使用osquery管理您的设备防火墙 - Trail of Bits博客

Garret Reece
2018年5月30日
osquery

我们发布了一个osquery扩展，使您能够管理设备群中的本地防火墙。

三大主流操作系统都提供原生防火墙，配置后能够阻止传入和传出访问。然而，这三种防火墙系统的接口各不相同，每种都需要不同的配置方法。此外，跨平台设备配置的选择很少，几乎都是商业专有解决方案。

与Airbnb合作，我们为osquery创建了一个跨平台防火墙管理扩展。该扩展支持对原生防火墙进行编程控制，并为每个主机操作系统提供通用接口，允许对企业设备群的端点保护进行更高级的控制，并闭合端点监控和端点管理之间的循环。

与我们的Santa管理扩展一起，该扩展展示了osquery扩展中可写表的实用性。对端点防火墙的编程控制意味着管理员可以更快地响应，防止恶意软件在设备群中传播，防止特别重要系统的意外数据传出，或阻止来自已知恶意地址的传入连接。这是osquery能力的巨大进步，将其从仅监控工具转变为预防和恢复领域。

当前功能

该扩展创建了两个新表：HostBlacklist和PortBlacklist。这些虚拟表通过底层操作系统的原生防火墙接口生成条目：Linux上的iptables、Windows上的netsh和MacOS上的pfctl。这使它们与尽可能广泛的部署兼容，并避免进一步依赖外部库或应用程序。它将与您现有的配置配合使用，并且无论底层平台如何，都提供相同的接口和能力。

使用osquery访问Mac、Windows和Linux上的本地防火墙配置

未来展望

虽然读取防火墙状态的能力很有用，但控制它们的可能性最令我们兴奋。借助osquery中的可写表，在受管系统上黑名单端口或主机将变得像INSERT语句一样简单。无需部署额外的防火墙管理服务。不再需要审查如何在macOS上配置防火墙。只需编写INSERT语句并将其推送到设备群。

使用osquery立即在整个设备群中阻止主机名和端口

尝试使用

通过此扩展，您可以查询受管设备群中黑名单端口和主机的状态，并确保它们都按照您的规范配置。随着可写表功能的出现，osquery可以从监控角色转变为管理和预防工具。此扩展朝着这个方向迈出了第一步。

我们将此扩展添加到我们的托管存储库中。我们致力于维护和扩展我们的扩展集合。您应该查看并了解我们还发布了什么。

您有osquery扩展的想法吗？在我们的GitHub存储库中提交问题。联系我们进行osquery开发。

如果您喜欢这篇文章，请分享： Twitter LinkedIn GitHub Mastodon Hacker News

页面内容
近期文章
使用Deptective调查您的依赖项
系好安全带，Buttercup，AIxCC的评分回合正在进行中！
使您的智能合约超越私钥风险
Go解析器中意外的安全隐患
我们审查首批DKLs23库的收获
来自Silence Laboratories的23个库
© 2025 Trail of Bits。
使用Hugo和Mainroad主题生成。