Crowdsec Installation und Handling

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

CrowdSec

Installation

CrowdSec installieren

Curl wird benötigt, um das Installations-Script herunterzuladen.

  • apt install curl

Das offizielle CrowdSec-Repository wird eingerichtet und die Paketquellen aktualisiert.

Installiert die CrowdSec Security Engine.

  • apt install crowdsec -y

SQLite WAL aktivieren

Der Write-Ahead-Log-Modus verbessert die Schreibperformance der internen Datenbank.

  • echo -e "db_config:\n use_wal: true" > /etc/crowdsec/config.yaml.local
  • systemctl restart crowdsec.service

Whitelist für das Labor anpassen

Im Laborbetrieb sollte die Whitelist angepasst werden, damit private IP-Adressen erkannt und geblockt werden können.

  • vi /etc/crowdsec/parsers/s02-enrich/whitelists.yaml
name: crowdsecurity/whitelists
description: "Whitelist events from private ipv4 addresses"
whitelist:
  reason: "private ipv4/ipv6 ip/ranges"
  ip:
    - "::1"
    - "192.168.178.1"
  cidr:
   # - "127.0.0.0/8"
   # - "192.168.0.0/16"
   # - "10.0.0.0/8"
   # - "172.16.0.0/12"

Anschließend CrowdSec neu starten.

  • systemctl restart crowdsec

Bash Completion

Dauerhaft einrichten

Die Autovervollständigung wird dauerhaft in die Shell-Konfiguration eingetragen.

  • cscli completion bash >> ~/.bashrc
  • source ~/.bashrc

Testen

Doppeltes Tab zeigt alle verfügbaren cscli-Befehle an.

  • cscli <TAB><TAB>

Verwendung der CrowdSec CLI

Übersicht anzeigen

Zeigt alle verfügbaren Befehle und Optionen der CLI.

  • cscli -h

Syntax der Befehle

Alle cscli-Befehle folgen diesem Schema.

  • cscli <befehl> <unterbefehl>

Hilfe zu einzelnen Befehlen anzeigen

Gibt kontextbezogene Hilfe zu einem bestimmten Unterbefehl aus.

  • cscli <befehl> <unterbefehl> -h

Arbeiten mit Parsern

Lokale Parser anzeigen

Listet alle installierten Parser auf, die Logzeilen verarbeiten.

  • cscli parsers list

Hilfe zu Parserbefehlen anzeigen

Zeigt alle verfügbaren Optionen des Parser-Befehls.

  • cscli parsers list -h

Arbeiten mit Collections

Installierte Collections anzeigen

Listet alle lokal installierten Collections auf.

  • cscli collections list

Alle verfügbaren Collections anzeigen

Zeigt zusätzlich alle im Hub verfügbaren, noch nicht installierten Collections.

  • cscli collections list -a

Collection installieren

Installiert eine Collection inklusive aller zugehörigen Parser und Szenarien.

  • cscli collections install crowdsecurity/iptables

Collection aktualisieren

Aktualisiert eine einzelne installierte Collection auf die neueste Version.

  • cscli collections upgrade crowdsecurity/iptables

Alle installierten Collections aktualisieren

Aktualisiert alle installierten Collections in einem Schritt.

  • cscli collections upgrade -a

Arbeiten mit Decisions

Manuelle Entscheidung hinzufügen

Fügt eine IP-Adresse manuell zur Sperrliste hinzu.

  • cscli decisions add --ip 1.2.3.4

Aktive Entscheidungen anzeigen

Zeigt alle aktuell aktiven Sperrentscheidungen an.

  • cscli decisions list

Entscheidung anhand ID löschen

Entfernt eine bestimmte Entscheidung anhand ihrer ID.

  • cscli decisions delete --id <ID>

Entscheidung anhand IP löschen

Entfernt alle aktiven Entscheidungen für eine bestimmte IP-Adresse.

  • cscli decisions delete --ip 1.2.3.4
Abgerufen von „http://wiki.ixheim.de/index.php?title=Crowdsec_Installation_und_Handling&oldid=70380