Un Honey Pot (pot de miel) est un leurre utilisé en cybersécurité pour attirer et étudier les attaquants. Cowrie est un Honey Pot SSH de type <medium interaction> qui simule un serveur vulnérable.
sudo apt update && sudo apt upgrade -y sudo apt install -y git python3-venv python3-pip python3-dev libssl-dev libffi-dev build-essential
sudo adduser --disabled-password cowrie sudo su - cowrie
cd /home/cowrie/ git clone https://github.com/cowrie/cowrie cd /home/cowrie/cowrie/ python3 -m venv cowrie-env source cowrie-env/bin/activate pip install --upgrade pip pip install -r requirements.txt
cp /home/cowrie/cowrie/etc/cowrie.cfg.dist /home/cowrie/cowrie/etc/cowrie.cfg nano /home/cowrie/cowrie/etc/cowrie.cfg
Options clés :
hostname : Nom du faux serveur listen_endpoints : 2222: interface=0.0.0.0) (par défaut) output_jsonlog pour logs structurés source cowrie-env/bin/activate ./bin/cowrie start # Vérification : ./bin/cowrie status
Pour écouter sur le port 22 :
sudo apt install iptables-persistent sudo netfilter-persistent save sudo iptables -t nat -A PREROUTING -p tcp --dport 22 -j REDIRECT --to-port 2222
var/log/cowrie/cowrie.log (texte) var/log/cowrie/cowrie.json (JSON) tail -f var/log/cowrie/cowrie.log
Créez un service systemd pour que Cowrie démarre automatiquement :
sudo nano /etc/systemd/system/cowrie.service
Ajoutez cette configuration :
[Unit] Description=Cowrie SSH Honeypot After=network.target [Service] User=cowrie TP14 Honeypot et SNORT page 5/6 WorkingDirectory=/home/cowrie/cowrie ExecStart=/home/cowrie/cowrie/cowrie-env/bin/python /home/cowrie/cowrie/bin/cowrie start Restart=always [Install] WantedBy=multi-user.target
Puis activez et démarrez le service : Activation :
sudo systemctl enable cowrie sudo systemctl start cowrie
<box success|Résumé> Cowrie est maintenant opérationnel pour capturer les attaques SSH. Pour une solution avancée, envisagez T-Pot. </box>