如何用 docker 快速建立 honeypot public

如何用 DOCKER 快速建立高互動 HONEYPOTHONEYCON 2016

TIM HSU

徐千洋 (TIM HSU)

CHROOT 創辦人HITCON 創辦人網駭科技 創辦人曾任:台灣大哥大 資安部經理現職:VARMOUR 美商安連網路公司台灣分公司

大綱• CONTAINER/DOCKER 簡介• 使用 DOCKER 組合 DOCKERPOT +

SHOWTERM• 安全性強化• DEMO

CONTAINER

Host OS

Container Engine

APP

LIBC

APP

LIBC

APP

LIBC

• 執行程序可以有獨立的資源• 共用同一作業系統核心 (Kernel) ，速度快• 每一 CONTAINER 可視為共用核心的

VM

DOCKERPOThttps://github.com/mrschyte/dockerpot

DOCKERPOT 特色

• 動態啟動 CONTAINER• 每一個來源 IP 對映一個 CONTAINER• 每隔一段時間，停止該 CONTAINER

DOCKER CONTAINER 的安全強化

USER-NAMESPACE

• CONTAINER 不再用 ROOT 權限執行• 在 CONTAINER 底下的 ROOT 帳號其實會對應對 HOST 的一般權限帳號• 從 HOST 來看，所有在 CONTAINER 下的執行程序都會是一般權限執行• 設定 DOCKER ENGINE 執行時啟動/etc/default/docker

DOCKER_OPTS=“--userns-remap=default"

UID=165536

UID=165537

dockremap:165536

/etc/subuid

UID=0

UID=1

root:0:XXXXdaemon:1:XXXX

/etc/passwd

CAPABILITIES

• 將特權帳號能做的事，切割成數十個，並給予控制• 例如 : /BIN/PING 傳統上必須為 SETUID-ROOT 權限的程式 • 如今，它只要有 CAP_NET_RAW CAPABILITY# ls -al /bin/ping-rwxr-xr-x 1 root root 44168 Mar 15 2014 # getcap /bin/ping/bin/ping = cap_net_raw+p

DEMOhttps://github.com/timhsutw/honeyterm

Q&A

感謝各位聆聽<TIMHSU.TW@GMAIL.COM>