ハニーポット構築(T-Pot : 19.03.1)
以前作ったWebのHoneyPotであるGlastopfと連携していたSplunkの試用期間が切れた。もっと色々やってみたいと思い、HoneyPotを探したところ全部入りのT-Potがあった。去年までの色々な方の記事を参考にインストールを試みたが、全く上手くいかない!! Ver17.10のインストール記事を参考に、軽い気持ちで導入を試みたところ全て失敗した。現在のT-POTバージョンが19.03になっており、かつディストリビューションがUbuntu→Debianに変更されたため、インストール方式も変わっていた。
苦労しながら本日導入を完了したので、覚書を記載する。
※ServersMan@vpsを使って構築したかったが、OS環境のversionアップに失敗してサーバが起動しない。他の方も同じ事象が発生しているみたいだ。
最終的に構築環境はさくらのVPSに切り替えて構築した。
環境
・サーバ:さくらのVPS
CPU:4CPU
Memory:4 GB
ストレージ:SSD 400 GB
金額:
イニシャル費用:4000円 ・・・SSD増設費用
ランニング費用:3200円×12か月・・・サーバ利用金額
・T-Pot:19.03.1
・プロキシ:使用しない
・DHCP:使用しない
構築
※install.shを使うとdebianのディストリビューションエラーなどが出て、インストールに失敗する状況が続いた。 そのため今回はISOイメージからインストールする。
以下のURLからT-potのISOイメージを取得する。(2019/12/4現在)
※バージョンによりインストール方法が全く異なるので、適宜読み替える。 github.comさくらのVPSではsftpでisoイメージをマウントできるので、マウントする。
※このときVirtIOを有効にすると最初の再起動後からT-Potのインストール処理に進まないので、VirtIOを「無効にする」
- 途中DHCP経由のIP割り当てに失敗するので手動でIPアドレス/サブネットマスク/デフォルトゲートウェイ/ネームサーバを設定する。
プロキシは空欄を指定する。
debianのインストールが完了すると、1回目の再起動が走る。
再起動後にT-Potのインストールが開始する。
⇒今回は「STANDARD」を選択した。
- tsecユーザのパスワードを入力する。(確認を含め2回入力する。)
- webユーザのユーザ名とパスワードを入力する。(確認を含め2回聞かれる。)
- ユーザを入力後、T-Potのインストールが開始する。
- インストール完了後に再起動が発生し、T-Potが起動する。
https://<IPアドレス>:64297
でDashboardへアクセスする。
- [Monitoring]タブは最初停止している。起動させるとElasticsearchとKibanaの収集が開始する。
…と、ここでGlastopfにアクセスしようと https://<IPアドレス>
へアクセスしたところ、Glastopfの画面が起動しない。
インストールに失敗したかと思って、しょんぼりしながらT-Potのtpotce/CHANGELOG.mdを見ると以下の記述があった。
20190601
Start supporting Fatt, remove Glastopf
Build Dockerfile, Adjust logstash, installer, update and such.
Glastopf is no longer supported within T-Pot
なんと、GlastopfはT-Potから既に削除されたとのこと。
GlastopfからHoneyPotの構築を開始した身としては少し寂しい。
入れた後の所感
・必要リソースに満たない動作環境でも今のところ、問題なく動いている。
- メモリ容量不足 ・・今のところ影響なし
- DHCP無し ・・インストールに影響なし
・30分ぐらいDashboardを眺めていると既にCowrieとDionaeaにて
攻撃を受け始めており、アタック回数が増えていた。
・ディスク容量をかなり食うので、Elasticsearchのログメンテナンスを今後検討したい。
取り急ぎ、今日はここまで!!