cowrieのセットアップメモ

cowrieはkippoを改良したSSHハニーポットである.
ログをMySQL(mariaDB)に保存するまでのメモ.
基本的にINSTALL.mdを読んでいけばいい.

cowrieはroot権限を持たないユーザーで動かすことを推奨されている.
まずはユーザーの作成から.

$ sudo adduser --disabled-password cowrie
$ sudo su - cowrie
$ git clone http://github.com/micheloosterhof/cowrie
$ cd cowrie
$ cp cowrie.cfg.dist cowrie.cfg

とりあえずこれでstart.shを実行すれば2222/tcpでcowrieが待ち受ける.
待ち受けるポートを変更したい場合はcowrie.cfgの該当箇所を編集すればいい.
また, 22/tcpで待ち受けたい場合root権限が必要とされるが, root権限でハニーポットを動かすことは推奨されていない行為である.
そのため, ipatblesなどでポートフォワーディングしてあげるといい.

$ sudo iptables -t nat -A PREROUTING -p tcp --dport 22 -j REDIRECT --to-port 2222

続いて, ログをMySQLに吐き出すように設定を行う.
まずは, ユーザーの権限などの設定.

$ mysql -u root -p
$ CREATE USER 'cowrie'@'localhost' IDENTIFIED BY 'PASSWORD';
$ GRANT ALL PRIVILEGES ON *.* TO cowrie@localhost IDENTIFIED BY 'PASSWORD';
$ create database cowrie;

続いて, cowrie.cfgの編集.

[database_mysql]
host = localhost
database = cowrie
username = cowrie
password = PASSWORD
port = 3306

最後にテーブルを作成する.

$ cd doc/sql/
$ cat mysql.sql | mysql -u cowrie  -p -D cowrie

また, cowrie.cfgのデフォルト設定, 特にhostnameあたりは変更しておいた方がいい.

ログなどはlog/以下に保存され, log/tty/以下に侵入者が入力したコマンドを再現できるファイルがある.
このあたりはkippoと同じなので, utils/playlog.py log/tty/hoge.log で再生できる.