T-POT蜜罐平台 20.06 搭建

目录

 

0X00  TPOT简介

0X01  Debian10 环境搭建

0X02  安装T-POT

1、 配置更新源，更新

2、 配置fast加速

3、 配置npm源

4、 克隆Tpot

5、 更新脚本

6、 重新配置加速 (保险起见)

7、 安装

8、 需要操作的截图

---

 

0X00  TPOT简介

   

项目地址：https://github.com/telekom-security/tpotce

官方介绍：https://dtag-dev-sec.github.io/mediator/feature/2020/08/20/tpot-2006.html

态势概览：

技术概念：

T-Pot是基于Debian (Stable) 网络安装程序. honeypot守护程序以及其他支持组件被docker托管。这使T-Pot可以在同一网络接口上运行多个honeypot守护程序和工具，同时保持较小的占用空间并将每个honeypot限制在其自己的环境中。在T-Pot中，我们结合了dockerized蜜罐…

adbhoney,

ciscoasa,

citrixhoneypot,

conpot,

cowrie,

dicompot,

dionaea,

elasticpot,

glutton,

heralding,

honeypy,

honeysap,

honeytrap,

mailoney,

medpot,

rdpy,

snare,

tanner

…使用以下工具…

Cockpit 用于docker，os，实时性能监控和Web终端的轻量级Web。

Cyberchef 一个用于加密，编码，压缩和数据分析的网络应用。

ELK stack 精美地可视化T-Pot捕获的所有事件。

Elasticsearch Head一个Web前端，用于浏览和与Elastic Search集群进行交互。

Fatt 基于pyshark的脚本，用于从pcap文件和实时网络流量中提取网络元数据和指纹。

Spiderfoot 开源智能自动化工具。

Suricata 网络安全监视引擎。

…为您提供最佳的开箱即用体验，以及易于使用的多蜜罐设备。

尽管docker容器中的数据是易失性的，但T-Pot可以确保众所周知的/data文件夹和子文件夹中所有相关蜜罐和工具数据的默认30天持久性。持久性配置可以在中进行调整/opt/tpot/etc/logrotate/logrotate.conf。docker容器崩溃后，其环境中产生的所有其他数据将被擦除，并从相应的docker映像启动一个新实例。

基本上，在系统启动时会发生以下情况：

启动主机系统

启动所有必要的服务 (例如cockpit, docker等)

通过docker-compose 启动所有docker容器(honeypots, nms, elk等)

T-Pot项目提供了构建自己的蜜罐系统并为我们的Sicherheitstacho做出贡献所需的所有工具和文档。

源代码和配置文件完全存储在T-Pot GitHub存储库中。docker映像已为T-Pot环境预先配置。如果要单独运行docker映像，请确保docker-compose配置（/opt/tpot/etc/tpot.yml）和T-Pot systemd脚本（/etc/systemd/system/tpot.service），因为它们为实现更改提供了良好的起点。

各个Docker配置位于docker文件夹中。

 

0X01  Debian10 环境搭建

启动VMware，点击“创建新的虚拟机”开始安装Debian虚拟机。

系统镜像选择“D:/iso/ debian-10.7.0-amd64-DVD-1”,之后一直下一步选择需要的直至安装成功。

 

1、选择Graphical Install

 

 

 

 

 

2、选择你的首选语言、位置和键盘布局：中文（简体）、中国、汉语

3、Debian 10 系统设置主机名称和域名： debian(默认)、无

 

 

4、设置root用户密码

5、创建本地用户及其密码（以上两步省略图片）

 

 

6、Debian 10 选择硬盘分区方案：使用整个磁盘、SCSI3……、将所有文件放在同一个分区中（推荐新手使用）、结束分区设定并将修改写入磁盘、是

7、扫描 CD/DVD 以配置软件包管理器：否、是、否

8、选择电脑桌面环境和其它软件包

 

9、安装 Grub 引导加载程序：是

10、选择将安装引导加载程序的磁盘：/dev/sda

（3）安装完成界面

到此建议做一次快照备份并安装VMwareTool以便复制代码和全屏显示

VMwareTool安装教程：https://blog.csdn.net/weixin_30639719/article/details/94846851?utm_medium=distribute.pc_relevant.none-task-blog-BlogCommendFromBaidu-2.control&depth_1-utm_source=distribute.pc_relevant.none-task-blog-BlogCommendFromBaidu-2.control

0X02  安装T-POT

 安装方式有两种： 

 一种是在Debian系统上直接手动安装（推荐）

 一种是通过挂载虚拟机iso安装

 

1、 配置更新源，更新

cp /etc/apt/sources.list /etc/apt/sources.list_bak_$(date +%F)  //备份
echo "deb http://mirrors.163.com/debian/ buster main non-free contrib  
    deb http://mirrors.163.com/debian/ buster-updates main non-free contrib  
    deb http://mirrors.163.com/debian/ buster-backports main non-free contrib  
    deb http://mirrors.163.com/debian-security/ buster/updates main non-free contrib  
    deb-src http://mirrors.163.com/debian/ buster main non-free contrib  
    deb-src http://mirrors.163.com/debian/ buster-updates main non-free contrib  
    deb-src http://mirrors.163.com/debian/ buster-backports main non-free contrib  
    deb-src http://mirrors.163.com/debian-security/ buster/updates main non-free contrib " > /etc/apt/sources.list  
	  
	apt-get update  //更新

	apt-get install curl git 

2、 配置fast加速

apt-get install aria2 -y  
git clone https://github.com/ilikenwf/apt-fast.git  
cd apt-fast/  
cp apt-fast /usr/bin/  
cp apt-fast /usr/local/sbin/  
chmod +x /usr/bin/apt-fast  
chmod +x /usr/local/sbin/  
cp apt-fast.conf /etc  
apt-fast update  
sed -i "/^ *MIRRORS/d" /etc/apt-fast.conf  
echo "MIRRORS=( ' http://mirrors.163.com/debian/,https://mirrors.tuna.tsinghua.edu.cn/debian/,http://mirrors.ustc.edu.cn/debian/' )" >> /etc/apt-fast.conf 

3、 配置npm源

 

apt-fast install npm  
curl https://www.npmjs.com/install.sh | sh  
npm config set registry http://registry.npm.taobao.org  

 

4、 克隆Tpot

git clone https://hub.fastgit.org/telekom-security/tpotce.git /opt/tpot  

 

5、 更新脚本

cd /opt/tpot/iso/installer  
sed -i "/^ *git clone https:\/\/github/d" install.sh  
AA=$(cat -n install.sh | grep "myTPOTCOMPOSE" | grep "for name in" | awk '{ print $1 }')  

sed -i "${AA}i curl -sSL https://get.daocloud.io/daotools/set_mirror.sh | sh -s https://XXXXX.mirror.aliyuncs.com" install.sh   

#阿里云docker加速器申请方法：https://blog.csdn.net/letter_a/article/details/81836800

sed -i "${AA}a systemctl restart docker" install.sh  

6、 重新配置加速 (保险起见)

mkdir -p /etc/docker  
tee /etc/docker/daemon.json <<- 'EOF'  
{  
  "registry-mirrors": ["https://XXXXXXX.mirror.aliyuncs.com"]  
}  
EOF  
systemctl daemon-reload  

7、 安装

cd /opt/tpot/iso/installer/  
sed -i "s/if \[ \"\$myLSB\" \!=.*/if \[ 1 \!= 1\]\;/" install.sh  
./install.sh --type=user  

 

 

8、 需要操作的截图

 

选择第一个标准安装：

 

 ​

 

设置用户名密码

 

 ​

​

 

9、 验证

 若安装了GUI 请切换会话（CTRL+ALT+F2-6）

 顶部可以看到ip及端口

安装好之后，ssh端口不再是默认的22，变成了64295　

web管理界面：https://ip:64297（见具体提示，地址可能不同）

服务器管理界面：https://ip:64294（见具体提示，地址可能不同）

 

查看容器状态

cd /opt/tpot/bin  
 ./dps.sh   

正常情况 容器没有down的状态，请耐心等待10分钟左右。 如遇到故障，请重新配置docker加速。并执行下列命令如下，重新拉取丢失的docker

cd /opt/tpot/etc/compose
for i in `cat ./standard.yml | grep image | cut -d '"' -f2 | uniq`
do
docker pull $i
done

问题： 界面的ip为空，服务都没启动

解决： 重新安装docker docker-compose并启动tpot服务

    重新拉取 docker容器：

    cd /opt/tpot/etc/compose

    docker-compose -f ./standard.yml  up -d

 

 

文章写的潦草，若有不足之处，敬请雅正~