So installierst du den Fleet Osquery Manager auf Rocky Linux 9

Fleet ist ein Open-Source-Osquery-Manager, mit dem du sichere Workstations und Server verwalten und ein genaues Inventar aller deiner Geräte führen kannst. Fleet ermöglicht programmierbare Live-Abfragen, Streaming-Protokolle und Echtzeiteinsicht in Server, Container und Geräte wie Laptops und lokale Computer.

Mit Fleet kannst du Schwachstellen auf deinen Geräten erkennen. Das bedeutet, dass fleet automatisch veraltete, gefährdete oder kompromittierte Software, Apps und Pakete identifiziert. Außerdem erkennt Fleet Fehlkonfigurationen von Geräten und Probleme bei der MDM-Registrierung. Fleet kann für die IT-Branche, die Sicherheitsbranche oder für alle Geräte zur Überwachung der Einhaltung von Vorschriften nützlich sein.

Fleet ermöglicht und automatisiert außerdem Sicherheitsworkflows in einer einzigen Anwendung. Du kannst mit Osquery/Agent Ereignisse von mehreren Servern und Geräten sammeln. Dann speicherst du die gesammelten Daten an einem einzigen Ort, auf den du über Fleet-Dashboards oder über ein Terminal mit fleetctl zugreifen kannst.

In dieser Anleitung wirst du den Fleet Osquery Manager auf einem Ubuntu 22.04 Server installieren. Diese Anleitung umfasst die Installation des MySQL-Servers, des Redis-Servers und die sichere Bereitstellung des MySQL-Datenbank-Servers. Am Ende hast du den Fleet Osquery Manager gesichert, mit dem du Hosts überwachen, Schwachstellen auf Hosts identifizieren, Änderungen an anderen Systemen überprüfen und auch benutzerdefinierte Abfragen für die Überwachung deines Hosts einrichten kannst.

Voraussetzungen

Um dieses Tutorial durchzuführen, brauchst du die folgenden Voraussetzungen:

• Einen Linux-Server, auf dem Rocky Linux 9 läuft.
• Einen Nicht-Root-Benutzer mit sudo/root-Administrator-Rechten.
• Ein SELinux, das im permissiven Modus läuft.
• Ein Domainname, der auf die IP-Adresse des Servers zeigt.
• Erstellte und verifizierte SSL/TLS-Zertifikate.

Wenn alle Voraussetzungen erfüllt sind, kannst du mit der Installation von Fleet Osquery Manager beginnen.

Installation des MySQL-Servers

In diesem Abschnitt installierst du den MySQL-Server, startest und aktivierst den MySQL-Dienst, richtest das MySQL-Root-Passwort ein und konfigurierst die sichere Bereitstellung des MySQL-Servers über„mysql_secure_installation„.

In diesem Lernprogramm wird der MySQL-Server verwendet, um Daten und Informationen des Flottenmanagers zu speichern. Du wirst den MySQL-Server aus dem offiziellen Rocky Linux Repository installieren. Installiere ihn, indem du den folgenden dnf-Befehl ausführst.

sudo dnf install mysql-server

Gib y ein, wenn du zur Bestätigung aufgefordert wirst, und drücke ENTER, um fortzufahren.

Du hast nun den MySQL-Server installiert, der als Datenbank-Backend für fleet verwendet wird. Bevor du den MySQL-Server konfigurierst, starte und aktiviere den MySQL-Dienst mit dem folgenden systemctl-Befehl.

sudo systemctl start mysqld
sudo systemctl enable mysqld

Überprüfe danach den MySQL-Server, um sicherzustellen, dass der Dienst läuft.

sudo systemctl status mysqld

Du solltest eine Ausgabe ähnlich der folgenden erhalten – Die Ausgabe‚active (running)‚ bestätigt, dass der MySQL-Server läuft. Und die Ausgabe ‚…; enabled; ...‘ bestätigt, dass der MySQL-Server beim Systemstart automatisch gestartet wird.

Wenn der MySQL-Server läuft, kannst du das Root-Passwort für den MySQL-Server einrichten. Melde dich in der MySQL-Shell an, indem du den Befehl„mysql“ ausführst.

sudo mysql

Führe die folgende Abfrage aus, um ein Passwort für den MySQL-Root-Benutzer einzurichten, und melde dich dann aus der MySQL-Shell ab. Achte darauf, dass du das Passwort in der folgenden Abfrage änderst.

ALTER USER "root"@"localhost" IDENTIFIED WITH mysql_native_password BY "toor?p4ssw0rd";
exit

Als Nächstes führst du den folgenden Befehl„mysql_secure_installation“ aus, um deinen MySQL-Server zu sichern.

sudo mysql_secure_installation

Wenn du dazu aufgefordert wirst, gibst du dein MySQL-Root-Passwort ein. Dann wirst du auch nach den folgenden MySQL-Konfigurationen gefragt:

• Hast du die Komponente VALIDATE PASSWORD für MySQL eingerichtet? Gib zur Bestätigung Y ein.
• Gib die Nummer der Passwortrichtlinie ein, die du verwenden möchtest. Wähle deine bevorzugte Richtlinie für deinen MySQL-Server aus.
• Das MySQL-Root-Passwort ändern? Gib n für Nein ein.
• Den anonymen Standardbenutzer von MySQL entfernen? Gib Y ein.
• Remote-Login für MySQL-Root-Benutzer deaktivieren? Gib Y ein.
• Standard-Datenbanktest vom MySQL-Server entfernen? Eingabe J.
• Tabellenberechtigungen neu laden, um Änderungen zu übernehmen? Gib zur Bestätigung Y ein.

Du hast nun den MySQL-Server installiert, das MySQL-Root-Passwort konfiguriert und den MySQL-Einsatz gesichert. Als Nächstes installierst du Redis, das als Warteschlange für verteilte Abfragen und zum Zwischenspeichern von Daten für den fleet osquery manager verwendet wird.

Installation des Redis-Servers

In diesem Abschnitt installierst du den Redis-Server auf Rocky Linux 9, startest und aktivierst Redis und überprüfst den Status des Redis-Servers, um sicherzustellen, dass er läuft. Redis wird verwendet, um die Ergebnisse verteilter Abfragen aufzunehmen und in eine Warteschlange zu stellen, Daten zu cachen usw.

Gib den folgenden Befehl ein, um Redis auf deinem Rocky Linux Server zu installieren.

sudo dnf install redis

Bestätige die Installation, indem du y eingibst und ENTER drückst, um fortzufahren.

Nachdem Redis installiert ist, führe den folgenden systemctl-Befehl aus, um den Redis-Server zu starten und zu aktivieren.

sudo systemctl start redis
sudo systemctl enable redis

Überprüfe dann den Redis-Dienst, indem du den folgenden Befehl eingibst. Dadurch wird sichergestellt, dass der Redis-Dienst läuft und aktiviert ist.

sudo systemctl status redis

Du erhältst eine Ausgabe wie diese – Die Ausgabe„active (running)“ bestätigt, dass der Redis-Server läuft. Die Ausgabe ‚…; enabled;…‘ bestätigt, dass der Redis-Server aktiviert ist und beim Systemstart automatisch ausgeführt wird.

MySQL-Datenbank und Benutzer einrichten

In diesem Abschnitt erstellst du eine neue MySQL-Datenbank und einen Benutzer, die vom fleet osquery manager verwendet werden. Du erstellst eine neue Datenbank und einen neuen Benutzer über die MySQL-Shell und überprüfst dann die Liste der Benutzer und Berechtigungen für den neuen MySQL-Benutzer.

Melde dich in der MySQL-Shell mit dem unten stehenden mysql-Befehl an. Achte darauf, dass du dein MySQL-Root-Passwort eingibst, wenn du dazu aufgefordert wirst.

sudo mysql -u root -p

Um eine neue MySQL-Datenbank und einen neuen Benutzer zu erstellen, führe die folgenden MySQL-Abfragen aus. In diesem Beispiel wirst du die Datenbank fleetdb und den Benutzer fleetadmin erstellen. Achte außerdem darauf, das Passwort in der folgenden Abfrage zu ändern.

CREATE DATABASE fleetdb;
CREATE USER fleetadmin@localhost IDENTIFIED BY 'S3curep4ssw0rd--=';
GRANT ALL PRIVILEGES ON fleetdb.* TO fleetadmin@localhost WITH GRANT OPTION;
FLUSH PRIVILEGES;

Ausgabe:

Überprüfe die Liste der MySQL-Benutzer mit der folgenden Abfrage. Du solltest sehen, dass der neue MySQL-Benutzer fleetadmin hinzugefügt wurde und der MySQL-Server verfügbar ist.

SELECT USER,host FROM mysql.user;

Ausgabe:

Überprüfe nun die Berechtigungen für den MySQL-Benutzer fleetadmin. Du solltest sehen, dass der Benutzer fleetadmin das Recht hat, auf die Datenbank fleetdb zuzugreifen.

SHOW GRANTS FOR fleetadmin@localhost;

Ausgabe:

Gib‚quit‚ ein, um die MySQL-Shell zu verlassen.

Nachdem die MySQL-Datenbank und der Redis-Server installiert sowie die neue Datenbank und der neue Benutzer angelegt wurden, kannst du nun die Installation des Fleet Osquery Managers starten.

Herunterladen von Fleet Osquery Manager

Fleet osquery manager ist als einzelne Binärdatei erhältlich, die Folgendes enthält

• Den Fleet TLS-Webserver (es ist kein externer Webserver erforderlich, aber er unterstützt einen Proxy, falls gewünscht)
• Die Fleet-Weboberfläche
• Die Fleet Anwendungsmanagement REST API
• Die Endpunkte der Fleet osquery API

Fleetctl ist die Kommandozeilenschnittstelle von Fleet, mit der du den Fleet-Einsatz, die Konfigurationen, die Integration und die Berichte über die Kommandozeile verwalten kannst.

In diesem Schritt lädst du das fleet- und fleetctl-Binärpaket von der offiziellen GitHub-Seite herunter. Zum Zeitpunkt der Erstellung dieses Artikels ist die neueste Version von fleet und fleetctl v4.26.

Füge zunächst den neuen Systembenutzer„fleet“ hinzu, indem du den folgenden Befehl eingibst.

sudo useradd -r -d /opt/fleet -s /usr/sbin/nologin fleet

Lade das Paket fleet und fleetctl mit dem unten stehenden curl-Befehl herunter. Zum Zeitpunkt dieses Schreibens ist die neueste Version von fleet v4.26.

curl -LO https://github.com/fleetdm/fleet/releases/download/fleet-v4.26.0/fleet_v4.26.0_linux.tar.gz
curl -LO https://github.com/fleetdm/fleet/releases/download/fleet-v4.26.0/fleetctl_v4.26.0_linux.tar.gz

Nach dem Download entpackst du das Paket fleet und fleetctl mit dem unten stehenden tar-Befehl.

tar xf fleet_v4.26.0_linux.tar.gz
tar xf fleetctl_v4.26.0_linux.tar.gz

Als Nächstes kopierst du die Binärdatei von fleet und fleetctl in das Verzeichnis„/usr/bin„. Nun kannst du den Befehl fleet und fleetctl in deinem Terminal ausführen.

cp fleet_v4.26.0_linux/fleet /usr/bin/
cp fleetctl_v4.26.0_linux/fleetctl /usr/bin/

Führe nun den folgenden Befehl aus, um sicherzustellen, dass das Verzeichnis„/usr/bin“ in der Umgebungsvariablen PATH verfügbar ist. Wenn es verfügbar ist, kannst du jetzt die Befehle fleet und fleetctl mit sudo ausführen.

echo $PATH

Überprüfe den vollständigen Binärpfad der Befehle fleet und fleetctl. Beide Binärdateien sind im Verzeichnis„/usr/bin“ verfügbar.

which fleet
which fleetctl

Überprüfe die Version von fleet und fleetctl mit dem folgenden Befehl.

fleet version
fleetctl --version

Du solltest eine Ausgabe wie diese erhalten – Der fleet osquery manager und fleetctl v4.26 sind installiert und deinem Rocky Linux System hinzugefügt.

Führe nun den folgenden fleet-Befehl aus, um die Datenbank für deinen Flotteneinsatz zu initialisieren. Achte darauf, dass du die Details der MySQL-Datenbank und des Benutzers im folgenden Befehl änderst.

fleet prepare db \
--mysql_address=127.0.0.1:3306 --mysql_database=fleetdb --mysql_username=fleetadmin --mysql_password=S3curep4ssw0rd--=

Unten siehst du eine Ausgabe während der Initialisierung.

Wenn die Initialisierung abgeschlossen ist, solltest du eine Ausgabe wie„Migrations completed“ erhalten.

Nachdem die Fleet-Datenbank initialisiert und migriert wurde, kannst du deine Fleet Osquery Manager-Installation einrichten und Fleet im Hintergrund als systemd-Dienst laufen lassen.

Fleet Osquery Manager konfigurieren

In diesem Schritt erstellst du ein neues Konfigurationsverzeichnis für die Flotte, fügst die Flottenkonfigurationsdatei „/etc/fleet/fleet.yml“ hinzu und änderst sie. Anschließend richtest du die systemd-Dienstdatei „/etc/systemd/system/fleet.service“ für den Fleet Osquery Manager ein.

Am Ende dieses Schrittes läuft fleet als systemd-Dienst und wird beim Systemstart automatisch aktiviert und ausgeführt.

Erstelle zunächst ein neues Verzeichnis „/etc/fleet/certs“, in dem du deine Fleet-Konfiguration und die TLS-Zertifikatsdateien speichern wirst. Dann erstellst du eine neue Konfigurationsdatei „/etc/fleet/fleet.yml“ und die systemd-Dienstdatei „/etc/systemd/system/fleet.service“.

mkdir -p /etc/fleet/certs
touch /etc/fleet/fleet.yml /etc/systemd/system/fleet.service

Als Nächstes kopierst du deine generierten TLS-Zertifikate in das Verzeichnis„/etc/fleet/certs“ und änderst den Eigentümer des Flottenkonfigurationsverzeichnisses auf den Benutzer und die Gruppe„fleet„.

cp /etc/letsencrypt/live/fleet.hwdomain.io/fullchain.pem /etc/fleet/certs/
cp /etc/letsencrypt/live/fleet.hwdomain.io/privkey.pem /etc/fleet/certs/
sudo chown -R fleet:fleet /etc/fleet

Öffne die Flottenkonfigurationsdatei „/etc/fleet/fleet.yml“ mit dem folgenden nano-Editor-Befehl.

nano /etc/fleet/fleet.yml

Füge die folgenden Zeilen in die Datei ein und achte darauf, dass du die Angaben zur MySQL-Datenbank und zum Benutzer sowie den Pfad der SSL/TLS-Zertifikatsdateien änderst.

Damit startest du Fleet mit dem MySQL-Datenbankserver, Redis, einer gesicherten Bereitstellung über TLS-Zertifikate und aktivierst die Protokollierung im json-Format.

mysql:
  address: 127.0.0.1:3306
  database: fleetdb
  username: fleetadmin
  password: S3curep4ssw0rd--=
redis:
  address: 127.0.0.1:6379
server:
  cert: /etc/fleet/certs/fullchain.pem
  key: /etc/fleet/certs/privkey.pem
logging:
  json: true
# auth:
# jwt_key: 0iXLJRKhB77puDm13G6ehgkClK0kff6N

Speichere und beende die Datei „/etc/fleet/fleet.yml“, wenn du fertig bist.

Als Nächstes öffnest du die systemd-Dienstdatei „/etc/systemd/system/fleet.service“ mit dem folgenden nano-Editor-Befehl.

sudo nano /etc/systemd/system/fleet.service

Füge die folgenden Zeilen in die Datei ein. Damit startest du fleet als systemd-Dienst mit der Konfigurationsdatei „/etc/fleet/fleet.yml“, und dieser Dienst wird als Benutzer und Gruppe„fleet“ ausgeführt.

[Unit]
Description=Fleet Osquery Fleet Manager
After=network.target
[Service]
User=fleet
Group=fleet
LimitNOFILE=8192
ExecStart=/usr/bin/fleet serve -c /etc/fleet/fleet.yml
ExecStop=/bin/kill -15 $(ps aux | grep "fleet serve" | grep -v grep | awk '{print$2}')

[Install]
WantedBy=multi-user.target

Speichere die Datei „/etc/systemd/system/fleet.service“ und beende den Editor, wenn du fertig bist.

Führe nun den folgenden systemctl-Befehl aus, um den systemd-Manager neu zu laden und die Änderungen zu übernehmen.

sudo systemctl daemon-reload

Starte und aktiviere dann den Fleet-Dienst mit dem folgenden systemctl-Befehl.

sudo systemctl start fleet
sudo systemctl enable fleet

Überprüfe nun den Flottendienst mit dem folgenden Befehl, um sicherzustellen, dass der Dienst läuft.

sudo systemctl status fleet

Jetzt läuft der fleet-Dienst als systemd-Dienst. Außerdem ist er jetzt aktiviert und wird beim Systemstart automatisch gestartet.

Damit läuft die fleet osquery manage jetzt als systemd-Dienst mit der Standardkonfigurationsdatei „/etc/fleet/fleet.yml“ auf dem TCP-Port 8080. Bevor du auf deine Fleet-Installation zugreifen kannst, musst du Port 8080 auf der Firewalld öffnen.

Firewalld konfigurieren

In diesem Abschnitt öffnest du den Port 8080 (der von fleet verwendet wird) auf deinem System über die Firewalld. In der Standardeinstellung von Rocky Linux ist die Firewalld bereits installiert und läuft.

Führe den folgenden Befehl firewall-cmd aus, um Port 8080 zur Firewalld hinzuzufügen. Lade dann die Firewalld-Regeln neu, um die Änderungen zu übernehmen.

sudo firewall-cmd --add-port=8080/tcp --permanent
sudo firewall-cmd --reload

Überprüfe nun die Liste der Firewall-Regeln und stelle sicher, dass Port 8080 hinzugefügt und in der Firewall verfügbar ist.

sudo firewall-cmd --list-all

Im Abschnitt„Ports“ solltest du den Port„8080/tcp“ sehen. Dies bestätigt, dass der Flottenport 8080 zur Firewalld hinzugefügt wurde.

Konfiguration des Fleet Osquery Managers

Wenn du diesen Lehrgang bis hierher verfolgt hast, läuft der Fleet Osquery Manager und der Port 8080 wurde der Firewalld hinzugefügt. In diesem Abschnitt wirst du den Einsatz des fleet osquery managers einrichten. Du wirst den ersten Benutzer einrichten und den Einsatz über einen Webbrowser einrichten.

Öffne deinen Webbrowser und rufe die Domäne deiner fleet osquery manager-Installation mit dem TCP-Port 8080 auf (z. B.: https://fleet-rock.hwdomain.io:8080/).

Im ersten Schritt wirst du aufgefordert, den ersten Benutzer für deinen Flotteneinsatz einzurichten. Gib deinen vollständigen Namen, deine E-Mail-Adresse und dein Passwort ein und klicke dann auf Weiter.

Gib die Details zur Organisation ein und klicke erneut auf Weiter.

Für die Flotten-URL kannst du den Standardwert beibehalten und auf Weiter klicken.

Überprüfe noch einmal deine Flottenkonfigurationen und klicke auf Bestätigen, um die Bereitstellung abzuschließen.

Wenn die Installation erfolgreich war, solltest du das Dashboard für die Flottenverwaltung erhalten.

Jetzt ist die Installation des fleet osquery managers abgeschlossen. Jetzt kannst du neue Hosts auf verschiedene Arten zur Flotte hinzufügen, z. B. mit Orbit (osquery runtime), fleet Desktop für Hosts mit Desktop-Umgebung (einschließlich Windows und macOS) oder manuell, indem du das fleet secret und das TLS-Zertifikat erstellst.

Hinzufügen von Hosts über Orbit Osquery Runtime

Orbit ist eine Osquery-Laufzeitumgebung und ein Auto-Updater, mit dem du Osquery einfach einsetzen und Konfigurationen verwalten kannst. Orbit ist ein Agent für Fleet, er kann mit oder ohne Fleet verwendet werden, und Fleet kann mit oder ohne Orbit verwendet werden.

In diesem Schritt lernst du, wie du den Orbit-Paketinstaller für RHEL-basierte Distributionen erstellst. Anschließend erfährst du, wie du einen neuen Host über Orbit zu Fleet hinzufügst.

Um zu beginnen, gehe zurück zum Fleet Dashboard und klicke auf„Hosts hinzufügen“.

Wähle die Registerkarte„Erweitert„, lade das Fleet-Zertifikat „fleet.pem“ herunter und kopiere dann den Befehl, mit dem du ein Orbit-Paket für bestimmte Distributionen erstellen wirst. Du kannst einen Orbit-Installer für RPM, DEB und pkg (für macOS) erstellen.

Als Nächstes lädst du das heruntergeladene Fleet-Zertifikat auf den Fleet-Server hoch. In diesem Beispiel verwendest du„scp„, um die Datei„fleet.pem“ auf den fleet-Server hochzuladen.

scp fleet.pem root@192.168.5.100:/opt/

Nachdem das fleet.pem-Zertifikat hochgeladen wurde, führst du die Befehlszeile aus, mit der das Orbit-Installationspaket erstellt wird. Achte darauf, dass du den Parameter„–type“ in dein bevorzugtes Paket änderst.

In diesem Beispiel wirst du ein Orbit-Paket für eine RHEL-basierte Distribution erstellen. Für Debian-basierte Distributionen kannst du den Parameter„–type“ in„deb“ ändern und das Paket„pkg“ verwenden, um einen Orbit-Installer für macOS zu erstellen.

fleetctl package --type=rpm --fleet-url=https://fleet-rock.hwdomain.io:8080 \
--enroll-secret=ewQBXuvBJ70ZiFFkjOLFLp3V4POe+KTu \
--fleet-certificate=/opt/fleet.pem

Ausgabe:

Sobald der Prozess abgeschlossen ist, siehst du die Datei„fleet-osquery_version.rpm“ in deinem aktuellen Arbeitsverzeichnis.

Als Nächstes installierst du das generierte Orbit-Paket mit dem unten stehenden rpm-Befehl. Nach der Installation erstellt das orbit-Paket eine neue Dienstdatei„orbit.service„, mit der du orbit über systemctl verwalten kannst.

sudo rpm -Uvh fleet-osquery_version.rpm

Ausgabe:

Nachdem Orbit installiert wurde, führe den folgenden systemctl-Befehl aus, um den Orbit-Dienst zu starten. Überprüfe dann den Status, um sicherzustellen, dass der Orbit-Dienst läuft.

sudo systemctl start orbit
sudo systemctl status orbit

Du solltest eine Ausgabe wie diese erhalten – Der Orbit-Dienst ist„aktiv (läuft)“ und wird beim Systemstart automatisch ausgeführt.

Nun kehrst du zum Flotten-Dashboard zurück und solltest sehen, dass der neue Host„fleet-rock.hwdomain.io“ zum Flotten-Osquery-Manager hinzugefügt wurde.

Klicke auf den Hostnamen‚fleet-rock.hwdomain.io‘, um detaillierte Informationen über den Host zu erhalten.

Damit hast du dem fleet osquery manager über die Orbit osquery runtime einen Host hinzugefügt. Außerdem hast du einen Installer von Orbit für RHEL-basierte Distributionen erstellt.

Im nächsten Schritt erfährst du, wie du fleetctl einrichtest, um dich mit dem fleet-Server zu verbinden und deinen fleet-Einsatz über das Terminal zu verwalten.

Einrichten von Fleetctl für die Verwaltung von Fleet

Fleetctl oder Fleet Control ist eine Befehlszeile, mit der du den Fleet-Einsatz über das Terminal verwalten kannst. Mit Fleetctl kannst du Konfigurationen und Abfragen verwalten, einen osquery-Installer erstellen und den GitOps-Workflow mit fleet aktivieren.

In diesem Schritt richtest du fleetctl ein und verbindest dich mit dem von dir installierten fleet osquery Manager.

Führe zunächst den folgenden Befehl aus, um die Standard-URL für fleet einzurichten. Ändere den Domainnamen und stelle sicher, dass du eine sichere HTTPS-Verbindung verwendest. Damit richtest du die Flottenverbindung im„Standard„-Kontext/Profil ein.

fleetctl config set --address https://fleet-rock.hwdomain.io:8080

Melde dich mit dem unten stehenden Befehl bei deinem Flottenmanager an. Achte darauf, dass du die E-Mail-Adresse in dem unten stehenden Befehl änderst.

fleetctl login --email alice@hwdomain.io

Gib nun das Passwort ein, mit dem du dich im Fleet Dashboard anmeldest. Nach erfolgreicher Anmeldung solltest du eine Ausgabe wie„Fleet login successful and context configured!“ erhalten.

Nachdem du dich bei fleet angemeldet hast, führe den folgenden fleetctl-Befehl aus, um deine Konfigurationen zu überprüfen.

Überprüfe die Liste der verfügbaren Hosts in der Flotte.

fleetctl get hosts

Ausgabe – Du solltest sehen, dass der Host„fleet-rock.hwdomain.io“ mit der osquery v5.7.0 in fleet verfügbar ist.

Überprüfe die Liste der verfügbaren Benutzer in der Flotte.

fleetctl get ur

Ausgabe – Du solltest den Fleet-Benutzer sehen, den du erstellt hast.

Damit hast du fleetctl konfiguriert und dich mit deinem Fleet Deployment verbunden. Jetzt kannst du von deinem Terminalserver aus Hosts und Abfragen einrichten, Updates verwalten und Live-Abfragen durchführen.

Fazit

In diesem Lernprogramm hast du den Fleet Osquery Manager auf einem Rocky Linux 9 Server installiert. Du hast Fleet mit MySQL als Datenbank-Backend und Redis für das Ingesting von Queue- und Cache-Daten installiert. Außerdem hast du Fleet mit SSL/TLS-Zertifikaten gesichert und Fleet als systemd-Dienst laufen lassen, so dass du Fleet einfach mit dem systemctl-Befehlsdienst verwalten kannst.

Schließlich hast du Fleet über Orbit (osquery runtime) einen Host hinzugefügt und einen Paketinstaller für RHEL-basierte Distributionen erstellt. Außerdem hast du fleetctl konfiguriert und dich bei Fleet angemeldet, damit du Hosts von deinem Terminalserver aus verwalten und konfigurieren kannst.

Jetzt kannst du neue Hosts über Orbit zu Fleet osquery manage hinzufügen oder manuell über den einfachen osqueryd-Dienst verwenden. Außerdem kannst du neue Abfragen für die Überwachung deiner Hosts definieren, eine Schwachstellenverarbeitung einrichten, mit der du CVEs über Fleet erkennen kannst, und vieles mehr. Mehr über Fleet erfährst du in der offiziellen Dokumentation von Fleet.