如何用 docker 快速建立 honeypot public
TRANSCRIPT
![Page 1: 如何用 Docker 快速建立 honeypot public](https://reader034.vdocuments.mx/reader034/viewer/2022050714/58ee2e171a28ab6c018b4597/html5/thumbnails/1.jpg)
如何用 DOCKER 快速建立高互動 HONEYPOTHONEYCON 2016
TIM HSU
![Page 2: 如何用 Docker 快速建立 honeypot public](https://reader034.vdocuments.mx/reader034/viewer/2022050714/58ee2e171a28ab6c018b4597/html5/thumbnails/2.jpg)
徐千洋 (TIM HSU)
CHROOT 創辦人HITCON 創辦人網駭科技 創辦人曾任:台灣大哥大 資安部經理現職:VARMOUR 美商安連網路公司台灣分公司
![Page 3: 如何用 Docker 快速建立 honeypot public](https://reader034.vdocuments.mx/reader034/viewer/2022050714/58ee2e171a28ab6c018b4597/html5/thumbnails/3.jpg)
大綱• CONTAINER/DOCKER 簡介• 使用 DOCKER 組合 DOCKERPOT +
SHOWTERM• 安全性強化• DEMO
![Page 4: 如何用 Docker 快速建立 honeypot public](https://reader034.vdocuments.mx/reader034/viewer/2022050714/58ee2e171a28ab6c018b4597/html5/thumbnails/4.jpg)
CONTAINER
Host OS
Container Engine
APP
LIBC
APP
LIBC
APP
LIBC
• 執行程序可以有獨立的資源• 共用同一作業系統核心 (Kernel) ,速度快• 每一 CONTAINER 可視為共用核心的
VM
![Page 5: 如何用 Docker 快速建立 honeypot public](https://reader034.vdocuments.mx/reader034/viewer/2022050714/58ee2e171a28ab6c018b4597/html5/thumbnails/5.jpg)
![Page 6: 如何用 Docker 快速建立 honeypot public](https://reader034.vdocuments.mx/reader034/viewer/2022050714/58ee2e171a28ab6c018b4597/html5/thumbnails/6.jpg)
DOCKERPOThttps://github.com/mrschyte/dockerpot
![Page 7: 如何用 Docker 快速建立 honeypot public](https://reader034.vdocuments.mx/reader034/viewer/2022050714/58ee2e171a28ab6c018b4597/html5/thumbnails/7.jpg)
DOCKERPOT 特色
• 動態啟動 CONTAINER• 每一個來源 IP 對映一個 CONTAINER• 每隔一段時間,停止該 CONTAINER
![Page 8: 如何用 Docker 快速建立 honeypot public](https://reader034.vdocuments.mx/reader034/viewer/2022050714/58ee2e171a28ab6c018b4597/html5/thumbnails/8.jpg)
![Page 9: 如何用 Docker 快速建立 honeypot public](https://reader034.vdocuments.mx/reader034/viewer/2022050714/58ee2e171a28ab6c018b4597/html5/thumbnails/9.jpg)
DOCKER CONTAINER 的安全強化
![Page 10: 如何用 Docker 快速建立 honeypot public](https://reader034.vdocuments.mx/reader034/viewer/2022050714/58ee2e171a28ab6c018b4597/html5/thumbnails/10.jpg)
USER-NAMESPACE
• CONTAINER 不再用 ROOT 權限執行• 在 CONTAINER 底下的 ROOT 帳號其實會對應對 HOST 的一般權限帳號• 從 HOST 來看,所有在 CONTAINER 下的執行程序都會是一般權限執行• 設定 DOCKER ENGINE 執行時啟動/etc/default/docker
DOCKER_OPTS=“--userns-remap=default"
![Page 11: 如何用 Docker 快速建立 honeypot public](https://reader034.vdocuments.mx/reader034/viewer/2022050714/58ee2e171a28ab6c018b4597/html5/thumbnails/11.jpg)
UID=165536
UID=165537
dockremap:165536
/etc/subuid
UID=0
UID=1
root:0:XXXXdaemon:1:XXXX
/etc/passwd
![Page 12: 如何用 Docker 快速建立 honeypot public](https://reader034.vdocuments.mx/reader034/viewer/2022050714/58ee2e171a28ab6c018b4597/html5/thumbnails/12.jpg)
CAPABILITIES
• 將特權帳號能做的事,切割成數十個,並給予控制• 例如 : /BIN/PING 傳統上必須為 SETUID-ROOT 權限的程式 • 如今,它只要有 CAP_NET_RAW CAPABILITY# ls -al /bin/ping-rwxr-xr-x 1 root root 44168 Mar 15 2014 # getcap /bin/ping/bin/ping = cap_net_raw+p
![Page 13: 如何用 Docker 快速建立 honeypot public](https://reader034.vdocuments.mx/reader034/viewer/2022050714/58ee2e171a28ab6c018b4597/html5/thumbnails/13.jpg)
DEMOhttps://github.com/timhsutw/honeyterm
![Page 14: 如何用 Docker 快速建立 honeypot public](https://reader034.vdocuments.mx/reader034/viewer/2022050714/58ee2e171a28ab6c018b4597/html5/thumbnails/14.jpg)
Q&A
![Page 15: 如何用 Docker 快速建立 honeypot public](https://reader034.vdocuments.mx/reader034/viewer/2022050714/58ee2e171a28ab6c018b4597/html5/thumbnails/15.jpg)
感謝各位聆聽<[email protected]>