cowrieのセットアップメモ
cowrieはkippoを改良したSSHハニーポットである.
ログをMySQL(mariaDB)に保存するまでのメモ.
基本的にINSTALL.mdを読んでいけばいい.
cowrieはroot権限を持たないユーザーで動かすことを推奨されている.
まずはユーザーの作成から.
$ sudo adduser --disabled-password cowrie $ sudo su - cowrie $ git clone http://github.com/micheloosterhof/cowrie $ cd cowrie $ cp cowrie.cfg.dist cowrie.cfg
とりあえずこれでstart.shを実行すれば2222/tcpでcowrieが待ち受ける.
待ち受けるポートを変更したい場合はcowrie.cfgの該当箇所を編集すればいい.
また, 22/tcpで待ち受けたい場合root権限が必要とされるが, root権限でハニーポットを動かすことは推奨されていない行為である.
そのため, ipatblesなどでポートフォワーディングしてあげるといい.
$ sudo iptables -t nat -A PREROUTING -p tcp --dport 22 -j REDIRECT --to-port 2222
続いて, ログをMySQLに吐き出すように設定を行う.
まずは, ユーザーの権限などの設定.
$ mysql -u root -p $ CREATE USER 'cowrie'@'localhost' IDENTIFIED BY 'PASSWORD'; $ GRANT ALL PRIVILEGES ON *.* TO cowrie@localhost IDENTIFIED BY 'PASSWORD'; $ create database cowrie;
続いて, cowrie.cfgの編集.
[database_mysql] host = localhost database = cowrie username = cowrie password = PASSWORD port = 3306
最後にテーブルを作成する.
$ cd doc/sql/ $ cat mysql.sql | mysql -u cowrie -p -D cowrie
また, cowrie.cfgのデフォルト設定, 特にhostnameあたりは変更しておいた方がいい.
ログなどはlog/以下に保存され, log/tty/以下に侵入者が入力したコマンドを再現できるファイルがある.
このあたりはkippoと同じなので, utils/playlog.py log/tty/hoge.log
で再生できる.