ハニーポットの構築(T-Pot:インストール with RaspberryPi)Building the Honeypot

PC

ハニーポットを植えたけどハマってしまいました。

HoneyPotを植えてみようと思い、RaspberryPiに植えてみました。

試行錯誤の結果、以下の方法でうまくいきました。

 ※ T-PotはDockerを活用しているため、T-PotをインストールするDebian11は、まっさらな状態である必要があります。

 ※ 私は、Debian11インストール後、T-Potで使われるnginx(Webサーバー)をインストールしてから、T-Potをインストールするという作業を毎度やっていました。そのため、「Debian11本体で使われるnginx」と、「T-Potで使われるDockerのnginx」が競合してしまってうまく動きませんでした。その点に気づくのに時間がかかり1週間程度無駄にしました。

RspberryPiじゃない場合

isoファイルはDebian11のnetinstである必要があります。アーカイブからダウンロードしてください。

たぶんこれがdebian-11.7.0-amd64-netinst.iso)一番いいと思います。

現在(R5.6.18)はDebian12が出ていますが、12ではうまくいきません。

インストール環境

○ Windows11(microSDカードにインストールした母体です)

○ Raspberry Pi 4 model B 4GB(T-Potの母体です)

MicroSDにDebian11をインストール

○ RaspberryPi用のDebian11をダウンロード(末尾が「xz」で終わるものを選びます)(現在のDebian12ではT-Potがインストールできないため、Debian11を使います)

○ RaspberryPiImagerをインストールする。

○ DebianをインストールするMicroSDカードをスロットに差す。

○ ①でダウンロードしたimgファイルをダブルクリックする。

○ 上記のようになるので、「ストレージ(先ほど差したSDカードが出てきます)」を選び、「書き込む」を押下する。

○ 終了するまで待ちます。

Raspberry Pi で設定する

T-Potの設定
ユーザ名:honeyadmin  パスワード:password  だとします 

○ 書き込みが終わったら、SDカードをRaspberryPiに差して起動させます。

○ ユーザ「root」パスワード「なし」でログインします。

※注意事項 sshなどを使わず、直接Debianを編集する際は、英語キーボードで打つことになるため注意してください。

○ セキュリティ向上のため「root」のパスワードを設定します。(複雑なパスワードをお願いします。

  passwd (自分で決めたパスワード→rootなので複雑なものを)

○ Debianをアップデートします。

  apt update 
  apt upgrade

○ sudo、gitをインストール

  apt install sudo git

○ T-Pot用のユーザを作成します。(ユーザ名 honeyadminとします)

  adduser honeyadmin

○ honeyadminにsudo権限を与えます。

  usermod -aG sudo honeyadmin

○ 再起動します。

  shutdown -r now

いよいよT-Potのインストール

○ 作成したhoneyadminでログインします。

○ ログイン後、T-Potをインストールしていきます。

git clone https://github.com/telekom-security/tpotce
cd tpotce/iso/installer/
sudo ./install.sh --type=user

○ 最初に以下のような画面で、「Continue [y/n]?」と求められますので「y」で継続します。

ここでは「STANDARD」選びます。

ここでは、T-Potを運用する「ユーザー名」を記載します。ここでは、先ほど作成した「honeyadmin」を使いましたが、別に異なるユーザー名でも構いません。

上記の「ユーザー名」に対する「パスワード」を設定します。外部からのアクセスに常にさらされるサーバーですので、複雑性の保たれたパスワード(Nist sp800-63)を設定してください。

インストールが始まります。

システムにもよりますが、インストールは、RaspberryPi4b+4GBでは20分程度でした。

インストールが終了すると再起動されます。上図の「MY_HOSTNAME=objectibesunglasses」とあるように、勝手にランダムなホスト名が作成されます。

ホストobjectivesunglassesのIPアドレスが「192.168.1.10」だとします。

ホスト宛てにブラウザ(本環境はGoogleChrome)から「http://192.168.1.10:64294」と打つと以下のような画面になりますので、「192.168.1.10にアクセスする」を押下します。

ここで、T-Potのインストール時に作成した「ユーザー名」と「パスワード」を入力して、「ログイン」します。

「http://192.168.1.10:64294」なら「cockpit」になります。

「AttackMap」を選ぶと・・・・

  ↑ こんなDDoSが見られて感激です。(喜んでもいいのかな?)

ちなみに T-Potのサーバーにssh接続するには、ポート番号が「64295」に変更されているので注意です。

現行(2024/1/14)は

2024年1月の時点では若干、変更しています

T-Potのインストールについて

現行(2024/3/12)は

再び更新しました。

Debian12で構築しています。

現行(2024/5/1)は

T-Pot24.04に更新されました。

コメント