我通常会设置具有“重要”服务的服务器,这些服务会监听非标准端口(例如 SSH != 22),并重命名或完全删除 root/admin 用户。我最近觉得创建一个外部监禁的 root(并装饰得很开心)帐户来监视小家伙可能会很有趣。**
当然,入侵肯定看起来非常容易……但也不是那么容易。有没有办法允许用户使用多个密码登录帐户?我想使用 Hydra/John the Ripper 常用词典中的几个,当然“password1”和“superman”也会在列表中。
如果 Linux 用户管理(特别是 Debian)对于这种虚假的乐趣不够包容,那么有哪些脚本可以模拟 SSH/SFTP 登录体验并将访客转储到令人愉快的粘性蜜罐中?
**补充:我会绝不在生产服务器上放置蜜罐;但是,如果我通过防火墙将它们转发到另一台服务器,问题仍然是一样的:是否可以允许用户使用多个密码?
答案1
吉普是一个运行起来更安全、更灵活的蜜罐服务器。它不是真正的 Linux 安装,而是一个看起来像 Linux 安装的 Python 进程。您可以在其中填充任意数量的假密码,因此,如果您愿意,您可以将字典中的每个单词用作 root 密码。一旦有人登录,他们可以查看但不能修改任何内容。wget 和 curl 可以工作,但他们无法访问他们下载的文件,而是保存下来供您查看,并且您会获得他们尝试的所有命令的日志。
答案2
我会避免在生产服务器上这样做 - 你是在自找麻烦,甚至一个脚本小子也可能会越狱,每个人都会有一次好运。
如果您想这么做,我相信肯定有可以创建蜜罐的工具,但我建议您不要将其放在常规工具包中。
答案3
我会在一个单独的系统上设置蜜罐(这样,如果蜜罐被突破,它们就不在一个重要的系统上......但这可以通过从你的真实服务器到蜜罐的端口转发来完成。
(他们在这里做的有点像,但实际上不是http://stankiewicz.free.fr/Wikka/wikka.php?wakka=HowtoHoneypot)
使用 IPTables 进行端口转发如下
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 22 -j DNAT --to-destination 192.168.1.200:22
iptables -A FORWARD -p tcp -d 192.168.1.200 --dport 22 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
但是您仍然需要小心蜜罐可以通信的地方,以便它无法访问内部服务器/管理网络等。