https://wiki.ixheim.de/index.php?action=history&feed=atom&title=OpenCanary
OpenCanary - Versionsgeschichte
2026-05-15T04:04:45Z
Versionsgeschichte dieser Seite in Xinux Wiki
MediaWiki 1.35.1
https://wiki.ixheim.de/index.php?title=OpenCanary&diff=61112&oldid=prev
Thomas.will: Die Seite wurde neu angelegt: „=OpenCanary= OpenCanary ist ein leichtgewichtiger, modularer Honeypot für Linux-Systeme. Er simuliert häufig angegriffene Netzwerkdienste und meldet Verb…“
2025-04-05T09:16:45Z
<p>Die Seite wurde neu angelegt: „=OpenCanary= <a href="/index.php/OpenCanary" title="OpenCanary">OpenCanary</a> ist ein leichtgewichtiger, modularer Honeypot für Linux-Systeme. Er simuliert häufig angegriffene Netzwerkdienste und meldet Verb…“</p>
<p><b>Neue Seite</b></p><div>=OpenCanary=<br />
[[OpenCanary]] ist ein leichtgewichtiger, modularer Honeypot für Linux-Systeme. Er simuliert häufig angegriffene Netzwerkdienste und meldet Verbindungsversuche in Echtzeit. OpenCanary ist einfach zu installieren und ideal für die Erkennung unberechtigter Zugriffsversuche in lokalen oder öffentlichen Netzwerken.<br />
<br />
=Zweck=<br />
*Frühwarnung bei Portscans, Brute-Force-Angriffen und Netzwerkscans<br />
*Integration in SIEM oder zentrale Log-Analyse (z. B. [[ELK]], [[Wazuh]])<br />
*Leichtgewichtig, modular, schnell einsatzbereit<br />
<br />
=Pakete=<br />
*open-canary (in manchen Repositories verfügbar)<br />
*Empfohlen: Installation via pip (Python 3)<br />
<br />
=Installation=<br />
==Debian/Ubuntu==<br />
*apt install python3 python3-pip python3-venv git<br />
<br />
*python3 -m venv venv<br />
*source venv/bin/activate<br />
*pip install --upgrade pip<br />
*pip install open-canary<br />
*open-canary --copyconfig<br />
<br />
=Konfiguration=<br />
*Datei: ~/.opencanary.conf<br />
<br />
Beispielkonfiguration:<br />
<pre><br />
{<br />
"device.node_id": "honeypot1",<br />
"logger": {<br />
"class": "PyLogger",<br />
"kwargs": {<br />
"formatters": {<br />
"plain": {<br />
"format": "%(message)s"<br />
}<br />
},<br />
"handlers": {<br />
"file": {<br />
"class": "logging.FileHandler",<br />
"filename": "/var/log/opencanary.log"<br />
}<br />
}<br />
}<br />
},<br />
"logger.handlers": ["file"],<br />
"ftp.enabled": true,<br />
"ssh.enabled": true,<br />
"http.enabled": true,<br />
"mysql.enabled": true,<br />
"telnet.enabled": false<br />
}<br />
</pre><br />
<br />
=Start=<br />
*open-canaryd<br />
<br />
=Logs=<br />
*Standard-Logdatei: /var/log/opencanary.log<br />
*Logformat: JSON (ideal für [[Filebeat]], [[Logstash]], [[Wazuh]])<br />
<br />
=Unterstützte Dienste=<br />
*SSH (Port 22)<br />
*FTP (Port 21)<br />
*HTTP (Port 80)<br />
*Telnet (Port 23)<br />
*MySQL (Port 3306)<br />
*Redis (Port 6379)<br />
*SNMP, SMB, VNC, TFTP, u.v.m.<br />
<br />
=Beispiel-Logeintrag=<br />
<pre><br />
{<br />
"dst_host": "10.0.10.10",<br />
"dst_port": 21,<br />
"local_time": "2025-04-05 10:32:11",<br />
"logdata": {<br />
"USERNAME": "anonymous",<br />
"PASSWORD": "test"<br />
},<br />
"src_host": "10.0.10.99",<br />
"src_port": 54321,<br />
"eventid": "ftp.login",<br />
"protocol": "ftp"<br />
}<br />
</pre><br />
<br />
=Integration=<br />
*Logweiterleitung an [[ELK]], [[Graylog]], [[Wazuh]], [[CrowdSec]]<br />
*Kombinierbar mit [[Filebeat]], [[rsyslog]] oder direkt per API<br />
<br />
=Vorteile=<br />
*Sehr einfache Einrichtung<br />
*Modular – Dienste können einzeln aktiviert werden<br />
*Geringer Ressourcenverbrauch<br />
*JSON-Logs für direkte Weiterverarbeitung<br />
<br />
=Grenzen=<br />
*Nur Low-Interaction – keine Shell, keine echte Interaktion<br />
*Dienste sind auf Simulationsebene – keine vollen Protokollemulationen<br />
<br />
=Alternativen und Ergänzungen=<br />
*[[Cowrie]] – Für interaktive SSH-Analyse<br />
*[[Tpot]] – Komplettlösung mit ELK-Stack<br />
*[[Canarytokens]] – Für Link-, Datei-, URL- und API-Fallen<br />
*[[Honeytrap]] – Framework für beliebige Port-Fallen</div>
Thomas.will