teppay’s log

技術ブログです。

(Dionaeaはやめて)T-Potをはじめてみた(はじまらなかった)

はじめに

  • 数ヶ月前?にDionaeaを立てて、そのログを可視化できるDionaeaFRというアプリケーションをいれました。
  • しかし、DionaeaFRの一部がうまく動かず使う気になれず、「Dionaeaのフロントエンドつくったる」とイキっていました。

  • しかし、当たり前ですが、ハニーポッターになって数ヶ月のやつが新しいもの(新しく作るに値するもの)を思いつくはずもなく、途中で詰まっていました。
  • そこで、今のところは「巨人の肩に立つ」ことにして、Dionaeaを含む複数のハニーポットとそのフロントエンドが一つになったT-Potを入れてみることにしました。
  • これは失敗談です。以下が成功したときの記事です。

teppay.hatenablog.com

やったこと

1. サーバの拡張?

いままではDionaea単体で動かしていたため、メモリを1GBしか積んでいませんでした(これで要件満たしていたのかは知りません)が、T-Potのスタンダード版は4GB必要らしいです。
また、Dionaeaの場合はUbuntu14. のほうがインストールが簡単だったのですが、T-Potの場合はautoinstallというありがたい自動インストールの恩恵を受けられるのがUbuntu 16.04らしいのでOSも変えてしまおうと思います。

OS : Ubuntu 14.04
メモリ : 1GB


V

OS : Ubuntu 16.04
メモリ : 4GB
1.1 メモリ増設

ハニーポットを立てているサーバはさくらのクラウドで借りているので、以下のサイトの通りに1GBから4GBに増設しました。

knowledge.sakura.ad.jp

ポチポチっと4回くらいクリックしたら1GBから4GBになっていました。クラウドって便利ですね。

1.2 OSアップグレード

これは以下のサイトを参考にしました。
ただ、一応アップグレードされるOSが16.04かどうか確かめるために、

$ sudo do-release-upgrade

の前に

$ sudo do-release-upgrade -c

さすがに1GBから4GBになったので若干サクサクになった気がします笑
数十分かかりましたが気長に待ちます。

$ lsb_release -d
Description:    Ubuntu 16.04.3 LTS

はいできました、

2. T−Potインストール

参考にしてばっかりですが、以下の記事を参考にしました。

qiita.com

2.1 T-Pot用のユーザ作成
# adduser tpo

このユーザ(tpo)に公開鍵認証でssh出来るようにするために

# cp /home/ubuntu/.ssh/authorized_keys /home/your-user/.ssh/
# cd /home/your-user/
# chown your-user:your-user .ssh/authorized_keys
2.2 インストール!

上でちょっと書いたとおり、Ubuntu16.04.*であれば、autoinstall様が使えるので、簡単にインストール出来ます。

$ git clone https://github.com/dtag-dev-sec/t-pot-autoinstall.git
$ cd t-pot-autoinstall/
# ./install.sh

はい。これで終りと思ったら。

### SSH port is not 22. Script will abort! 

というエラーを履きました。 SSHのポートが22番じゃないじゃないからやめる!だそうです。
しらんし、

22に戻せばいいんですかね。

# vi /etc/ssh/sshd_config

でひとまず22に戻して、SSH切断されて、接続ポート変えて接続しようと思ったら、接続できない!

Dionaeaはsshのログを取ることはできなかったので22番ポートを閉じていたのでした笑
さくらのクラウドのマイページ的なところからWeb経由のコンソールが使えるのを知っていてよかった...(知らなかったら今頃パニック)

# ufw allow 22

これでまた22番ポートでssh出来るようになりました。ここでもう一度。

$ cd t-pot-autoinstall/
# ./install.sh

今度は無事動きました。
T-Potで使用するユーザの選択と、インストールタイプを選択すると勝手に進んでいきます。

と思ったら、なぜかnpmがぶっこわれて、インストールが進まなくなりました。
理由は(調べても出てこなかったので)よくわかりませんが、OSをアップグレードしたのが行けなかったかなと思っています。しらんけど。
なので、どうせDionaeaでしか使っていなかったサーバなので、ログを退避したあと、初期化してOSを入れ直して再度挑戦しようと思います。
これが手軽にできるのがクラウドの良いところ?

まとめ

鬼のような時間の無駄でした。