Cowrie蜜罐的部署（ubt亲测）

1.Cowrie简介

它是一个具有中等交互的SSH蜜罐，安装在Linux中，它可以获取攻击者用于暴力**的字典、输入的命令以及上传或下载的恶意文件。攻击者在上传恶意文件后，执行恶意文件的操作均会失败，所以对蜜罐本身来说比较安全。

2.Cowrie安装

以下均为root权限执行

• 添加非root用户

useradd -r -m -s /bin/bash honey

• 设置密码

passwd honey

• 安装各种python相关包

apt-get install -y python-twisted python-crypto python-pyasn1 python-gmpy2 python-mysqldb python-zope.interface

• 安装virtualenv

apt-get install virtualenv

• 下载cowire

$ cd /opt
$ git clone http://github.com/micheloosterhof/cowrie

• 配置python虚拟环境

$ cd /opt/cowrie
$ virtualenv env
$ source env/bin/activate（退出：deactivate）
$ pip install twisted cryptography pyopenssl gmpy2

• 此处报错，需安装相应依赖

$ apt-get install -y python-cffi libffi-dev libssl-dev
$ apt-get install -y libgmp-dev libmpfr-dev libmpc-dev

• 依赖安装完毕，重新运行上一步命令即可完成python虚拟环境配置
• 改变/opt/cowrie的拥有者

chown -R honey:honey /opt/cowrie

• 建立 cowrie配置文件

cp cowrie.cfg.dist cowrie.cfg

• 修改日志的umask为0022（默认为0077）

$ cd /opt/cowrie
$ vim start.sh
# change "-- umask 0077" into "-- umask 0022"

• 修改蜜罐的SSH端口（默认为2222）

$ cd /opt/cowrie
$ vim cowrie.cfg
# change the value of listen_port as follows: listen_port = 63333 (higher than 60000 is better to avoid the port-scan of namp by default)

• 将公网访问服务器22端口的请求做端口转发，转发到蜜罐的端口中

iptables -t nat -A PREROUTING -p tcp --dport 22 -j REDIRECT --to-port 63333

• 将真正的（非蜜罐）SSH端口改为65432

$ vim /etc/ssh/sshd_config
$ service ssh restart

此处切换为honey用户操作

$ su honey

• 启动蜜罐

$ cd /opt/cowrie 
$ ./start.sh

• 此处报错，缺乏部分依赖

pip install configparser service_identity pycrypto tftpy

3.Cowrie配置

data/userdb.txt——设置外部连接蜜罐时的密码，可以设置稍微复杂但是在攻击字典里，诱使攻击者进行暴力**并获取其行为。

log/cowrie.json与 log/cowrie.log——均为日志

txtcmds/——均为假的命令，其实打开就会发现完全就是txt

dl/——攻击者上传的文件均会复制到这里

honeyfs/etc/motd——自定义欢迎/警告banner