1.Cowrie簡介

它是一個具有中等互動的SSH蜜罐，安裝在Linux中，它可以獲取攻擊者用於暴力破解的字典、輸入的命令以及上傳或下載的惡意檔案。攻擊者在上傳惡意檔案後，執行惡意檔案的操作均會失敗，所以對蜜罐本身來說比較安全。

2.Cowrie安裝

以下均為root許可權執行

• 新增非root使用者

useradd -r -m -s /bin/bash honey

• 設定密碼

passwd honey

• 安裝各種python相關包

apt-get install -y python-twisted python-crypto python-pyasn1
 
 python-gmpy2 python-mysqldb python-zope.interface

• 安裝virtualenv

apt-get install virtualenv

• 下載cowire

$ cd /opt
$ git clone http://github.com/micheloosterhof/cowrie

• 配置python虛擬環境

$ cd /opt/cowrie
$ virtualenv env
$ source env/bin/activate
$ pip install twisted cryptography pyopenssl gmpy2

• 此處報錯，需安裝相應依賴

$ apt-get install -y python-cffi libffi-dev libssl-dev
$ apt-get install -y libgmp-dev libmpfr-dev libmpc-dev

• 依賴安裝完畢，重新執行上一步命令即可完成python虛擬環境配置
• 改變/opt/cowrie的擁有者

chown -R honey:honey /opt/cowrie

• 建立 cowrie配置檔案

cp cowrie.cfg.dist cowrie.cfg

• 修改日誌的umask為0022（預設為0077）

$ cd /opt/cowrie
$ vim start.sh
# change "-- umask 0077"
 
 into "-- umask 0022"

• 修改蜜罐的SSH埠（預設為2222）

$ cd /opt/cowrie
$ vim cowrie.cfg
# change the value of listen_port as follows: listen_port = 63333 (higher than 60000 is better to avoid the port-scan of namp by default)

• 將公網訪問伺服器22埠的請求做埠轉發，轉發到蜜罐的埠中

iptables -t nat -A PREROUTING -p tcp --dport 22 -j REDIRECT --to-port 63333

• 將真正的（非蜜罐）SSH埠改為65432

$ vim /etc/ssh/sshd_config
$ service ssh restart

此處切換為honey使用者操作

$ su honey

• 啟動蜜罐

$ cd /opt/cowrie 
$ ./start.sh

• 此處報錯，缺乏部分依賴

pip install configparser service_identity pycrypto tftpy

3.Cowrie配置

data/userdb.txt——設定外部連線蜜罐時的密碼，可以設定稍微複雜但是在攻擊字典裡，誘使攻擊者進行暴力破解並獲取其行為。

log/cowrie.json與 log/cowrie.log——均為日誌

txtcmds/*——均為假的命令，其實開啟就會發現完全就是txt

dl/*——攻擊者上傳的檔案均會複製到這裡

honeyfs/etc/motd——自定義歡迎/警告banner