le wiki de Loan

Outils pour utilisateurs

Outils du site

Piste : des_ports honey_pot
honey_pot

Ceci est une ancienne révision du document !

Table des matières

Installation d'un Honey Pot SSH avec Cowrie

1. Introduction

Un Honey Pot (pot de miel) est un leurre utilisé en cybersécurité pour attirer et étudier les attaquants. Cowrie est un Honey Pot SSH de type <medium interaction> qui simule un serveur vulnérable.

2. Prérequis

  • Serveur Debian 12 (local ou VPS)
  • Utilisateur avec droits sudo
  • Python 3.9+ (installé par défaut)

3. Installation

3.1. Mise à jour et dépendances

sudo apt update && sudo apt upgrade -y
sudo apt install -y git python3-venv python3-pip python3-dev libssl-dev libffi-dev build-essential

3.2. Création utilisateur dédié

sudo adduser --disabled-password cowrie
sudo su - cowrie

3.3. Installation Cowrie

cd /home/cowrie/
git clone https://github.com/cowrie/cowrie
cd /home/cowrie/cowrie/
python3 -m venv cowrie-env
source cowrie-env/bin/activate
pip install --upgrade pip
pip install -r requirements.txt

3.4. Configuration

cp /home/cowrie/cowrie/etc/cowrie.cfg.dist /home/cowrie/cowrie/etc/cowrie.cfg
nano /home/cowrie/cowrie/etc/cowrie.cfg

Options clés :

  • hostname : Nom du faux serveur
  • listen_endpoints : 2222: interface=0.0.0.0) (par défaut)
  • Activer output_jsonlog pour logs structurés

3.5. Démarrer Cowrie

source cowrie-env/bin/activate
./bin/cowrie start
# Vérification :
./bin/cowrie status

3.6. Redirection port (Optionnel)

Pour écouter sur le port 22 : 

sudo apt install iptables-persistent
sudo netfilter-persistent save
sudo iptables -t nat -A PREROUTING -p tcp --dport 22 -j REDIRECT --to-port 2222

4. Gestion des logs

  • Fichiers :
    • var/log/cowrie/cowrie.log (texte)
    • var/log/cowrie/cowrie.json (JSON)
  • Surveillance en temps réel : 
tail -f var/log/cowrie/cowrie.log

5. Optionnel : Exécuter Cowrie comme un service

Créez un service systemd pour que Cowrie démarre automatiquement : 

sudo nano /etc/systemd/system/cowrie.service

Ajoutez cette configuration : 

[Unit]
Description=Cowrie SSH Honeypot
After=network.target
[Service]
User=cowrie
TP14 Honeypot et SNORT page 5/6
WorkingDirectory=/home/cowrie/cowrie
ExecStart=/home/cowrie/cowrie/cowrie-env/bin/python /home/cowrie/cowrie/bin/cowrie start
Restart=always
[Install]
WantedBy=multi-user.target

Puis activez et démarrez le service : Activation : 

sudo systemctl enable cowrie
sudo systemctl start cowrie

6. Sécurisation supplémentaire

  • Fail2Ban : Bloquer les IPs malveillantes
  • Docker : Alternative conteneurisée

7. Ressources

<box success|Résumé> Cowrie est maintenant opérationnel pour capturer les attaques SSH. Pour une solution avancée, envisagez T-Pot. </box>

honey_pot.1743686226.txt.gz · Dernière modification : (modification externe)