Linux用户蜜罐

Question

让我们考虑下面的场景:您有一个web -facing服务器，它运行软件，例如在单独的Linux用户www-data上运行apache2。攻击者发现一个漏洞，并以www-data用户的权限在您的系统上获取远程外壳。

是否有可能在www-data用户运行的命令上使用蜜罐？例如，让我们假设apache2或其他由www-data运行的进程从未运行ls命令来列出目录(它很可能使用系统提供的其他API，而不是启动新的进程解析输出等等)。有可能在这样的命令下建立一个蜜罐吗？例如，在sys.log中记录命令，还是只使用INSERT权限向数据库添加一个条目？

该命令仍应在其他用户(或指定的)帐户上正常运行，而不触发日志事件。

如果这样的蜜罐是可能的话，如何才能建立这样的蜜罐呢？这种蜜罐有什么不好的地方，不应该用呢？

Answer 1

听起来您想为这个用户创建一个自定义的shell环境。用只允许某些命令并记录其他命令的自定义变体替换bash。

Kippo/Cowrie将是一个很好的模型，可以用来创建类似这样的东西，以及所有的挑战和限制。Kippo/Cowrie是用来伪造ssh炮弹的。