延續昨天高交互蜜罐T-Pot安’裝介紹,我們選擇「Standard」一般正常安裝模式,安裝所有蜜罐和工具套件在單一Virtualbox VM虛擬機上,配置1CPU、6GB RAM、30GB 硬碟,注意VM的網卡設定必須是Bridge而非預設的NAT,因為我們希望蜜罐得到一組自己的IP網址。安裝script接著會下載所有需要的套件檔案,安裝過程中會詢問預設帳號tsec的密碼,還有WEB介面登入的帳號與密碼。我們會用tsec這個帳號透過SSH連線至蜜罐,但是ELK Stack的WEB介面另外需要一組帳密(而且帳號不能使用tsec),我們可以創建PotUser這個帳號來進入WEB介面。當所有安裝步驟完成,重新開機後便會從VM螢幕見到T-Pot登入畫面。
T-Pot蜜罐安裝完後,,SSH會預設允許用戶使用預設的tsec帳號從tcp port 64295登入,而非一般預設的port 22;利用以下指令:
ssh -l tsec -p 64295 <your.ip>
同時WEB介面的登入位址為 https:// < ip >:64297 ,登入後便會看到運用ELK Stack架構的各種面板;而T-Pot本身的Admin 頁面的登入為https://< ip >:64294。 WEB介面和Admin介面都是用之前創建的新帳號PotUser和密碼。我們可以看到由於高交互蜜罐必須更注重安全性,都沒有用預設的port,改用port 64297 和port 64294,而多次登入失敗也會觸發fail2ban封鎖來源IP避免駭客對蜜罐發動brute force attack。
WEB介面登入後會見到如下的顯示,我們可以選擇要開啟那個面板:
明天繼續介紹面板、分析與實作。
“...Oh, and you have a new codename. Rather a good one: UNCLE.” – Waverly, The Man from U.N.C.L.E.