うちのサーバに結構な頻度で SSH のアタックがあるので、Kojoney という honeypot を試しに設置してみた。
設置手順
- 必要なパッケージをインストールする。
# yum install -y gcc python python-devel - 公式サイトからソースをダウンロードする。
# cd /usr/local/src # wget http://downloads.sourceforge.net/project/kojoney/kojoney-0.0.4.2.tar.gz?use_mirror=jaist - インストーラを実行する。
# tar xvzf kojoney-0.0.4.2.tar.gz # cd kojoney # sh ./INSTALL.sh - 動作させるポート番号を変更する。
# vi /usr/share/kojoney/coret_config.py ROOT_CONFIG_PORTS = [22] (変更↓) ROOT_CONFIG_PORTS = [1022] - LAN 外からのアクセスをハニーポットに食わせるようにする。
# /sbin/iptables -A PREROUTING -t nat -p tcp --dport 22 -s <LANのアドレス帯域> -j ACCEPT # /sbin/iptables -A PREROUTING -t nat -p tcp --dport 22 -j DNAT --to <サーバのIPアドレス>:1022 # /sbin/iptables -A INPUT -i eth0 -p tcp --dport 1022 -j ACCEPT # /sbin/iptables-save > /etc/sysconfig/iptables - Kojoney を起動する。
# /etc/init.d/kojoney start
自動起動の設定
インストール時に run it automatically を指定してもうまくいかなかったので,次の手順により,OS が起動したときにサービスを自動的に開始するように設定する。
- ファイル /etc/rc.d/init.d/kojoney の2行目に次の内容を追記する。
# chkconfig: - 99 15 # description: Kojoney - A Honeypot For The SSH Service.ここでの 99 は起動時の順番を,15 はシャットダウン時の順番を指定している。
- chkconfig でサービスを開始するように設定する。
# chkconfig --level 3 kojoney on
使用方法
サーバの 1022 番ポートにアクセスし、/etc/kojoney/fake_users で設定されたユーザ名・パスワードでログインできれば成功だ。ログは /var/log/honeypot.log に記録される。
これでしばらく様子を見てみよう。
コメント