====== Installation d'un Honey Pot SSH avec Cowrie ======

===== 1. Introduction =====
Un **Honey Pot** (pot de miel) est un leurre utilisé en cybersécurité pour attirer et étudier les attaquants.  
**Cowrie** est un Honey Pot SSH de type <nowiki><medium interaction></nowiki> qui simule un serveur vulnérable.

===== 2. Prérequis =====
  * Serveur **Debian 12** (local ou VPS)
  * Utilisateur avec droits **sudo**
  * **Python 3.9+** (installé par défaut)

===== 3. Installation =====

=== 3.1. Mise à jour et dépendances ===
<code bash>
sudo apt update && sudo apt upgrade -y
sudo apt install -y git python3-venv python3-pip python3-dev libssl-dev libffi-dev build-essential
</code>

=== 3.2. Création utilisateur dédié ===
<code bash>
sudo adduser --disabled-password cowrie
sudo su - cowrie
</code>

=== 3.3. Installation Cowrie ===
<code bash>
cd /home/cowrie/
git clone https://github.com/cowrie/cowrie
cd /home/cowrie/cowrie/
python3 -m venv cowrie-env
source cowrie-env/bin/activate
pip install --upgrade pip
pip install -r requirements.txt
</code>

=== 3.4. Configuration ===
<code bash>
cp /home/cowrie/cowrie/etc/cowrie.cfg.dist /home/cowrie/cowrie/etc/cowrie.cfg
nano /home/cowrie/cowrie/etc/cowrie.cfg
</code>
**Options clés** :  
  * ''hostname'' : Nom du faux serveur  
  * ''listen_endpoints'' : 2222: interface=0.0.0.0) (par défaut)  
  * Activer ''output_jsonlog'' pour logs structurés  

=== 3.5. Démarrer Cowrie ===
<code bash>
source cowrie-env/bin/activate
./bin/cowrie start
# Vérification :
./bin/cowrie status
</code>

=== 3.6. Redirection port (Optionnel) ===
Pour écouter sur le port 22 :  
<code bash>
sudo apt install iptables-persistent
sudo netfilter-persistent save
sudo iptables -t nat -A PREROUTING -p tcp --dport 22 -j REDIRECT --to-port 2222
</code>

===== 4. Gestion des logs =====
  * Fichiers :  
    * ''var/log/cowrie/cowrie.log'' (texte)  
    * ''var/log/cowrie/cowrie.json'' (JSON)  
  * Surveillance en temps réel :  
    <code bash>tail -f var/log/cowrie/cowrie.log</code>

===== 5. Optionnel : Exécuter Cowrie comme un service =====

Créez un service systemd pour que Cowrie démarre automatiquement :
<code>
sudo nano /etc/systemd/system/cowrie.service
</code>
Ajoutez cette configuration :
<file>
[Unit]
Description=Cowrie SSH Honeypot
After=network.target
[Service]
User=cowrie
TP14 Honeypot et SNORT page 5/6
WorkingDirectory=/home/cowrie/cowrie
ExecStart=/home/cowrie/cowrie/cowrie-env/bin/python /home/cowrie/cowrie/bin/cowrie start
Restart=always
[Install]
WantedBy=multi-user.target
</file>
Puis activez et démarrez le service :
Activation :  
<code bash>
sudo systemctl enable cowrie
sudo systemctl start cowrie
</code>

===== 6. Sécurisation supplémentaire =====
  * **Fail2Ban** : Bloquer les IPs malveillantes  
  * **Docker** : Alternative conteneurisée  

===== 7. Ressources =====
  * [[https://github.com/cowrie/cowrie|Documentation Cowrie]]  
  * [[https://www.it-connect.fr/mise-en-place-et-etude-dun-honey-pot-ssh-cowrie/|Guide IT-Connect]]  

<box success|Résumé>
Cowrie est maintenant opérationnel pour capturer les attaques SSH. Pour une solution avancée, envisagez **T-Pot**.
</box>