FleetDM: Policies, Queries und Labels (Debian 12)

Aus Xinux Wiki
Version vom 20. April 2025, 08:30 Uhr von Thomas.will (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „== FleetDM: Policies, Queries und Labels für Debian 12 == === Übersicht === Diese Sammlung enthält grundlegende Policies, Live-Queries und Label-Abfragen f…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

FleetDM: Policies, Queries und Labels für Debian 12

Übersicht

Diese Sammlung enthält grundlegende Policies, Live-Queries und Label-Abfragen für den Einsatz von osquery unter FleetDM auf Debian 12-Systemen. Ziel ist ein schneller Einstieg in Sicherheitsprüfung und Systeminventarisierung.

Voraussetzungen

  • Eine funktionierende FleetDM-Installation mit mindestens einem angebundenen Debian 12-Client
  • osquery und orbit laufen korrekt auf dem Zielsystem
  • Der Zugriff auf die Fleet-Weboberfläche ist möglich

Policies (WebUI: Policies → Add a Policy)

  • SSH-Server aktiv

SELECT 1 FROM processes WHERE name = 'sshd' OR path = '/usr/sbin/sshd';

  • UFW Firewall aktiv

SELECT * FROM processes WHERE name = 'ufw' OR path = '/usr/sbin/ufw';

  • Root-Konto aktiv verwendet

SELECT * FROM logged_in_users WHERE uid = 0;

  • Auditd läuft

SELECT * FROM processes WHERE name = 'auditd';

  • Hostname entspricht nicht Standard

SELECT hostname FROM system_info WHERE hostname NOT LIKE 'debian-%';

Queries (WebUI: Queries → New Query)

  • Alle laufenden Prozesse

SELECT name, pid, path, cmdline FROM processes;

  • Aktive Benutzerkonten

SELECT username, uid, gid, directory, shell FROM users WHERE shell NOT IN ('/usr/sbin/nologin', '/bin/false');

  • Listening Netzwerk-Ports

SELECT pid, address, port, protocol, family FROM listening_ports;

  • Welt-schreibbare Dateien unter /etc

SELECT * FROM file WHERE directory = '/etc' AND mode LIKE '%w%';

  • SUID-Binaries im System

SELECT path, permissions FROM suid_bin;

Labels (WebUI: Hosts → Labels → Add Label)

  • Ist virtualisiert (VirtualBox oder KVM)

SELECT * FROM system_info WHERE hardware_model LIKE '%VirtualBox%' OR hardware_model LIKE '%KVM%';

  • Ist ein Laptop (Batterie vorhanden)

SELECT * FROM battery;

  • Ist ein Server (Debian ohne Akku, GUI optional)

SELECT * FROM os_version WHERE name = 'debian' AND platform = 'ubuntu' AND build != ;

Hinweise

  • Policies zeigen sofort „pass“ oder „fail“ in der UI und sind webhookfähig
  • Queries sind manuell oder geplant ausführbar
  • Labels gruppieren Hosts automatisch nach Eigenschaften
  • Alle Abfragen sind auf Debian 12 getestet, funktionieren aber auch auf ähnlichen Systemen
Abgerufen von „http://wiki.ixheim.de/index.php?title=FleetDM:_Policies,_Queries_und_Labels_(Debian_12)&oldid=62024