OpenVZ 不升级内核是因为它使用了自己的修改版内核，跑在 RHEL6/CentOS6 下。基于 CentOS7 的 OpenVZ 版本一直没出正式版。

@xhat 先不讨论你说的方式用来存储密码是否合适，我不认为楼主的公司会采用这么“高大上”的方式来验证密码相似性。

@matrix67
@des
专门测试了一下，伪 SHELL 根本不支持&后台进行，也不支持定义函数。
iperf,fio,memtest,stress 命令不支持（肯定不能支持啊）。

@chezs66 如果有相似密码检查的话，说明服务器是明文保存密码的。大忌 。。。

典型的非常愚蠢的密码策略，导致人人记不住自己的密码，只能把密码记在某处(最大的隐患)。

网络结构太复杂了，还两层 nat 。。。没必要从你本地的局域网到 VPN 的虚拟内网还要过层 nat 。
楼主肯定哪个地方没配置好，完整的 nat 规则看不到，防火墙策略看不到，路由表看不到，也没有用 TCPdump 抓包测试，甚至我都不知道你的 VPN 是哪种类型（基于路由表的还是基于 ipsec 策略的）你让大家怎么帮你解决问题

@des 对方能够执行的命令十分有限，没有试过 fork 炸弹能否运行，回头测试一下。谨慎起见的话，跑在 docker 里可以限制资源使用。
@matrix67

@20150517 各种配置都在 cowrie.cfg 里面，包括密码配置。
它默认是允许任何密码登录的，如果你用的我的 docker 镜像的话，我的那个配置更改成了随机 2-5 次才会登录成功，和你用什么密码没什么关系。见“ auth_class_parameters = 2, 5, 10 ”这一行。

@20150517 对了，如果你是用普通账号运行 docker 或者 docker-compose 命令，你的账号比须在 docker 组里。
否则，你就只能用 sudo 执行 docker 或者 docker-compose 命令了。

@20150517
1.测试一下你的 docker 运行是否正常：
docker info
2. 检查 docker-compose 运行是否正常：
docker-compose -v
另外你的 docker-compose 是怎么安装的呢？用 pip 升级一下试试?
sudo pip install docker-compose -U

@20150517 当然可以啊，你可以用我做的 dockerfile 和 compose file: https://github.com/vfreex/docker-cowrie
说明里面有写找日志的位置。如果你没改 git clone 下来的目录的名字的话，日志文件在
/var/lib/docker/volumes/dockercowrie_cowrie-log/_data/cowrie.log

@20150517 所以我刚刚说，如果能逃出去，“直接搞个大新闻” XD

@thekoc
@Asimov
暴破密码的人会得到一个伪装的 Shell 和伪装的文件系统，执行任何命令都会被记录下来。
在这个伪装的 Shell 里执行命令本身并不会对你的系统造成任何影响，也看不到任何真实的文件。

@adoyle 很全，多谢。

关于安全问题，我是这么想的。
如果对方能从 Docker 的非 root 用户下逃逸出去，这基本上得利用 Linux 内核里面包括 namespaces/cgroups/SELinux 等等的重大漏洞，直接搞个大新闻，全球的顶尖安全公司争着要，还用得着做黑产？

@thekoc 我觉得这是作者怕蜜罐出现漏洞，被提权。
我自己的 VPS 上是这样处理的： VPS 上安装 Docker ，开启 SELinux ，然后让 Cowrie 跑在 Docker 里面，同时还是 Docker 里面的非 root 用户。我觉得这样处理后被提权的可能性就很小了，除非 Linux 的 namespaces/cgroups 或者 Docker 出现严重的安全漏洞。

我尝试做了一个 Docker image ，让蜜罐跑在 Docker 里的非 root 用户下，看起来不错：
https://github.com/vfreex/docker-cowrie