使用 SSH 蜜罐提升安全性和记录攻击活动

文章目录

• [使用 SSH 蜜罐提升安全性和记录攻击活动](#使用 SSH 蜜罐提升安全性和记录攻击活动)
• 前言
• 整体逻辑讲解
• 安全最佳实践
• 蜜罐的类型与选择
• 数据分析与响应
• 进一步学习资源
• [修改 SSH 服务端口](#修改 SSH 服务端口)
• [部署 FakeSSH](#部署 FakeSSH)
• • [FakeSSH 简介](#FakeSSH 简介)
  • 部署步骤
  • 记录攻击
• [部署 SSHSame](#部署 SSHSame)
• • [SSHSame 简介](#SSHSame 简介)
  • 部署步骤
  • 观察攻击行为
• 总结

---

使用 SSH 蜜罐提升安全性和记录攻击活动

前言

在当今的网络环境中，服务器的安全性越来越受到重视。近期，我在旧服务器上发现 SSL 证书过期的问题，决定采用 SWAG 方案进行部署。但在加固安全时，我意识到 SSH 部分存在疏忽。因此，我决定部署 SSH 蜜罐，不仅增强安全性，还可以记录攻击者的行为，探索网络安全的乐趣。

整体逻辑讲解

在信息安全领域，攻击者通常会利用常见的安全漏洞进行攻击。SSH 服务作为远程访问服务器的主要方式之一，常常成为攻击者的目标。通过部署 SSH 蜜罐，我们可以实现以下几个目标：

1. 增强安全性：通过修改默认端口和部署蜜罐，可以有效降低被攻击的概率。即使攻击者尝试访问，也只能与蜜罐互动，而不是进入真实的系统。

2. 记录攻击活动：蜜罐可以记录攻击者的所有尝试，包括用户名、密码和连接行为。这些数据可以帮助我们了解攻击者的策略和工具，从而为后续的安全防护提供依据。

3. 进行安全研究：通过分析蜜罐记录的数据，我们可以识别常见的攻击模式和手法，为系统的加固和安全策略的制定提供参考。

通过这些步骤，我们不仅能保护我们的服务器，还能通过对攻击活动的观察和分析，提升整体的安全意识。

安全最佳实践

在部署蜜罐的同时，我们还应该遵循一些基础的安全最佳实践，以确保服务器的整体安全性：

1. 定期更新系统和软件：保持系统和软件的最新状态，及时修复已知的安全漏洞。

2. 使用强密码和双因素认证：确保所有账户使用强密码，并启用双因素认证，以增加安全性。

3. 启用防火墙：配置防火墙以限制不必要的端口和服务，仅允许可信的 IP 地址访问 SSH 服务。

4. 监控和审计：定期监控系统日志，审计用户活动，确保及时发现异常行为。

蜜罐的类型与选择

蜜罐通常分为两种类型：

1. 低交互蜜罐：这类蜜罐允许攻击者进行一些基本的交互，但不提供完整的系统访问。适合快速收集数据，例如 FakeSSH。

2. 高交互蜜罐：这类蜜罐提供与真实系统相似的交互体验，可以更深入地研究攻击者的行为，但配置和维护成本较高。

选择合适的蜜罐类型应根据自身需求、可用资源和预期目标来决定。

数据分析与响应

在部署蜜罐后，收集到的攻击数据需要进行分析和响应。以下是一些建议：

1. 数据分析：定期检查蜜罐日志，识别攻击模式和常用的攻击手法，记录下常见的用户名和密码组合。

2. 响应措施：当发现可疑活动时，及时采取响应措施，例如阻止攻击者的 IP 地址、加强安全配置，并通知相关人员。

3. 反馈改进：根据分析结果，优化服务器配置和安全策略，持续提升防护能力。

进一步学习资源

想要深入了解蜜罐和网络安全的相关知识，以下资源可能会对你有帮助：

• 《The Art of Deception》 by Kevin Mitnick：深入探讨社会工程学和安全策略。
• OWASP (Open Web Application Security Project)：提供大量安全资源和工具，适合开发者和安全研究人员。
• 网络安全课程：如 Coursera、edX 等平台上提供的网络安全课程，涵盖从基础到高级的各种主题。

修改 SSH 服务端口

首先，默认的 SSH 端口是 22，为了确保安全，我们需要将其修改为其他端口，并将 22 留给蜜罐使用。以下是步骤：

1. 编辑 SSH 配置文件：

   sudo nano /etc/ssh/sshd_config

2. 找到以下行：

   #Port 22

   去掉注释并修改为新的端口号，例如 2222：

   Port 2222

3. 重启 SSH 服务：

   sudo systemctl restart ssh

注意：在修改端口之前，请确保你有其他方式连接到服务器，以防新配置出现问题。

部署 FakeSSH

FakeSSH 简介

FakeSSH 是一个基于 Docker 的 SSH 蜜罐，使用 Go 语言编写。它的主要功能是记录登录尝试，所有密码认证都会失败，确保不会给攻击者提供终端访问权限。通过收集的密码字典，可以进一步分析攻击者的行为。

部署步骤

1. 创建 Docker Compose 文件 docker-compose.yml：

   version: '3'
   services:
     fakessh:
       container_name: fakessh
       image: fffaraz/fakessh
       restart: always
       ports:
         - 22:22
       command: /log
       volumes:
         - ./volumes/fakessh:/log

2. 启动服务：

   docker-compose up -d

记录攻击

部署后，如果有人尝试暴力破解，所有的尝试都会被记录，生成的日志将为后续的安全分析提供数据支持。

部署 SSHSame

SSHSame 简介

SSHSame 是一个简单易用的 SSH 蜜罐，允许任何人连接，同时记录他们的活动。该蜜罐不执行任何操作，确保系统的安全。通过记录连接和活动，SSHSame 为安全研究人员提供了很好的工具，帮助他们理解 SSH 攻击的行为。

部署步骤

1. 创建 Docker Compose 文件 docker-compose.yml：

   version: '3'
   services:
     sshesame:
       image: ghcr.io/jaksi/sshesame
       restart: always
       ports:
         - "2022:2022"
       volumes:
         - ./sshesame-data:/data

2. 启动服务：

   docker-compose up -d

观察攻击行为

使用 SSHSame 后，你可以尝试任意用户名和密码进行登录，但系统不会执行任何命令，所有操作都会记录在日志中。这些记录可以帮助你了解攻击者的常用策略，从而优化安全措施。

总结

部署 SSH 蜜罐是提升服务器安全性的一种有效方法，不仅能防止攻击，还能帮助我们更深入地了解攻击者的行为。通过 FakeSSH 和 SSHSame 的结合使用，我们可以收集大量有价值的数据，为未来的安全防护提供参考。整体上，通过监控和记录攻击活动，我们不仅在保护自己，也为整个安全生态系统贡献了一份力量。