Dai requisiti che hai inserito nei tuoi commenti, non stai cercando un "utente del miele" ma un honeypot ad alta interazione.
Gli honeypot ad alta interazione, come quello che stai suggerendo, non devono mai, mai essere eseguiti su sistemi di produzione. Qualsiasi vulnerabilità a livello di sistema operativo può consentire all'aggressore di eseguire l'escalation.
Metti sempre honeypot ad alta interazione sui propri sistemi murati.
Ma un honeypot ad alta interazione è necessario solo per raccogliere determinati tipi di informazioni sull'attaccante. Se stai cercando di analizzare tecniche, strumenti e raccogliere altri dati che possono venire solo dall'osservazione delle azioni dell'attaccante in tempo reale, allora hai bisogno di un honeypot ad alta interazione. E poi questo non è semplicemente un "utente del miele" come suggerisce il tuo titolo, ma un honeypot in piena regola.
Un vero "utente del miele" non dovrebbe, e non dovrebbe, essere ad alta interazione. Qualsiasi tentativo di accesso come quell'utente può attivare allarmi e registrazione aggiuntiva. È anche possibile acquisire qualsiasi utilizzo delle credenziali dell'utente nel sistema. Nessuna di queste cose richiede che le credenziali funzionino effettivamente, quindi non c'è alcun impatto sulla sicurezza. Puoi acquisire timestamp, IP di origine e le password che sono state tentate.
Quello che stai veramente cercando è Kippo / Cowrie (su cui corro regolarmente e ho fatto molte presentazioni). E gli sviluppatori sono molto chiari a non eseguire mai il loro honeypot su un sistema di produzione. Per gli honeypot che ho distribuito, li metto sempre in DMZ, su macchine virtuali, che si ripristinano ogni 24 ore (o prima) e i log vengono spediti a un server centrale. Qualsiasi traffico avviato da honeypot è bloccato. Gli attaccanti possono entrare, ma non possono uscire, anche se compromettono l'intera macchina.
Dovresti pensare a una configurazione simile.