初心者
セキュリティ

セキュリティ初心者がハニーポッド設置してみた

長期休みがあったので、
ハニーポッド観察記録という本をちょっと読みまして、
ひとまず設置してみただけの自分用メモ。
昔から設置したくて仕方なかった。
cowrie、glastopfを入れました。
設置時間コマンド叩いてる時間は10分もかかってないです。docker便利です。

これから監視していきたいです。

docker

そもそもdocker入れる

sudo apt-get update
sudo apt-get install \
    apt-transport-https \
    ca-certificates \
    curl \
    software-properties-common \
    emacs
curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo apt-key add -
sudo add-apt-repository \
   "deb [arch=amd64] https://download.docker.com/linux/ubuntu \
   $(lsb_release -cs) \
   stable"

Docker Community Edition

ceも入れる

sudo apt-get update; sudo apt-get install docker-ce

cowrie

ssh専用のハニーポッド設置

https://github.com/micheloosterhof/cowrie

docker pull cowrie/cowrie

動いてるか確認

docker ps -a

CONTAINER ID        IMAGE               COMMAND                  CREATED             STATUS              PORTS                NAMES
54f219cb579c        3563dedc36b9        "/cowrie/cowrie-git/…"   41 minutes ago      Up 33 minutes       2222-2223/tcp        musing_ptolemy

ログを見る
設置したばっかで、まだないけど。

ログのコピー例
docker cp 54f219cb579c:/etc/hoge.txt hoge.txt
ログの部分
/cowrie/cowrie-git/log

dockerに入る例
docker exec -it 54f219cb579c /bin/bash

Ctrl+dでデタッチ

glastopf

web用のハニーポッド設置

git clone https://github.com/mushorg/glastopf.git
cd glastopf
docker build --rm --tag glastopf .
mkdir myhoneypot1
docker run --detach --publish 80:80 --volume myhoneypot1:/opt/myhoneypot glastopf

動いてるか確認

docker ps -a

CONTAINER ID        IMAGE               COMMAND                  CREATED             STATUS              PORTS                NAMES
2798c8515bf7        glastopf            "glastopf-runner"        3 minutes ago       Up 3 minutes        0.0.0.0:80->80/tcp   relaxed_kilby
54f219cb579c        3563dedc36b9        "/cowrie/cowrie-git/…"   41 minutes ago      Up 33 minutes       2222-2223/tcp        musing_ptolemy

ログを見るときの例

dockerに入る例
docker exec -it 2798c8515bf7 /bin/bash

Ctrl+dでデタッチ