquery的FIM功能，您可以构建一个强大的跨平台文件监控系统，为您的安全运维提供有力支持。

osquery 项目地址: https://gitcode.com/gh_mirrors/osq/osquery