wildwildangel/tiny-ssh-honeypot

tiny-ssh-honeypot

镜像概述和主要用途

tiny-ssh-honeypot 是一款轻量级低交互SSH蜜罐，是 ssh-honeypotd 的衍生版本，功能较少但资源消耗更低。它采用单线程事件驱动架构，能够在处理更多连接的同时占用更少内存，底层使用 libassh 1.1 和 libev 4.x 库，适用于网络安全监控、***SSH连接检测等场景。

核心功能和特性

• 轻量级设计：相比 ssh-honeypotd 功能精简，专注于低资源消耗
• 低交互模式：不提供真实SSH服务功能，仅记录连接行为和登录尝试
• 高效连接处理：单线程事件驱动架构，支持大量并发连接
• 低资源占用：内存消耗低，适合部署在资源受限环境
• 自动密钥生成：作为 fallback 机制，可自动生成RSA和ED25519主机密钥
• 结构化日志：统一格式记录连接信息、登录尝试及错误，便于分析

使用场景和适用范围

• 网络安全监控：检测针对服务器SSH端口的***连接尝试
• 行为分析：记录者使用的用户名、密码等凭证信息
• 端口扫描检测：识别对服务器SSH端口的扫描行为
• 轻量级部署：适合边缘设备、云服务器或资源受限环境的安全监控

详细使用方法和配置说明

构建Docker镜像

前提条件

• 安装 Buildx 或启用 BuildKit（Docker Desktop及Docker Engine v23.0+ 默认启用BuildKit）

构建命令

• 使用Buildx：

  bash
  docker buildx build --pull --tag wildwildangel/tiny-ssh-honeypot .
  

• 使用BuildKit（Docker v23.0+）：

  bash
  docker build --pull --tag wildwildangel/tiny-ssh-honeypot .
  

• Docker v23.0之前版本：

  bash
  DOCKER_BUILDKIT=1 docker build --pull --tag wildwildangel/tiny-ssh-honeypot .
  

Docker运行示例

bash
docker run -d \
    --network=host \
    --cap-drop=all \
    --cap-add=NET_BIND_SERVICE \
    --restart=always \
    --read-only \
    --user=10001:10001 \
    wildwildangel/tiny-ssh-honeypot:latest

参数说明：

• --network=host：使用主机网络，直接绑定主机端口
• --cap-drop=all：删除所有Linux capabilities，增强安全性
• --cap-add=NET_BIND_SERVICE：添加绑定特权端口（如22）的能力
• --restart=always：容器退出时自动重启
• --read-only：使用只读文件系统，限制写入权限
• --user=10001:10001：以非root用户运行，降低安全风险

命令行选项

tiny-ssh-honeypot [选项]

必选参数（长选项和短选项要求相同）：

• -k, --host-key FILE：指定私钥文件（支持RSA、DSA、ECDSA、ED25519），未指定时自动生成RSA和ED25519密钥
• -b, --address ADDRESS：绑定的IP地址（默认：0.0.0.0），可多次指定
• -p, --port PORT：绑定的端口（默认：22）
• -h, --help：显示帮助信息并退出
• -v, --version：输出版本信息并退出

日志格式

所有可操作日志遵循统一格式：

[源IP:源端口 => 目标IP:目标端口]: 消息

主要日志消息类型：

• incoming connection：新的入站连接
• closing connection：客户端断开连接（若其间无登录尝试，可能为端口扫描）
• did not receive identification string：客户端未发送标识信息即断开，可能是扫描器
• login attempt for user: [user] (password: [password])：失败的登录尝试（记录用户名和密码）
• connection closed by authenticating user：客户端完成密钥交换后断开，未进行用户认证
• SSH error: [error]：SSH协议错误（如客户端意外断开导致的IO错误）
• input overflow：用户名或密码长度超过 INT_MAX 常量（异常情况，通常不会发生）

Kubernetes部署示例

创建部署配置文件 tiny-ssh-honeypot.yaml：

yaml
---
apiVersion: v1
kind: Namespace
metadata:
  name: honeypots  # 创建专用命名空间
---
apiVersion: apps/v1
kind: DaemonSet  # 确保每个节点都运行一个实例
metadata:
  name: tiny-ssh-honeypot
  namespace: honeypots
spec:
  selector:
    matchLabels:
      name: tiny-ssh-honeypot
  template:
    metadata:
      labels:
        name: tiny-ssh-honeypot
    spec:
      hostNetwork: true  # 使用主机网络
      containers:
        - name: tiny-ssh-honeypot
          image: wildwildangel/tiny-ssh-honeypot  # Docker镜像
          resources:  # 资源限制
            limits:
              cpu: 100m
              memory: 8Mi
            requests:
              cpu: 50m
              memory: 8Mi
          securityContext:  # 安全上下文配置
            capabilities:
              drop: ["all"]  # 删除所有capabilities
              add: ["NET_BIND_SERVICE"]  # 仅保留绑定特权端口能力
            readOnlyRootFilesystem: true  # 只读文件系统
            runAsNonRoot: true  # 非root用户运行
            runAsUser: 10001  # UID
            runAsGroup: 10001  # GID
            allowPrivilegeEscalation: false  # 禁止权限提升
          ports:
            - containerPort: 22  # 容器端口
              hostPort: 22  # 主机端口
              protocol: TCP

应用配置：

bash
kubectl apply -f tiny-ssh-honeypot.yaml