Un Honey Pot (pot de miel) est un leurre utilisé en cybersécurité pour attirer et étudier les attaquants. Cowrie est un Honey Pot SSH de type <medium interaction> qui simule un serveur vulnérable.

• Serveur Debian 12 (local ou VPS)
• Utilisateur avec droits sudo
• Python 3.9+ (installé par défaut)

sudo apt update && sudo apt upgrade -y
sudo apt install -y git python3-venv python3-pip python3-dev libssl-dev libffi-dev build-essential

sudo adduser --disabled-password cowrie
sudo su - cowrie

cd /home/cowrie/
git clone https://github.com/cowrie/cowrie
cd /home/cowrie/cowrie/
python3 -m venv cowrie-env
source cowrie-env/bin/activate
pip install --upgrade pip
pip install -r requirements.txt

cp etc/cowrie.cfg.dist etc/cowrie.cfg
nano etc/cowrie.cfg

Options clés :

• hostname : Nom du faux serveur
• listen_port : 2222 (par défaut)
• Activer output_jsonlog pour logs structurés

source cowrie-env/bin/activate
./bin/cowrie start
# Vérification :
./bin/cowrie status

Pour écouter sur le port 22 :

sudo iptables -t nat -A PREROUTING -p tcp --dport 22 -j REDIRECT --to-port 2222
sudo apt install iptables-persistent
sudo netfilter-persistent save

• Fichiers :
  • var/log/cowrie/cowrie.log (texte)
  • var/log/cowrie/cowrie.json (JSON)
• Surveillance en temps réel :

tail -f var/log/cowrie/cowrie.log

[Unit]
Description=Cowrie SSH Honeypot
After=network.target
 
[Service]
User=cowrie
WorkingDirectory=/home/cowrie/cowrie
ExecStart=/home/cowrie/cowrie/cowrie-env/bin/python /home/cowrie/cowrie/bin/cowrie start
Restart=always
 
[Install]
WantedBy=multi-user.target

Activation :

sudo systemctl enable cowrie
sudo systemctl start cowrie

• Fail2Ban : Bloquer les IPs malveillantes
• Docker : Alternative conteneurisée

• Documentation Cowrie
• Guide IT-Connect

<box success|Résumé> Cowrie est maintenant opérationnel pour capturer les attaques SSH. Pour une solution avancée, envisagez T-Pot. </box>