teppay’s log

技術ブログです。

(Dionaeaはやめて)T-Potをはじめてみた2

はじめに

  • 前回Ubuntu14.04をUbuntu16.04にアップグレードしたらいろいろ調べても見つからないエラーを吐かれてしまって諦めました。

teppay.hatenablog.com

  • たぶんアップグレードしたのが良くなかったんだろうと思うので、今回は新しくサーバを立てて、最初からUbuntu16.04でやってみようと思います。

  • 自分の記事ではありがちの、T-Potを始めるだけの新規性が大してない内容ですが、最後のブラウザからアクセスする部分で、他の記事の方法ではうまく行かなかったポイントがありますのでもし困っている方がいたら見てみてください。

やったこと

1. サーバを立てた

さくらのクラウド
OS : Ubuntu 16.04.3 LTS 64bit
メモリ : 1Core-4GB
ストレージ : SSD 100GB
$ sudo apt-get update
$ sudo apt-get upgrade
1.1 サーバの初期設定

初期設定はSSHのポートは変えずに、あとは以下のDionaeaのときにもお世話になった記事を参考にしました。

qiita.com

2. T-Potインストール

Ubuntu 16.04.* であれば、autoinstallを使うことができます。
使い方は、GithubのREADMEにあるとおり、install.shを実行するだけです。 github.com

2.1 T-Pot用のユーザを作成

作成したアカウントでSSHの公開鍵認証が使えるようにする。

# adduser tpo
# mkdir /home/tpo/.ssh
# cp /home/ubuntu/.ssh/authorized_keys /home/tpo/.ssh/
# chown tpo:tpo /home/tpo/.ssh/authorized_keys
2.2 インストール!

上にちょっと書いたとおり、autoinstallでサクッとインストールできるはずです。

$ git clone https://github.com/dtag-dev-sec/t-pot-autoinstall.git
$ cd t-pot-autoinstall
$ sudo su
# ./install.sh

最初にT-Potに使うユーザを聞かれます

##########################################################
# T-Pot 17.10 install script                             #
# for Ubuntu server 16.04.0x, x64                        #
##########################################################
Make sure the key-based SSH login for your normal user is working!

Which user do you usually work with?
This script is invoked by root, but what is your normal username?
Enter username:

なのでさっき作ったユーザ名(自分の場合ははtpo)を入力してEnterを押します。

次はインストールタイプの選択です。

##########################################################
#                                                        #
#     How do you want to proceed? Enter your choice.     #
#                                                        #
#     Required: 4GB RAM, 64GB disk                       #
#     Recommended: 8GB RAM, 128GB SSD                    #
#                                                        #
# 1 - T-Pot's STANDARD INSTALLATION                      #
#     Standard Honeypots, Suricata & ELK                 #
#                                                        #
# 2 - T-Pot's HONEYPOTS ONLY                             #
#     Honeypots only, w/o Suricata & ELK                 #
#                                                        #
# 3 - T-Pot's INDUSTRIAL EDITION                         #
#     Conpot, eMobility, Suricata & ELK                  #
#                                                        #
# 4 - T-Pot's FULL INSTALLATION                          #
#     Everything                                         #
#                                                        #
##########################################################

Your choice:

自分は通常のハニーポットとその可視化が出来るKibanaがついてるSTANDARDを選ぶので1を入力してEnterです。
ここまで終わると自動で色々インストールしてくれているようでざーーーーっと実行されている処理がターミナルに流れます。
途中で

### Removing NGINX default website. 
### Please enter a password for your user tpo for web access. 
Password: 
Repeat password:

たぶんNGINXのtpoのパスワードを聞かれるので、設定します。
あとは待つだけです。

### Thanks for your patience. Now rebooting. Remember to login on SSH port 64295 next time or visit the dashboard on port 64297! 

こんな表示が出たので、成功したはずです。
メッセージによると、 SSHのポートが64295に変更されているそうです

3. SSHアクセスしてみる

SSHのポートが64295に変更されているので、サーバのIPを<server_ip>とすると、

$ ssh tpo@<server_ip> -P 64295

これで行けるはずなんですが、

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
SHA256:*******.
Please contact your system administrator.
Add correct host key in /Users/****/.ssh/known_hosts to get rid of this message.
Offending ECDSA key in /Users/****/.ssh/known_hosts:15
RSA host key for <server_ip> has changed and you have requested strict checking.
Host key verification failed.

こんな感じのエラーが表示されます(見せられないところは****で隠してます)
どうやら接続先が.ssh/known_hostsの内容と変わってるのでMITM攻撃かもよ!と警告してくれているようです。
今回はT-PotのインストールでSSHの接続ポートなどが変更になったことが原因だと思いますので、問題ありません。そこでknown_hostsのT-Potのサーバの部分を削除すればいいそうです。
これは以下のコマンドで出来ます。

$ ssh-keygen -R <server_ip>

これで接続できるようになりました。

$ ssh -i ./.ssh/id_rsa -p 64295 ubuntu@<server_ip>

4. T-Potの起動確認

$ docker ps

これでハニーポットのプロセスがぞろぞろ出てきたら起動しています。

5. Kibana(可視化ソフト)などにアクセスしてみる。

ここで最大のハマリポイントがあります!!!!!
「T-Pot」とかで検索して出て来るサイトには、

ssh -i ec2-key.pem -p 64295 -N -L8080:127.0.0.1:64296 your-user@xx.xx.xx.xx

のようなコマンドでSSHトンネルを張ったうえで、http://localhost:8080にアクセスすると書いてあることがほとんどなのですが、最新版ではここが変わります。
最新版では、SSHトンネルを張るなどの操作はいらず、

https://<server_ip>:64297/

にブラウザからアクセスするだけです。httpsを使えるようになってSSHトンネルが必要なくなったようです。ありがたい。。。
ちなみにこれに気づくまでに5時間くらいかかりました。。。

よく読んだらインストール終了のメッセージに書いてあったなんて言えない。。。

f:id:teppay:20171123005423p:plain かっこいいです。(起動して数十分の画面)

まとめ

  • なんといってもかっこいい。
  • 自分でハニーポットのフロントエンド作るとかイキってたの恥ずかしい。
  • これからお世話になります。