昨天開始介紹高交互蜜罐T-Pot，它的安裝步驟簡單，不需要太多互動。首先去Github網站下載它的ISO檔案，這一版19.03將安裝檔案精簡為42MB，和以往動輒幾GB的ISO檔案相差甚多，剛開始還以為找錯檔案，後來閱讀文件才知道安裝檔案有所改變，依據安裝過程中你的選項，會自動下載所需套件，而不是之前那樣把所有套件放在安裝ISO檔中，非常方便，但安裝過程中需要確保有網路連線；也可以製作自己的離線安裝檔案；或直接在現有的Debian 9.7 (Stretch)系統上安裝。如果你有現成的、無用途的Debian 9.7 (Stretch) 系統硬體，可以用這個方法改造成蜜罐。

安裝過程中會問這是哪一種安裝？分為：
Standard
一般正常安裝模式，會安裝所有蜜罐和工具套件。

Sensor
只會安裝蜜罐，不會安裝全部工具的安裝模式。這是為了單純部署蜜罐在各區域，將日誌等等資料傳回另一個中央伺服器，在中央伺服器上管理、辨識、

Industrial
蜜罐套件較少，會安裝所有工具套件，主要是用在Industrial工業系統環境。

Collector
只有heralding蜜罐套件，但具有全部的分析工具。這個安裝模式是特定只想要蒐集分析帳密登入的活動，所以只運用heralding蜜罐。

Nextgen
類似Standard安裝模式，但是更換了一些較新的蜜罐套件。

無論哪一種都差不多需要6-8GB RAM，約略128GB 硬碟，因為硬碟空間大小會影響到可儲存的日誌和資安事件數量，若是硬碟空間太小，每秒產生的日誌和事件太多，就會覆蓋住前面的資料，當我們進行分析時便會遇到資料消失的困難。而T-Pot裡有ELK Stack的架構，需要足夠的資源才能確保ELK檢索、查詢和圖示化等功能運作順利。由於這是測試，我只配置了30GB硬碟，在Virtualbox 上創建一個VM進行Standard安裝。

明天待續~

“Well, all I know is, mama only got a taste of honey. But she wanted the whole beehive.” -- Foxxy Cleopatra, Austin Powers in Goldmember