RHEL8部署ssh蜜罐

已于 2024-06-19 19:45:23 修改
阅读量732 收藏
点赞数
分类专栏: 安全 文章标签: RHEL8 蜜罐
于 2023-08-02 15:32:46 首次发布
《署名-非商业性使用-禁止演绎 4.0 国际》许可协议 https://creativecommons.org/licenses/by-nc-nd/4.0/
本文链接:https://blog.csdn.net/omaidb/article/details/132063792
版权

RHEL8部署ssh蜜罐

蜜罐cowrie简介

项目地址:https://github.com/cowrie/cowrie

Cowrie是一款中度交互的sshTelnet蜜罐,它可以获取攻击者用于暴力破解的字典,输入的命令以及上传或下载的恶意文件
特性:

  1. 伪装的文件系统增加/移除文件,完整的文件系统搭配有Debian 5.0
  2. 可增加文件内容,攻击者就能用cat命令查看如/etc/passwd等文件;系统中进包含最少的文件内容
  3. 会话日志记录在UML兼容格式中,便于重演
  4. cowroe保存文件,下载用wget/curl,或者为后续检查—上传采用sftpscp

安装运行cowrie

http://localnetwork.cn/project-3/doc-47/


安装依赖包

# 安装依赖包
yum install -y git gcc bzip2-devel libffi-devel vim net-tools

创建cowrie用户

# 创建cowrie用户
useradd cowrie

下载cowrie源码

# 进入/opt目录
cd /opt

# 下载cowrie源码
git clone https://github.com/cowrie/cowrie.git

# 进入cowrie源码目录
cd /opt/cowrie/

创建Python3虚拟环境

需要python3.7及以上

# RHEL安装virtualenv包
yum install -y python3-virtualenv

# pip安装virtualenv
pip3 install virtualenv

# 进入cowrie目录
cd /opt/cowrie/

# 创建虚拟环境
python3 -m venv cowrie-env

# 激活虚拟python环境
source cowrie-env/bin/activate

pip安装依赖包

(cowrie-env)Python3.7+以上虚拟环境执行

# 进入cowrie源码目录
cd /opt/cowrie/

# 升级pip包管理器
pip3 install -U setuptools
pip3 install -U pip

# pip安装依赖包
pip3 install six packaging appdirs

# 安装项目python依赖
pip3 install -U -r requirements.txt

修改配置文件

# 进入配置模板目录
cd /opt/cowrie/etc/

# 复制配置文件
cp /opt/cowrie/etc/cowrie.cfg.dist /opt/cowrie/etc/cowrie.cfg

# 修改目录的属主
chown -R cowrie /opt/cowrie/

创建模拟SSH账号密码泄露文件

# 编辑模拟SSH账号密码泄露文件
vim /opt/cowrie/etc/userdb.txt

把自己怀疑泄密的root密码写上去,只有这些root密码才能登录上我们的SSH蜜罐。

root:x:怀疑泄露密码1
root:x:怀疑泄露密码2
admin:x:怀疑泄露密码3

配置文件

修改配置文件
vim /opt/cowrie/etc/cowrie.cfg

Cowrie 会监听 SSH 的 port 2222、Telnet 的 port 2223。
所以这里将连接至 port 22 、23 的请求重定向到 2222、2223

[telnet]
enabled = true

listen_port = 2223
listen_endpoints = tcp:2223:interface=0.0.0.0

在这里插入图片描述


配置防火墙


firewalld防火墙配置

# 放行ssh蜜罐的2222端口和2223端口
firewall-cmd --add-port=2222/tcp --permanent
firewall-cmd --add-port=2223/tcp --permanent

# 允许SNAT(源地址转换)
firewall-cmd --zone=public --add-masquerade --permanent

# 将22端口转发到2222端口
firewall-cmd --zone=public --add-forward-port=port=22:proto=tcp:toport=2222 --permanent

# 将23端口转发到2223端口
firewall-cmd --zone=public --add-forward-port=port=23:proto=tcp:toport=2223 --permanent

# 更新防火墙规则
firewall-cmd --reload

# 重启sshd服务
systemctl restart sshd

iptables防火墙配置

# 允许从客户端发起的新TCP连接请求通过端口80进入系统
iptables -I INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT

# 允许从客户端发起的新TCP连接请求通过端口22进入系统
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT

# 将tcp的22端口重定向到2222蜜罐端口
iptables -t nat -A PREROUTING -p tcp --dport 22 -j REDIRECT --to-port 2222

# 将tcp的23端口重定向到2223蜜罐端口
iptables -t nat -A PREROUTING -p tcp --dport 23 -j REDIRECT --to-port 2223

将Cowrie输出发送到MySQL数据库–非必需

https://cowrie.readthedocs.io/en/latest/sql/README.html
前置条件:已有Mysql服务器


安装mysql客户端

安装MariaDB
安装mysql服务器

# 安装mysql客户端
yum install -y mysql-devel

(cowrie-env)Python虚拟环境下执行

# 安装mysql-python依赖
pip install -y mysql-python

创建数据库

-- 创建cowrie库
create database cowrie;

-- 授权"cowrie"从"localhost"访问"cowrie"数据库,可执行所有权限,同时设置改用户的密码为"123"。
grant all on cowrie.* to cowrie@localhost identified by '123';

导入到数据库

# 进入cowrie的sql目录
cd /opt/cowrie/docs/sql

导入到数据库

-- 登录数据库
mysql -ucowrie -p

-- 进入到cowrie库
use cowrie;

-- 导入sql
source mysql.sql

配置蜜罐数据库连接

vim /opt/cowrie/etc/cowrie.cfg

# [output_mysql] 部分定义了 Cowrie 将日志输出到 MySQL 数据库的配置
[output_mysql]

# 是否启用 MySQL 输出插件。设为 true 表示启用。
enabled = true

# MySQL 数据库服务器的主机名或 IP 地址。
## 使用 'localhost' 表示数据库在本地主机。
host = localhost

# 连接到的 MySQL 数据库名称。
# 'cowrie' 是 Cowrie 将使用的数据库名称。
database = cowrie

# 用于连接 MySQL 数据库的用户名。
# 'cowrie' 是数据库用户,必须有权限访问 'cowrie' 数据库。
username = cowrie

# 用于连接 MySQL 数据库的密码。
# '123' 是数据库用户 'cowrie' 的密码。
password = 123

# MySQL 数据库服务器监听的端口号。
# 默认的 MySQL 端口号是 3306。
port = 3306

启动蜜罐

# 切换到cowrie用户
su - cowrie

# 激活虚拟python环境
source cowrie-env/bin/activate

# 切换目录
cd /opt/cowrie/bin

# 启动蜜罐
/opt/cowrie/bin/cowrie start

# 查看蜜罐状态
/opt/cowrie/bin/cowrie status

# 停止蜜罐服务
/opt/cowrie/bin/cowrie stop

查看攻击者信息和攻击方式

# 查看攻击者的攻击信息和攻击方式
mysql -ucowrie -p

# 使用sql查询攻击者信息和攻击方式

查看日志

tail ./var/log/cowrie/cowrie.log

# 查看json日志
tail ./var/log/cowrie/cowrie.json

# 登录失败
cat ./var/log/cowrie/cowrie.json | grep cowrie.login.failed

# 登录成功
cat ./var/log/cowrie/cowrie.json | grep cowrie.login.success

# 登陆蜜罐后.命令.输入
cat ./var/log/cowrie/cowrie.json | grep cowrie.command.input
识途老码
关注
专栏目录
Kippo:一款强大的SSH蜜罐工具
qq_40907977的博客
05-13 2877
前言 首先给大家介绍一下蜜罐蜜罐最为重要的功能是对系统中所有操作和行为进行监视和记录,他可以帮助我们追踪溯源。简单的说蜜罐就是一个“假目标”,故意暴露一个网络中的弱点给攻击者,攻击者会对这个“假目标”发起攻击,在攻击的过程中殊不知自己的IP地址和操作等信息都被一一记录下来。过研究和分析这些信息,可以分析出攻击者采用的攻击工具、攻击手段、攻击目的和攻击水平等信息。在企业内部在不同网络内搭建多个蜜罐诱捕节点可以大大帮助我们提高攻击追踪溯源的能力。蜜罐的作用大小取决于蜜罐的真实性,越“真”越能欺骗到攻击者“上当
使用SSH服务管理远程主机(RHEL8)
PrimeObsession的博客
03-05 1438
使用SSH服务管理远程主机(RHEL8)
Go-SSHHiPotGo语言实现的一个高交互的SSH蜜罐项目
08-14
SSHHiPot:Go语言实现的一个高交互的SSH蜜罐项目
SSH蜜罐工具 – HonSSH
cnbird's blog
08-13 1656
HonSSH是一个高交互蜜罐解决方案,在攻击者与蜜罐之间,可以创建两个独立的SSH链接,它的特点如下: 1、捕获所有链接尝试,并记录到文本文件中 2、当攻击者发起密码尝试的时候,HonSSH可以自动更换他们的密码(spoof_login),让他们以为自己猜测到正确的密码。 3、所有交互都会记录到,可以使用Kippo playlog重放 4、攻击者的会话都捕获在一个文本文件中 5、可以使用
SSHHiPot:构建安全的SSH交互式蜜罐系统
最新发布
gitblog_01063的博客
08-26 410
SSHHiPot:构建安全的SSH交互式蜜罐系统 sshhipotHigh-interaction MitM SSH honeypot项目地址:https://gitcode.com/gh_mirrors/ss/sshhipot 项目介绍 SSHHiPot 是一个基于 Go 语言实现的高交互式中间人(MitM)SSH 蜜罐工具。它设计用来模仿真实的SSH服务器环境,有效地诱骗并记录潜在攻击者的活...
ssh蜜罐
starspirit的专栏
10-06 674
ssh蜜罐
在服务器上搭建简易的ssh蜜罐
星星9
04-12 2585
在服务器上搭建简易的ssh蜜罐 笔者有一台云服务器,通过长期的使用发现ssh服务容易受到暴力破解,所以在此也建议大家凡是放在公网上的东西密码不能太简单。 1. 更改原有ssh服务端口号 sudo vi /etc/ssh/sshd_config编辑配置文件将ssh的端口号改为一个不常用的端口号,让默认的22留给蜜罐使用。 #Port 22 Port XXX 重启ssh服务sudo systemct...
RHEL8环境系统部署安装.pdf
04-08
1. 安装部署RHEL8操作系统 2. 学习RHEL8系统使用 3. 编写技术文档(RHEL8安装——>基本使用)
RHEL网络和SSH配置
11-10
- 如果未安装SSH,可以从RHEL安装盘的Server目录下找到SSH的RPM包,例如`openssh-server-4.3p2-41.el5.i386.rpm`。 - 使用`rpm -Uvh`命令安装RPM包。 2. **配置SSH服务** - 修改SSH配置文件`/etc/ssh/sshd_...
在CentOS / RHEL上设置 SSH 免密码登录的方法
01-10
本文会告诉你怎样在 CentOS/RHEL 上设置 SSH 免密码登录。自动登录配置好以后,你可以通过它使用 SSH (Secure Shell)和安全复制 (SCP)来移动文件。 SSH 是开源的,是用于远程登录的最为可靠的网络协议。系统管理...
红帽Linux RHEL8.X系统部署详解视频
10-24
红帽Linux RHEL8.X系统部署详解视频 1-Linux 概述.mp4 2-RHEL 8.0安装.mp4 3- VMwaretools 安装.mp4 4-基本指令.mp4 5-文件目录管理.mp4 6-绝对路径 相对路径.mp4 7-Vi 编辑器.mp4 8-Linux 联网.mp4 9-RPM ...
RHEL_8.2 ISO
05-09
RHEL_8.2 ISO
go0r:golang中一个简单的ssh蜜罐
06-14
Golang 中的简单 ssh 蜜罐 一个简单的,大约 100 行代码,用 golang 编写的 ssh 蜜罐。 名字 它基于波斯谚语“گریه کردن بر روی گور بدون مرده”(在空坟墓前哭泣)和goor(گور在波斯语中的意思是坟墓)这个词。 如何使用它 这是(错误的)步骤: go get -u -v github.com/fzerorubigd/go0r # config folder could be $HOME/.config/go0r or /etc/go0r or ./config CONFIG_FOLDER=/etc/go0r # create a host key, password and anything is not important at all! just hit enter ssh-keygen -f $CONFIG_FOLDER /h
rhel-server-8.0.iso
11-24
Linux - server 8.0 下载 百度网盘 最新发布官方版本。方便收藏下载,链接有效。 各位客官可以保存下载的。
RHEL8安装oracle19c.zip
02-11
本文档描述了如何处理 在RHEL8系列操作系统中安装oracle19的相关问题,包括缺失的软件包,操作系统兼容性,及中文乱码的显示处理等。 附件中包含文档说明及所需的中文显示字体。
SSH蜜罐cowrie实战
weixin_33860722的博客
02-01 332
背景最近有一批服务器被黑,而且数量较多,影响也很大。我们的服务器基本上都是做了防火墙策略,同时密码也比较复杂的,目前还没有特别好的思路去排查(因为我们之前都没有做好相关的日志收集或者预先准备好手段,导致出问题后能够做的东西不多,而且被黑的机器基本都被替换了系统命令,能做的就更加少了)。在梳理被黑的服务器时发现,有一台服务器的防火墙是关了的(也许是被黑后关的,也许是一直都是关了...
只需简单两步搭建自己的SSH蜜罐
jennycisp的博客
01-04 658
在前面的文章中我们提到了蜜罐部署和应用。部署都相对简单而且支持的类型也比较多。但是有时候我们只需要一类蜜罐,如ssh、mysql、Ftp等。本文为大家推荐一款轻量化的SSH弱口令蜜罐项目,基于的OpenSSH,其原理为在 Chroot的隔离目录下建立拥有弱口令的SSH服务账户目录,诱导攻击者进行网络攻击, 从而牵制行动并记录其行为以及ip等信息。
Cowrie 部署 SSH 蜜罐_cowrie蜜罐
2301_82242273的博客
04-12 944
Cowrie 是一个具有中等交互的 SSH 蜜罐,它可以获取攻击者用于暴力破解的字典、输入的命令以及上传或下载的恶意文件。所有这些攻击记录都会被记载到日志中,以便日后分析。项目地址:https://github.com/cowrie/cowrie。
rhel8部署配置vsftp全过程
03-21
以下是 RHEL 8 上部署配置 vsftpd 的全过程: 1. 安装 vsftpd 在 RHEL 8 上,您可以使用以下命令安装 vsftpd: sudo dnf install vsftpd 2. 配置 vsftpd 在安装完成后,您需要编辑 vsftpd 的配置文件。默认情况...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

识途老码

赞赏是第一生产力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值