0x01 项目地址
https://github.com/threatstream/mhn
0x02 概述
MHN是一个开源蜜罐,它简化了蜜罐的部署,同时便于收集和统计蜜罐的数据。用ThreatStream(http://threatstream.github.io/mhn/)来部署,整理后保存在Mongodb中,它安装了入侵检测软件的部署传感器:Snort,Kippo,Conpot和Dionaea,收集到的信息也可以通过web接口来展示或者通过开发的API访问。
Flask应用程序公开了蜜罐可用于:
下载部署脚本 连接并注册 下载snort规则 发送入侵检测日志
它还允许系统管理员:
查看新的攻击列表 管理snort规则:启用,禁用,下载
MHN支持以下蜜罐:Snort、Suricata、Dionaea、Conpot、Kippo、Amun、Glastopf、Wordpot、ShockPot、p0f
0x03 安装
现在只有Ubuntu 12,Ubuntu 14和Centos 6.7支持MHN服务器,Ubuntu 16目前不支持,Linux的其他风格/版本可能可以用,但未经过测试,大家可以自行测试。
注意:如果在安装过程中遇到问题,可以看维基上的故障排除指南。如果只想在某些虚拟机上尝试使用MHN,可以看维基上的Vagrant入门指南。
安装Git
# on Debian or Ubuntu$ sudo apt-get install git -y# on Centos or RHEL$ sudo yum install -y git
安装MHN
$ cd /opt/$ sudo git clone https://github.com/threatstream/mhn.git$ cd mhn/
运行以下脚本来完成安装。当此脚本运行时,系统会提示输入一些配置选项。可以试试看下面这个
$ sudo ./install.sh
MHN配置
===========================================================MHN Configuration===========================================================Do you wish to run in Debug mode?: y/n nSuperuser email: YOUR_EMAIL@YOURSITE.COMSuperuser password: Server base url ["http://1.2.3.4"]: Honeymap url ["http://1.2.3.4:3000"]:Mail server address ["localhost"]: Mail server port [25]: Use TLS for email?: y/n nUse SSL for email?: y/n nMail server username [""]: Mail server password [""]: Mail default sender [""]: Path for log file ["mhn.log"]:
运行
如果安装脚本成功运行,要在MHN服务器上运行多个服务。查看下面的内容。
user@precise64:/opt/mhn/scripts$ sudo /etc/init.d/nginx status * nginx is running
user@precise64:/opt/mhn/scripts$ sudo /etc/init.d/supervisor status is running
user@precise64:/opt/mhn/scripts$ sudo supervisorctl status
geoloc RUNNING pid 31443, uptime 0:00:12honeymap RUNNING pid 30826, uptime 0:08:54hpfeeds-broker RUNNING pid 10089, uptime 0:36:42mhn-celery-beat RUNNING pid 29909, uptime 0:18:41mhn-celery-worker RUNNING pid 29910, uptime 0:18:41mhn-collector RUNNING pid 7872, uptime 0:18:41mhn-uwsgi RUNNING pid 29911, uptime 0:18:41mnemosyne RUNNING pid 28173, uptime 0:30:08
在代理服务器后运行MHN
对于以下每个文件,请确保添加了代理设置(并更改了用户/pass/domain/port)
这些需要为MHN服务器和你打算部署的蜂蜜系统(假设蜜罐部署在防火墙后面)设置。
/etc/environment
ALL_PROXY=http://user:[email protected]:8080HTTP_PROXY=http://user:[email protected]:8080HTTPS_PROXY=http://user:[email protected]:8080http_proxy=http://user:[email protected]:8080https_proxy=http://user:[email protected]:8080
/etc/apt/apt.conf.d/95proxies
Acquire::http::proxy "http://user:[email protected]:8080";Acquire::https::proxy "http://user:[email protected]:8080";Acquire::ftp::proxy "http://user:[email protected]:8080";
/.gitconfig
[http]
proxy = http://user:[email protected]:8080
命令:
PROXY='http://user:[email protected]:8080'grep -F "$PROXY" /etc/environment || cat | 
注册
登录
