在Honeypot #13 手動安裝 Cowrie 的補充說明有提供一些指令與設定檔，這一篇就再灌水整理比較完整的資料

這裡會假設按照 Cowrie 官方的安裝步驟，因此系統會有 cowrie 使用者，以及預設的安裝路徑為 /home/cowrie/cowrie

指令

執行指令時請記得使用非 root 權限的帳號。如照官方安裝時，請先執行 「sudo su -u cowrie」, 切換至 cowrie 後再使用以下指令」。

啟動 cowrie

/home/cowrie/cowrie/bin/cowrie start

停止 cowrie

/home/cowrie/bin/cowrie stop

重啟 cowrie

/home/cowrie/cowrie/bin/cowrie restart

設定檔

啟動 Cowrie 時預設會依序讀取以下的檔案

/home/cowrie/cowrie/etc/cowrie.cfg.dist
/home/cowrie/cowrie/etc/cowrie.cfg

cowrie.cfg.dist 是安裝時即內建的設定檔，一般不會修改它，而是會新建一個 cowrie.cfg ，將所有的新增變動放在此處。例如要啟動 telnet 時，會在 cowrie.cfg 新增

[telnet]
enable = true

cowrie.cfg.dist 也包含了比較完整的支援，如想看 output 還支援哪些，可以拉到最下方的 Output Plugins 區域查看。

設定 Cowrie 假 SSH、telnet 可使用的帳號密碼。

/home/cowrie/cowrie/etc/userdb.example
/home/cowrie/cowrie/etc/userdb.txt

與 cowrie.cfg 不同，userdb.example 只有在 userdb.txt 不存在時才會讀取。 userdb.example 沒有實際作用。必須另外複製成 userdb.txt ，裡面的設定才會生效。
按照預設的規則，root 帳號可以隨便輸入密碼就進入了。如果要自行建立，可以將此userdb.example 複製成 userdb.txt 再修改。

Log 日誌

一般 log: 簡易型的文字記錄檔案。

/home/cowrie/cowrie/var/log/cowrie/cowrie.log

T-Pot 上的 Cowrie 似乎沒有轉出這個類型的 log

完整 log: 資訊完整的 JSON 格式。

 /home/cowrie/cowrie/var/log/cowrie/cowrie.json

假資訊

系統的假指令: 可以看到都是將文件檔假造為指令而已

/home/cowrie/cowrie/share/cowrie/txtcmds/

登入前的假訊息

/home/cowrie/cowrie/honeyfs/etc/issue

登入後的提示訊息

/home/cowrie/cowrie/honeyfs/etc/motd

假檔案

/home/cowrie/cowrie/honeyfs/

在其他需求下，視情況需要配合 /home/cowrie/cowrie/bin/fsctl 程式以及 /home/cowrie/cowrie/share/cowrie/fs.pickle 假檔案系統結構，參考Cowrie 官方 FAQ。

其他檔案

攻擊者下載的檔案位置會放在這裡

/home/cowrie/cowrie/var/lib/cowrie/downloads/

參考資料

Cowrie 官方 README
Cowrie蜜罐部署實踐

延伸閱讀

Cowrie 官方 FAQ