延續昨天高交互蜜罐T-Pot安’裝介紹，我們選擇「Standard」一般正常安裝模式，安裝所有蜜罐和工具套件在單一Virtualbox VM虛擬機上，配置1CPU、6GB RAM、30GB 硬碟，注意VM的網卡設定必須是Bridge而非預設的NAT，因為我們希望蜜罐得到一組自己的IP網址。安裝script接著會下載所有需要的套件檔案，安裝過程中會詢問預設帳號tsec的密碼，還有WEB介面登入的帳號與密碼。我們會用tsec這個帳號透過SSH連線至蜜罐，但是ELK Stack的WEB介面另外需要一組帳密(而且帳號不能使用tsec)，我們可以創建PotUser這個帳號來進入WEB介面。當所有安裝步驟完成，重新開機後便會從VM螢幕見到T-Pot登入畫面。

T-Pot蜜罐安裝完後，，SSH會預設允許用戶使用預設的tsec帳號從tcp port 64295登入，而非一般預設的port 22；利用以下指令：

ssh -l tsec -p 64295 <your.ip>

同時WEB介面的登入位址為 https:// < ip >:64297 ，登入後便會看到運用ELK Stack架構的各種面板；而T-Pot本身的Admin 頁面的登入為https://< ip >:64294。 WEB介面和Admin介面都是用之前創建的新帳號PotUser和密碼。我們可以看到由於高交互蜜罐必須更注重安全性，都沒有用預設的port，改用port 64297 和port 64294，而多次登入失敗也會觸發fail2ban封鎖來源IP避免駭客對蜜罐發動brute force attack。

WEB介面登入後會見到如下的顯示，我們可以選擇要開啟那個面板：

明天繼續介紹面板、分析與實作。

“...Oh, and you have a new codename. Rather a good one: UNCLE.” – Waverly, The Man from U.N.C.L.E.