COWRIE蜜罐部署

操作系统：CentOS7

这两天一时兴起，想在阿里云上部署个蜜罐玩玩，在网上跟着教程摸索，失败了一次后终于成功了，耗时两天时间

cowrie蜜罐简介：
它是一个具有中等交互的SSH蜜罐，安装在Linux中，它可以获取攻击者用于暴力破解的字典、输入的命令以及上传或下载的恶意文件。攻击者在上传恶意文件后，执行恶意文件的操作均会失败，所以对蜜罐本身来说比较安全。

---

1.建立一个非root用户
由于cowire启动时考虑到了安全性的问题，以root用户启动时会禁止启动
创建用户 用户/密码：cowire/cowire

groupadd cowrie
useradd cowrie -g cowrie
passwd cowrie

---

2.安装需要用到的环境

yum install wget git gcc-c++ openssl-devel python-devel python-setuptools -y
yum -y install epel-release
yum -y install python-pip
pip install virtualenv

---

3.蜜罐安装

su cowrie
cd ~
git clone https://github.com/micheloosterhof/cowrie.git
cd cowrie/
virtualenv cowrie-env                                                      //创建虚拟环境
source cowrie-env/bin/activate                                       //激活虚拟环境
pip install –upgrade pip
pip install –upgrade -r requirements.txt

---

4.蜜罐配置
两个主要配置文件在‘ ./etc/ ’目录
复制示例文件并修改

cp etc/cowrie.cfg.dist etc/cowrie.cfg
vim etc/cowrie.cfg

这里我主要修改了hostname，为了逼真一点，端口什么的没有修改默认2222端口，一会会进行端口转发

修改信息

修改可以登录假系统的账号密码

cp etc/userdb.example etc/userdb.txt
vim userdb.txt

原userdb.example文件，！号表示该密码不可登录，*表示任意密码可以登录

原userdb.example文件

修改uesrdb.txt文件，表示 root 可以通过 canyouhackme 的密码登录

uesrdb.txt文件

---

5.端口转发
firewalld允许23333端口连接

su
firewall-cmd --zone=public --add-port=23333/tcp --permanent
service firewalld restart

修改ssh默认端口，将#Port 22修改为Port 23333

vim /etc/ssh/sshd_config

修改端口

在阿里云安全组中添加规则允许23333端口入站连接

放行规则

允许端口转发：

vim /etc/sysctl.conf

将net.ipv4.ip_forward=0，修改为net.ipv4.ip_forward=1，没有则添加

执行命令使其生效：

sysctl -p

使用firewalld开启端口转发将22端口转发到2222端口

firewall-cmd --add-forward-port=port=22:proto=tcp:toport=2222

---

6.准备就绪开启蜜罐

su cowrie
bin/cowrie start

开始连接，端口22，进入了一个假命令行

假命令行

我们可以在目录 /home/cowrie/cowrie/var/log/cowrie/cowrie.log 中看到记录，例如shell的执行记录，登录账号密码记录等

日志

下篇：将蜜罐记录存储到mysql中

参考文章：
SSH蜜罐COWRIE安装与使用
Cowrie蜜罐部署教程