Closed8
初心者がハニーポット構築する
Teasegasugoi以下2つの記事を参考にして、ハニーポットを構築したい
ハニーポット
TeasegasugoiさくらVPSでサーバーを購入
SSD 25GB, 仮想1Core, 512MBメモリ, Ubuntu 20.04 amd64
Dockerを使って動かすために、スタートアップスクリプトに Docker Compose を選択
ログイン
サーバーを起動して、ターミナルからログイン
$ ssh ubuntu@<IPアドレス>
ユーザー作成 & sudo 権限付与
$ sudo adduser <ユーザー名>
...
Enter new UNIX password:
Retype new UNIX password:
passwd: password updated successfully
Changing the user information for xxx
Enter the new value, or press ENTER for the default
Full Name []:
Room Number []:
Work Phone []:
Home Phone []:
Other []:
Is the information correct? [Y/n] Y
...
sudo 付与
$ sudo gpasswd -a xxx sudo
Dockerfile作成 & docker build & docker run
/opt/xxx/Dockerfileを作成(参考記事そのまま利用)
FROM ubuntu:latest
RUN apt-get update && apt-get -y upgrade
RUN apt-get -y install git python3
WORKDIR /root
RUN git clone https://github.com/morihisa/WOWHoneypot.git wowhoneypot
WORKDIR /root/wowhoneypot
CMD ["python3", "wowhoneypot.py"]
build
$ docker build -t <image name> <Dockerfileが置かれているパス>
run
$ docker run -it -v /home/<ユーザー名>/wowhoneypot/log:/root/wowhoneypot/log -p 80:8080 -d --name <container name> <image name>
参考記事より
ブラウザで「http://<サーバーip or domain>」にアクセスすると、デフォルトのページが表示される。
アクセスしても、表示されない。。。
Teasegasugoiアクセスしても、表示されない。。。
パケットフィルタが初期設定でオンになってました!利用しないに設定すると、アクセスできた。
Teasegasugoirootユーザーでのログインを禁止
$ sudo vi /etc/ssh/sshd_config
sshd_config
- #PermitRootLogin prohibit-password
+ PermitRootLogin no
設定を反映させるために再起動
$ sudo systemctl restart sshd.service
追記
さくらのVPSマニュアルより
初期ログインユーザーは「ubuntu」となります。rootではログインできませんのでご注意ください。
rootユーザーでのログイン禁止する意味ないかも
Teasegasugoi鍵認証設定 & パスワード認証禁止
ローカルPC
$ cd ~/.ssh
$ ssh-keygen -f <ファイル名> -t rsa -b 2048
$ ssh-copy-id -i ~/.ssh/<ファイル名>.pub <ユーザー名>@xxx.xxx.xxx.xxx
パスワード認証を禁止する
/etc/ssh/sshd_config
- PasswordAuthentication yes
+ PasswordAuthentication no
再起動
$ sudo systemctl restart sshd.service
確認
$ ssh -i ~/.ssh/<ファイル名> <ユーザー名>@xxx.xxx.xxx.xxx
ポート番号変更
/etc/ssh/sshd_config
- #Port 22
+ Port xxxxx
再起動
$ sudo systemctl restart sshd.service
ufw の設定
ステータス確認
$ sudo ufw status
Status: inactive
有効化
$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y
Firewall is active and enabled on system startup
特定のポート番号を許可
$ sudo ufw allow <変更したポート番号>
Rule added
Rule added (v6)
設定が反映されていることを確認
$ sudo ufw status
Status: active
To Action From
-- ------ ----
xxxxx ALLOW Anywhere
xxxxx (v6) ALLOW Anywhere (v6)
参考
Teasegasugoi構築完了〜〜〜〜定期的にログを確認するぞ😤
このスクラップは2022/11/16にクローズされました