在Docker中配置Cowrie蜜罐的技术实践

前言

Cowrie是一款广受欢迎的开源SSH蜜罐系统，能够模拟真实的SSH服务并记录攻击者的行为。随着容器化技术的普及，越来越多的安全研究人员选择在Docker环境中部署Cowrie蜜罐。本文将详细介绍在Docker容器中正确配置Cowrie的方法，特别是针对用户认证配置的常见问题解决方案。

Cowrie Docker镜像的基本使用

Cowrie官方提供了Docker镜像，可以通过简单的命令启动基本服务：

docker run -p 2222:2222 cowrie/cowrie:latest

这个命令会启动一个监听2222端口的Cowrie蜜罐实例。然而，这种简单部署方式无法满足自定义配置的需求。

配置文件的正确挂载方式

许多用户在尝试挂载配置文件时遇到困难。关键在于理解Cowrie在Docker容器中的文件结构：

• 主配置文件路径：/cowrie/cowrie-git/etc/cowrie.cfg
• 默认配置文件：/cowrie/cowrie-git/etc/cowrie.cfg.dist
• 用户数据库文件：/cowrie/cowrie-git/etc/userdb.txt

常见误区：

1. 错误地挂载到/opt目录，实际上容器中不存在此路径
2. 直接覆盖cowrie.cfg.dist文件，导致服务无法启动
3. 配置文件路径拼写错误

正确的挂载方式应该是：

docker run -p 2222:2222 \
  -v $(pwd)/custom-config:/cowrie/cowrie-git/etc \
  cowrie/cowrie:latest

用户认证配置详解

要实现基于用户名/密码的认证，需要正确配置以下内容：

1. 修改主配置文件： 在cowrie.cfg中添加或修改以下配置项：

   [honeypot]
   auth_class = UserDB
   

2. 创建用户数据库文件： 创建userdb.txt文件，格式为用户名:密码类型:密码，例如：

   root:x:toor
   admin:x:admin
   

3. 文件权限： 确保用户数据库文件具有适当的读取权限

使用Dockerfile定制镜像

对于需要长期使用的生产环境，建议通过Dockerfile构建自定义镜像：

FROM cowrie/cowrie
COPY ./cowrie_conf/cowrie.cfg /cowrie/cowrie-git/etc/cowrie.cfg
COPY ./cowrie_conf/userdb.txt /cowrie/cowrie-git/etc/userdb.txt

构建命令：

docker build -t custom-cowrie .

常见问题排查

1. 配置文件未被读取：

   • 检查日志确认实际读取的配置文件路径
   • 确保文件存在于容器内的正确位置

2. 用户认证失败：

   • 验证userdb.txt文件格式是否正确
   • 检查文件权限是否允许Cowrie进程读取

3. 服务启动失败：

   • 不要删除或覆盖cowrie.cfg.dist文件
   • 检查配置文件语法是否正确

最佳实践建议

1. 始终保留原始配置文件作为参考
2. 使用版本控制系统管理自定义配置
3. 定期更新Docker镜像以获取安全补丁
4. 在生产环境使用前充分测试配置变更
5. 考虑使用环境变量进行简单配置覆盖

通过以上方法，安全研究人员可以灵活地在Docker环境中部署和配置Cowrie蜜罐，有效捕获和分析针对SSH服务的攻击行为。