热门搜索:
thinkst/canarytokens
thinkst
Canarytokens是一个无代理入侵检测系统(IDS),帮助跟踪网络上的活动和操作,通过部署诱骗令牌监控未授权访问,支持多种告警方式和自定义配置。
15 次收藏下载次数: 0状态:社区镜像维护者:thinkst仓库类型:镜像最近更新:6 天前
Docker化Canarytokens
由Thinkst Applied Research开发
概述
Canarytokens帮助跟踪网络上的活动和操作。若遇到问题,请查看https://github.com/thinkst/canarytokens/wiki#%E6%88%96%E5%88%9B%E5%BB%BAissue%EF%BC%8C%E6%88%91%E4%BB%AC%E5%B0%86%E5%B0%BD%E5%BF%AB%E5%9B%9E%E5%A4%8D%E3%80%82
核心功能和特性
- 无代理架构:无需在目标设备安装代理,通过诱骗令牌实现入侵检测
- 多类型令牌支持:包括PDF令牌等多种类型,满足不同监控需求
- 灵活告警机制:支持邮件(Mailgun、Mandrill、Sendgrid)、Slack及自定义webhook告警
- 错误日志集成:可将错误日志发送至指定webhook,及时发现系统异常
- IP信息增强:支持配置ipinfo.io API密钥,获取详细IP地理位置信息
- 跨架构支持:可构建适用于不同架构的镜像,适应多样化部署环境
- 配置持久化:通过
.env文件管理配置,避免更新时覆盖自定义设置
使用场景和适用范围
- 网络入侵检测:监控网络中的未授权访问和异常活动
- 敏感操作跟踪:跟踪敏感文件访问、系统配置变更等关键操作
- 安全边界监控:在网络边界部署令牌,检测外部渗透尝试
- 内部威胁检测:监控内部网络中的可疑行为和数据泄露风险
- 合规审计支持:为安全合规审计提供活动跟踪记录
使用方法和配置说明
前提条件
- 至少1个域名(如需PDF令牌跟踪则至少2个域名)
- 面向互联网的Docker主机(可参考Linux Docker安装指南)
安装步骤
1. 克隆仓库并进入目录
bash$ git clone https://github.com/thinkst/canarytokens-docker $ cd canarytokens-docker
2. 安装Docker Compose(如未安装)
bash$ sudo apt-get install python-pip python-dev $ sudo pip install -U docker-compose # 若出现PyYAML错误,安装libyaml开发包 # sudo apt-get install libyaml-dev
3. 配置环境变量文件
系统提供两个配置文件模板:switchboard.env.dist和frontend.env.dist,需复制并重命名为实际配置文件:
bash# 复制配置文件模板 $ cp switchboard.env.dist switchboard.env $ cp frontend.env.dist frontend.env
配置文件说明
通用配置(需同时修改两个文件)
- CANARY_PUBLIC_IP:设置为Docker主机的公网IP,用于处理Canarytoken触发
frontend.env配置
- CANARY_DOMAINS:设置您拥有的域名(需为每个域名添加A记录指向Docker主机IP)
- CANARY_NXDOMAINS(仅PDF令牌需要):设置用于PDF跟踪的域名(需为每个域名添加NS记录指向CANARY_DOMAINS中的域名)
switchboard.env配置
- CANARY_PUBLIC_DOMAIN(可选):取消注释并设置为CANARY_DOMAINS中的一个域名(默认使用公网IP)
- 邮件服务配置:根据使用的邮件服务取消注释并设置对应API密钥
- Mailgun:
CANARY_MAILGUN_DOMAIN_NAME和CANARY_MAILGUN_API_KEY(欧洲节点需添加CANARY_MAILGUN_BASE_URL=https://api.eu.mailgun.net) - Mandrill:
CANARY_MANDRILL_API_KEY - Sendgrid:
CANARY_SENDGRID_API_KEY
- Mailgun:
- 错误日志webhook(可选):设置
ERROR_LOG_WEBHOOK接收错误日志告警 - IP信息API密钥(可选):设置
CANARY_IPINFO_API_KEY使用ipinfo.io服务
生成***密钥
在两个配置文件中设置相同的CANARY_WG_PRIVATE_KEY_SEED,生成命令:
bash$ dd bs=32 count=1 if=/dev/urandom 2>/dev/null | base64
配置示例
frontend.env示例
# 通用令牌使用的域名 CANARY_DOMAINS=example1.com,example2.com # PDF令牌使用的域名(仅PDF需要) CANARY_NXDOMAINS=example3.com # Google Maps API密钥(可选,用于历史页面地图显示) #CANARY_GOOGLE_API_KEY= CANARY_PUBLIC_IP=1.1.1.1 CANARY_WG_PRIVATE_KEY_SEED=vk/GD+frlhve/hDTTSUvqpQ/WsQtioKAri0Rt5mg7dw=
switchboard.env示例(Mailgun配置)
CANARY_MAILGUN_DOMAIN_NAME=x.y CANARY_MAILGUN_API_KEY=zzzzzzzzzz #CANARY_MANDRILL_API_KEY= #CANARY_SENDGRID_API_KEY= CANARY_PUBLIC_IP=1.1.1.1 CANARY_PUBLIC_DOMAIN=my.domain CANARY_ALERT_EMAIL_FROM_ADDRESS=noreply@example.com CANARY_ALERT_EMAIL_FROM_DISPLAY="Example Canarytokens" CANARY_ALERT_EMAIL_SUBJECT="Canarytoken" CANARY_WG_PRIVATE_KEY_SEED=vk/GD+frlhve/hDTTSUvqpQ/WsQtioKAri0Rt5mg7dw=
Docker部署示例
启动服务(前台运行)
bash$ docker-compose up
后台运行
bash$ docker-compose up -d
数据持久化
令牌数据存储在Redis数据库文件中,路径为canarytokens-docker/data/dump.rdb(位于容器外部)。如需清除所有令牌,删除该文件即可。
HTTPS配置
使用docker-compose-letsencrypt.yml配置文件可自动部署HTTPS:
1. 配置certbot.env
bash# 单个域名 MY_DOMAIN_NAME=example.com # 多个域名(取消上面注释,使用下面配置) # MY_DOMAIN_NAMES=example.com anotherexample.net thirdexample.org EMAIL_ADDRESS=jay@example.com
2. 启动HTTPS服务
bash# 前台运行(验证配置) $ docker-compose -f docker-compose-letsencrypt.yml up # 后台运行(生产环境) $ docker-compose -f docker-compose-letsencrypt.yml down $ docker-compose -f docker-compose-letsencrypt.yml up -d
注意事项
- Let's Encrypt有证书生成速率限制,测试时可修改
cerbot-nginx/start.sh中的./certbot-auto命令添加--staging参数 - 证书注册过程需验证域名所有权,详情参考Certbot文档
启用基本认证
如需为Canarytokens站点添加基本认证,按以下步骤操作:
1. 生成密码文件
bash# 进入Nginx配置目录(HTTP用nginx目录,HTTPS用certbot-nginx目录) $ cd canarytokens-docker/nginx # 或 cd canarytokens-docker/certbot-nginx # 生成.htpasswd文件(user替换为实际用户名) $ sudo htpasswd -c .htpasswd user # 修改文件权限 $ sudo chown <user>:<user> .htpasswd # <user>替换为本地Linux用户名
2. 配置Nginx
编辑nginx.conf,在需要保护的location块添加认证配置:
nginxserver { ... location ~* (/generate|/manage|/download|/history|/settings|/resources).* { auth_basic "Basic Auth Restricted Canrytokens"; # 添加 auth_basic_user_file /etc/nginx/.htpasswd; # 添加 ... } }
3. 更新Dockerfile
编辑Dockerfile,添加密码文件复制命令:
dockerfileCOPY nginx.conf ... # 原有的复制配置文件命令 COPY .htpasswd /etc/nginx/.htpasswd # 添加此行
4. 重建并重启容器
bash$ docker-compose build $ docker-compose up -d
镜像拉取方式
您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本,请访问 标签列表页面。
轩辕镜像加速拉取命令点我查看更多 canarytokens 镜像标签
docker pull docker.xuanyuan.run/thinkst/canarytokens:<标签>
DockerHub 原生拉取命令
docker pull thinkst/canarytokens:<标签>
轩辕镜像配置手册
探索更多轩辕镜像的使用方法,找到最适合您系统的配置方式
Docker 配置
登录仓库拉取
通过 Docker 登录认证访问私有仓库
专属域名拉取
无需登录使用专属域名
K8s Containerd
Kubernetes 集群配置 Containerd
K3s
K3s 轻量级 Kubernetes 镜像加速
Dev Containers
VS Code Dev Containers 配置
Podman
Podman 容器引擎配置
Singularity/Apptainer
HPC 科学计算容器配置
其他仓库配置
ghcr、Quay、nvcr 等镜像仓库
Harbor 镜像源配置
Harbor Proxy Repository 对接专属域名
Portainer 镜像源配置
Portainer Registries 加速拉取
Nexus 镜像源配置
Nexus3 Docker Proxy 内网缓存
系统配置
需要其他帮助?请查看我们的 常见问题Docker 镜像访问常见问题解答 或 提交工单
镜像拉取常见问题
使用与功能问题
配置了专属域名后,docker search 为什么会报错?
docker search 限制
Docker Hub 上有的镜像,为什么在轩辕镜像网站搜不到?
站内搜不到镜像
机器不能直连外网时,怎么用 docker save / load 迁镜像?
离线 save/load
docker pull 拉插件报错(plugin v1+json)怎么办?
插件要用 plugin install
WSL 里 Docker 拉镜像特别慢,怎么排查和优化?
WSL 拉取慢
轩辕镜像安全吗?如何用 digest 校验镜像没被篡改?
安全与 digest
第一次用轩辕镜像拉 Docker 镜像,要怎么登录和配置?
新手拉取配置
轩辕镜像合规吗?轩辕镜像的合规是怎么做的?
镜像合规机制
错误码与失败问题
docker pull 提示 manifest unknown 怎么办?
manifest unknown
docker pull 提示 no matching manifest 怎么办?
no matching manifest(架构)
镜像已拉取完成,却提示 invalid tar header 或 failed to register layer 怎么办?
invalid tar header(解压)
Docker pull 时 HTTPS / TLS 证书验证失败怎么办?
TLS 证书失败
Docker pull 时 DNS 解析超时或连不上仓库怎么办?
DNS 超时
docker 无法连接轩辕镜像域名怎么办?
域名连通性排查
Docker 拉取出现 410 Gone 怎么办?
410 Gone 排查
出现 402 或「流量用尽」提示怎么办?
402 与流量用尽
Docker 拉取提示 UNAUTHORIZED(401)怎么办?
401 认证失败
遇到 429 Too Many Requests(请求太频繁)怎么办?
429 限流
docker login 提示 Cannot autolaunch D-Bus,还算登录成功吗?
D-Bus 凭证提示
为什么会出现「单层超过 20GB」或 413,无法加速拉取?
413 与超大单层
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"