躬行笔记 » Docker部署HFish蜜罐：一键搭建你的"钓鱼神器"

前段时间博客遭遇了几次网络攻击，虽然最终都被拦截了，但是还是不放心，需要加强主动防御能力。传统的防火墙、IDS这些被动防护工具虽然有用，但总感觉缺点什么。直到我发现了HFish这个国产开源蜜罐，才找到了心目中理想的解决方案。

说起蜜罐，可能很多人第一反应是Cowrie、Dionaea这些国外项目。但是用过HFish之后，我发现这个国产蜜罐在易用性和功能完整度上真的不输给那些老牌项目，甚至在某些方面还更胜一筹。

HFish到底是个什么东西

HFish是一个基于Golang开发的开源蜜罐框架，最大的特点就是部署简单、功能全面。它不像传统蜜罐那样只能模拟单一服务，而是集成了多种常见服务的蜜罐模块，包括SSH、Telnet、FTP、HTTP、MySQL等等。

我第一次接触HFish的时候，最吸引我的就是它的Web管理界面。说实话，之前用Cowrie的时候，每次查看日志都要SSH到服务器上，然后grep来grep去，特别麻烦。HFish直接提供了一个现代化的Web界面，攻击统计、日志查看、配置管理全都能在浏览器里搞定。

更重要的是，HFish支持分布式部署。你可以在多个位置部署探针节点，然后统一在管理端查看所有节点的数据。这对于有多个机房或者分支机构的企业来说特别有用。

虽然HFish提供了二进制文件直接部署的方式，但我还是更推荐用Docker。原因很简单：

首先是环境隔离。蜜罐本身就是用来被攻击的，万一真的被搞坏了，Docker容器可以快速重建，不会影响宿主机。

其次是部署便捷。Docker镜像把所有依赖都打包好了，不用担心各种环境问题。我之前在CentOS 7上直接部署过，光是解决依赖问题就花了半天时间。

最后是扩展性好。如果需要部署多个蜜罐节点，用Docker Compose或者Kubernetes可以很方便地批量管理。

废话不多说，直接上手操作。我的测试环境是debain13，Docker版本28.4.0。

首先确保Docker环境正常：

# 检查Docker版本
docker --version

# 如果没有安装Docker，可以用这个脚本快速安装
curl -fsSL https://get.docker.com | bash -s docker

HFish官方提供了Docker镜像，但是我发现有时候拉取比较慢，所以我一般会先拉取镜像：

docker run -itd --name hfish \
-v /usr/share/hfish:/usr/share/hfish \
--network host \
--privileged=true \
threatbook/hfish-server:latest

登陆地址：https://[server]:4433/web/
初始用户名：admin
初始密码：HFish2021

配置数据库，我这边就直接选择sqlite部署了

可以开始诱捕了！！！

炫酷的态势感知页面：

数据大屏页面：

查看攻击列表：

漏洞模拟：

我觉得HFish确实是一个很优秀的蜜罐项目。它不仅功能强大，部署简单，而且作为国产开源项目，在本土化方面做得很好。

Docker部署方式让整个过程变得特别简单，基本上十分钟就能搭建起一个功能完整的蜜罐系统。分布式架构也很实用，特别适合有多个网络环境的企业。

当然，蜜罐技术本身还在不断发展，AI驱动的智能蜜罐、云原生部署等等都是未来的发展方向。但就目前来说，HFish已经能满足大部分企业的需求了。

最重要的是，通过部署蜜罐，我们从被动防护转向了主动防御，能够更早地发现威胁，更好地了解攻击者的行为模式。这种转变对提升整体安全水平很有帮助。

看着攻击者在蜜罐里忙活半天最后一无所获，这种感觉还是挺爽的。这大概就是我们运维工程师的职业成就感吧！

如果这篇文章对你有帮助，别忘了点赞转发支持一下！想了解更多运维实战经验和技术干货，记得关注微信公众号@运维躬行录，领取学习大礼包！！！我会持续分享更多接地气的运维知识和踩坑经验。让我们一起在运维这条路上互相学习，共同进步！

公众号：运维躬行录

个人博客：躬行笔记