T-Pot CE 项目中 ELK 容器化部署架构解析

T-Pot CE 是一个基于容器的多蜜罐平台，其核心日志处理系统采用了 ELK (Elasticsearch, Logstash, Kibana) 技术栈。本文将深入分析该项目中 ELK 服务的容器化部署架构，帮助安全运维人员理解其设计原理和配置要点。

整体架构概述

T-Pot CE 的 ELK 部署采用 Docker Compose 编排，包含以下核心组件：

1. Elasticsearch - 负责日志存储和索引
2. Kibana - 提供可视化分析界面
3. Logstash - 处理日志收集和预处理
4. 辅助组件：AttackMap 相关服务(Redis+Web+Data)

这种架构设计充分考虑了蜜罐环境对日志处理的高性能需求和资源隔离要求。

Elasticsearch 服务配置解析

Elasticsearch 作为核心数据存储，配置上做了多项优化：

elasticsearch:
  environment:
   - bootstrap.memory_lock=true  # 锁定内存防止交换
   - ES_JAVA_OPTS=-Xms2048m -Xmx2048m  # JVM堆内存设置为2GB
  ulimits:
    memlock:
      soft: -1  # 不限制内存锁定
      hard: -1
    nofile:
      soft: 65536  # 文件描述符限制
      hard: 65536
  mem_limit: 4g  # 容器总内存限制4GB

关键配置点：

• 内存锁定防止交换，确保查询性能
• 合理的JVM堆内存分配(约为总内存的50%)
• 高文件描述符限制应对大量连接
• 数据卷挂载到宿主机$HOME/tpotce/data目录持久化

Kibana 服务设计

Kibana 作为可视化层，配置相对简单但包含重要安全考虑：

kibana:
  ports:
   - "127.0.0.1:64296:5601"  # 仅绑定本地接口
  depends_on:
    elasticsearch:
      condition: service_healthy  # 健康检查依赖

安全特性：

• 服务仅暴露给本地回环接口(127.0.0.1)
• 明确依赖Elasticsearch健康状态
• 内存限制1GB防止资源过度消耗

Logstash 处理管道

Logstash 配置展示了灵活的日志处理能力：

logstash:
  volumes:
   - $HOME/tpotce/data:/data  # 共享数据卷
# 注释掉的配置展示了可扩展性:
# - /path/to/logstash.conf:/etc/logstash/conf.d/logstash.conf

设计特点：

• 与Elasticsearch共享数据卷
• 配置文件挂载被注释但展示了自定义配置方法
• 依赖Elasticsearch健康状态

AttackMap 辅助服务

T-Pot 特有的攻击可视化组件包含三个服务：

1. map_redis: 作为内存数据库存储实时攻击数据

   • 仅本地访问(127.0.0.1:6379)
   • 只读模式增强安全性

2. map_web: 提供AttackMap网页界面

   • 监听64299端口(本地)
   • 依赖Redis服务

3. map_data: 数据处理服务

   • 运行DataServer_v2.py处理攻击数据
   • 同样依赖Redis

部署最佳实践

根据此配置，可以总结出以下部署建议：

1. 资源分配：

   • Elasticsearch需要最大资源(4GB内存)
   • 各服务内存限制应根据实际负载调整

2. 安全配置：

   • 所有服务仅暴露必要端口
   • 本地绑定(127.0.0.1)减少攻击面
   • 考虑添加网络隔离

3. 持久化存储：

   • 确保$HOME/tpotce/data目录有足够空间
   • 考虑备份策略

4. 监控维护：

   • 监控各容器健康状态
   • 定期检查日志文件

总结

T-Pot CE 的 ELK 部署架构体现了安全性与性能的平衡，通过容器化实现了：

• 服务隔离
• 资源控制
• 安全边界限定
• 灵活的扩展能力

这种设计非常适合蜜罐这类需要处理大量安全事件数据的场景，既保证了系统性能，又兼顾了安全需求。运维人员可以基于此架构进一步优化配置，适应不同的部署环境需求。