使用Docker自建蜜罐系统侦测失陷、外网威胁感知、威胁情报等

Hfish是一款基于Docker的网络钓鱼平台，它能够帮助安全团队模拟各种网络钓鱼攻击，以测试和提高组织的安全防御能力。

Hfish的优点

蜜罐通常被定义为具有轻量级检测能力、低误报率的检测产品，同时它也是企业生产本地威胁情报的优质来源之一。HFish可以帮助中小型企业用户在日常安全运营中进行避免告警洪水、低成本的增加威胁感知和情报生产能力。目前，社区的力量正在不断帮助HFish完善自身，共同探索欺骗防御的最佳实践。

HFish支持基本网络 服务、OA系统、CRM系统、NAS存储系统、Web服务器、运维平台、安全产品、无线AP、交换机/路由器、邮件系统、IoT设备等90多种蜜罐服务、支持用户制作自定义Web蜜罐、支持流量牵引到免费云蜜网、支持可开关的全端口扫描感知能力、支持可自定义的蜜饵配置、一键部署、跨平台多架构，支持Linux x32/x64/ARM、Windows x32/x64平台和多种国产操作系统、支持龙芯、海光、飞腾、鲲鹏、腾云、兆芯等国产CPU、极低的性能要求、邮件/syslog/webhook/企业微信/钉钉/飞书告警等多项特性，帮助用户降低运维成本，提升运营效率。

部署安装

HFish采用B/S架构，系统由管理端和节点端组成，管理端用来生成和管理节点端，并接收、分析和展示节点端回传的数据，节点端接受管理端的控制并负责构建蜜罐服务。

Docker是我们推荐的部署方式之一，当前的版本拥有以下特性：

1. 自动升级：每小时请求最新镜像进行升级，升级不会丢失数据。
2. 数据持久化：在宿主机/usr/share/hfish目录下建立data目录用于存放攻击数据，建立logs目录用于存放日志。
   注意：当前Docker版本使用host模式启动，如果您不希望Docker的管理端开放除TCP/4433和TCP/4434以外的端口，可暂停管理端内置默认节点。

docker run -itd --name hfish \
-v /usr/share/hfish:/usr/share/hfish \
--network host \
--privileged=true \
threatbook/hfish-server:latest

配置自动升级

docker run -d    \
 --name watchtower \
 --restart unless-stopped \
  -v /var/run/docker.sock:/var/run/docker.sock  \
  --label=com.centurylinklabs.watchtower.enable=false \
--privileged=true \
  containrrr/watchtower  \
  --cleanup  \
  hfish \
  --interval 3600

等待升级成功后，登录Web管理页面，确认升级完成。

取消watchover自动升级

docker stop watchtower

完成watchover配置后，后续如果还需手动升级，只需要执行 docker start watchtower 和 docker stop watchtower 即可，不需要反复配置watchover。

Docker修改持久化配置并重启

在/usr/share/hfish/config.toml下面修改配置
重启docker容器

docker restart hfish

访问Web-HFish

地址：https://ip:4433/web/
用户名：admin
密码：HFish2021

初始化

数据库可根据需要，选择SQLite或者MySQL，MariaDB，官方推荐MariaDB。

页面展示