开源蜜罐：T-Pot 安装和使用

T-Pot 蜜罐框架是一个多功能蜜罐系统，通过部署自定义的 Docker 容器来模拟常见的可被恶意利用的服务。T-Pot 框架会收集每个容器的所有日志，并将它们集中到一个弹性堆栈中，为安全团队提供每个服务受到攻击的前端视图。同时，它还能捕获恶意软件样本，以便实现更详细地分析攻击。

我对 AWS 比较熟悉，那就在 AWS 上面开一台新机器，要注意内存至少8G，硬盘至少 128G 才能跑起来蜜罐哦，我开的是 Lightsail 上的 8C32G Debian 机器，我还是更喜欢 Debian：

注意要改下安全组或者防火墙，放通全部流量：

然后 SSH 到机器上，非 root 下执行：

git clone https://github.com/telekom-security/tpotcecd tpotce/./install.sh

执行安装过程如下：

这里的安装选项我选择 Hive，你也可以选择 Sensor，具体的区别如下：

标准版 / HIVE 使用 T-Pot 标准版 / HIVE，所有服务、工具、蜜罐等将安装在单个主机上，该主机也作为 HIVE 端点。请确保满足系统要求。也可以根据个人使用需求调整 ~/tpotce/docker-compose.yml 文件，或使用 ~/tpotce/compose/customizer.py 创建更细致的配置。

分布式版本至少需要两个主机：

• T-Pot HIVE，即 T-Pot 的标准安装（请先安装这个！）
• T-Pot SENSOR，它只会托管蜜罐和一些工具，并将日志数据传输到 HIVE。

但是有一点需要注意，Hive 需要至少 16G 内存，Sensor 需要 8G 就够了。

我选择 Hive，接下来输入 Web UI 的用户名密码，然后要等待一阵子，才能安装完：

SSH 端口从端口 22 换到了 64295，以后再连接这机器就不能用 22 连了，所以接下来重启一下机器，-p 64295 来连接。

重启之后就可以用 https://ip:64297 来连接 Web UI 了：

T-Pot 提供的所有服务都可以通过转到 Kibana 进行访问：

还有炫酷的 Attack Map：

接下来测试一下，再用 URL Scan 扫一下看看咯：

回到蜜罐瞧一眼：

是会产生告警，包含相应的 IP 和 CVE ID之类：

PS：建议别用 Ubuntu，并且尽量拉高机器配置，这玩意集成了这么多服务，如果配置不足可能镜像起不来，出现什么莫名其妙的问题建议换 Debian + 高配尝试一下。

原文始发于微信公众号（imBobby的自留地）：开源蜜罐：T-Pot 安装和使用