Kojoney (Koret SSH Honeypot) の設置

スポンサーリンク

うちのサーバに結構な頻度で SSH のアタックがあるので、Kojoney という honeypot を試しに設置してみた。

スポンサーリンク

設置手順

  1. 必要なパッケージをインストールする。
    # yum install -y gcc python python-devel
  2. 公式サイトからソースをダウンロードする。
    # cd /usr/local/src
    # wget http://downloads.sourceforge.net/project/kojoney/kojoney-0.0.4.2.tar.gz?use_mirror=jaist
  3. インストーラを実行する。
    # tar xvzf kojoney-0.0.4.2.tar.gz
    # cd kojoney
    # sh ./INSTALL.sh
  4. 動作させるポート番号を変更する。
    # vi /usr/share/kojoney/coret_config.py
    
        ROOT_CONFIG_PORTS = [22]
      (変更↓)
        ROOT_CONFIG_PORTS = [1022]
  5. LAN 外からのアクセスをハニーポットに食わせるようにする。
    # /sbin/iptables -A PREROUTING -t nat -p tcp --dport 22 -s <LANのアドレス帯域> -j ACCEPT
    # /sbin/iptables -A PREROUTING -t nat -p tcp --dport 22 -j DNAT --to <サーバのIPアドレス>:1022
    # /sbin/iptables -A INPUT -i eth0 -p tcp --dport 1022 -j ACCEPT
    # /sbin/iptables-save > /etc/sysconfig/iptables
  6. Kojoney を起動する。
    # /etc/init.d/kojoney start

自動起動の設定

インストール時に run it automatically を指定してもうまくいかなかったので,次の手順により,OS が起動したときにサービスを自動的に開始するように設定する。

  1. ファイル /etc/rc.d/init.d/kojoney の2行目に次の内容を追記する。
    # chkconfig: - 99 15
    # description: Kojoney - A Honeypot For The SSH Service.

    ここでの 99 は起動時の順番を,15 はシャットダウン時の順番を指定している。

  2. chkconfig でサービスを開始するように設定する。
    # chkconfig --level 3 kojoney on

使用方法

サーバの 1022 番ポートにアクセスし、/etc/kojoney/fake_users で設定されたユーザ名・パスワードでログインできれば成功だ。ログは /var/log/honeypot.log に記録される。

これでしばらく様子を見てみよう。

コメント

タイトルとURLをコピーしました