自建 SSH 蜜罐：巧用 pty 轻松记录攻击者命令的 4 种方案

# 自建SSH蜜罐记录攻击者命令的方法 要在自建SSH蜜罐中记录攻击者登录后执行的命令，使用pty(伪终端)是一个有效的方法。以下是几种实现方案： ## 方法1：使用修改过的shell 1. 创建一个自定义shell脚本(如`/bin/fakessh`)： ```bash #!/bin/bash LOG_FILE="/var/log/ssh_honeypot_commands.log" # 创建伪终端 exec script -q -f $LOG_FILE -c "/bin/bash" ``` 2. 将该shell添加到`/etc/shells` 3. 在`/etc/passwd`中将目标用户的shell改为`/bin/fakessh` ## 方法2：使用SSH ForceCommand 在`/etc/ssh/sshd_config`中添加： ``` Match User honeypot ForceCommand script -q -f /var/log/ssh_honeypot_commands.log -c /bin/bash ``` ## 方法3：使用ttylogger工具 1. 安装ttylogger： ```bash git clone https://github.com/rocky/ttylogger cd ttylogger make sudo make install ``` 2. 配置SSH使用ttylogger： ``` Match User honeypot ForceCommand /usr/local/bin/ttylogger -f /var/log/ssh_honeypot_commands.log /bin/bash ``` ## 方法4：使用python实现的pty方案 ```python #!/usr/bin/python import os import pty import sys LOG_FILE = "/var/log/ssh_honeypot_commands.log" def main(): with open(LOG_FILE, 'ab') as f: def read(fd): data = os.read(fd, 1024) f.write(data) f.flush() return data pty.spawn("/bin/bash", read) if __name__ == "__main__": main() ``` ## 安全注意事项 1. 确保日志文件权限设置正确，防止攻击者删除日志 2. 考虑将蜜罐系统与主网络隔离 3. 定期检查和分析收集到的日志 4. 不要在蜜罐中使用真实密码或敏感信息 使用pty方法确实不需要解密SSH会话，因为它是在用户登录后捕获终端输入输出，比解密SSH流量更简单有效。 ######[AI问答 | 509点数解答 | 2025-04-20 18:02:16]