A partir de sus requisitos que indica en sus comentarios, no está buscando un "usuario sencillo" sino un honeypot de alta interacción.
Los honeypots de alta interacción, como el que está sugiriendo, nunca deben ejecutarse en sistemas de producción. Cualquier vulnerabilidad a nivel del sistema operativo puede permitir al atacante escalar.
Siempre coloque honeypots de alta interacción en sus propios sistemas amurallados.
Pero un honeypot de alta interacción solo se requiere para recopilar ciertos tipos de información sobre el atacante. Si está buscando analizar técnicas, herramientas y recopilar cualquier otro dato que solo se pueda obtener al observar las acciones del atacante en tiempo real, entonces necesita un honeypot de alta interacción. Y luego esto no es simplemente un "usuario de la miel" como sugiere su título, sino un honeypot en toda regla.
Un verdadero "usuario de la miel" no debe, y no debe serlo, ser de alta interacción. Cualquier intento de iniciar sesión como ese usuario puede activar alarmas y registro adicional. Cualquier uso de las credenciales de usuario en el sistema también puede ser capturado. Ninguna de estas cosas requiere que las credenciales realmente funcionen, por lo tanto, no hay impacto en la seguridad. Puede capturar marcas de tiempo, direcciones IP de origen y las contraseñas que se han intentado.
Lo que realmente estás buscando es Kippo / Cowrie (que uso regularmente y he hecho muchas presentaciones). Y los desarrolladores tienen muy claro que nunca deben ejecutar su honeypot en un sistema de producción. Para los honeypots que he implementado, siempre los coloco en DMZ, en máquinas virtuales, que se reinician cada 24 horas (o antes) y los registros se envían a un servidor central. Cualquier tráfico iniciado desde el honeypot está bloqueado. Los atacantes pueden entrar, pero no pueden salir, incluso si comprometen toda la máquina.
Deberías estar pensando en una configuración similar.