endlessh
es un honeypot diseñado para ralentizar los intentos de escaneo y ataque automatizados contra el servicio SSH. Funciona respondiendo lentamente con un banner SSH interminable, manteniendo a los bots y atacantes ocupados sin permitirles llegar al servicio SSH real. El propósito es poner su servidor SSH real en otro puerto y luego dejar que los bots abusivos se queden atrapados en este tarpit [agujero de alquitrán - ralentización de la conexión a una red o servicio] en lugar de molestar a un servidor real.
# endlessh -p 2223
# journalctl -u endlessh
1.-
configurar como un servicio systemd
# nano /etc/endlessh/config
Co los siguientes parámnetros:
PORT=2222
DELAY=10000
LOGFILE=/var/log/endlessh.log
Se especifica puerto de escucha, tiempo en milisegundos entre los bytes enviados [mayor retraso = bots más atrapados] y ruta del archivo de logs.
# systemctl enable endlessh
# nc localhost 2222