Version vom 8. März 2025, 08:45 Uhr

Ja, der **API-Key** muss natürlich in die Konfigurationsdatei des Bouncers eingetragen werden. Hier der vollständige Ablauf in **MediaWiki-Format**, damit du es direkt kopieren kannst:

---

Installation des CrowdSec SSH-Bruteforce-Schutzes

Installation der SSH-Collection

sudo cscli collections install crowdsecurity/sshd
sudo systemctl reload crowdsec

Überprüfung, ob das SSH-Brute-Force-Szenario aktiv ist

sudo cscli scenarios list | grep ssh

Installation und Aktivierung des nftables-Bouncers

sudo cscli bouncers add crowdsec-firewall-bouncer-nftables
sudo systemctl reload crowdsec

API-Key für den Bouncer in die Konfiguration eintragen

Ersetze `<API-KEY>` durch den generierten Schlüssel.

mode: nftables
daemonize: true
pid_dir: /var/run/
update_frequency: 10s
api_url: http://127.0.0.1:8080/
api_key: "<API-KEY>"
nftables:
  ipv4: true
  ipv6: false

Neustart des Bouncers

sudo systemctl restart crowdsec-firewall-bouncer
sudo systemctl status crowdsec-firewall-bouncer

Überprüfung der erkannten SSH-Angriffe

sudo cscli alerts list

Anzeige der gebannten IP-Adressen

sudo cscli decisions list

Detailansicht einer spezifischen IP-Adresse

sudo cscli decisions inspect <IP-Adresse>

Live-Log der CrowdSec-Analyse anzeigen

sudo journalctl -u crowdsec -f

Überprüfung der installierten Parser, Szenarien und Bouncer

sudo cscli parsers list
sudo cscli scenarios list
sudo cscli bouncers list

Test: Anzeige der letzten SSH-Fehlversuche

sudo journalctl -u ssh -g "Failed password" --no-pager | tail -n 20

Optional: Hydra für SSH-Bruteforce-Simulation installieren

sudo apt install hydra -y

Simulieren eines SSH-Brute-Force-Angriffs mit Hydra

hydra -l root -P /usr/share/wordlists/rockyou.txt ssh://127.0.0.1 -V

Überprüfung, ob CrowdSec den Angriff erkannt hat

sudo cscli alerts list

Überprüfung, ob die angreifende IP gesperrt wurde

sudo cscli decisions list

Eigene IP-Adresse entsperren (falls gebannt)

sudo cscli decisions delete -i <deine-IP>

---

Jetzt kannst du **alles auf einmal kopieren** und hast den vollständigen Ablauf. **Passt das so?**

@@ Zeile 1: / Zeile 1: @@
-= CrowdSec SSH-Brute-Force-Erkennung und Schutz =
+Ja, der **API-Key** muss natürlich in die Konfigurationsdatei des Bouncers eingetragen werden. Hier der vollständige Ablauf in **MediaWiki-Format**, damit du es direkt kopieren kannst:
-== Installation der SSH-Collection ==
+---
-* sudo cscli collections install crowdsecurity/sshd
-* sudo systemctl reload crowdsec
-== Überprüfung, ob das SSH-Brute-Force-Szenario aktiv ist ==
+= Installation des CrowdSec SSH-Bruteforce-Schutzes =
-* sudo cscli scenarios list | grep ssh
-== Installation und Aktivierung des nftables-Bouncers ==
+== Installation der SSH-Collection ==
-* sudo cscli bouncers add crowdsec-firewall-bouncer-nftables
+*'''sudo cscli collections install crowdsecurity/sshd'''
-* sudo systemctl reload crowdsec
+*'''sudo systemctl reload crowdsec'''
-== Überprüfung der erkannten SSH-Angriffe ==
+== Überprüfung, ob das SSH-Brute-Force-Szenario aktiv ist ==
-* sudo cscli alerts list
+*'''sudo cscli scenarios list | grep ssh'''
-== Anzeige der gebannten IP-Adressen ==
+== Installation und Aktivierung des nftables-Bouncers ==
-* sudo cscli decisions list
+*'''sudo cscli bouncers add crowdsec-firewall-bouncer-nftables'''
+*'''sudo systemctl reload crowdsec'''
-== Detailansicht einer spezifischen IP-Adresse ==
+== API-Key für den Bouncer in die Konfiguration eintragen ==
-* sudo cscli decisions inspect <IP-Adresse>
+Ersetze `<API-KEY>` durch den generierten Schlüssel.
+<pre>
+mode: nftables
+daemonize: true
+pid_dir: /var/run/
+update_frequency: 10s
+api_url: http://127.0.0.1:8080/
+api_key: "<API-KEY>"
+nftables:
+  ipv4: true
+  ipv6: false
+</pre>
-== Live-Log der CrowdSec-Analyse anzeigen ==
+== Neustart des Bouncers ==
-* sudo journalctl -u crowdsec -f
+*'''sudo systemctl restart crowdsec-firewall-bouncer'''
+*'''sudo systemctl status crowdsec-firewall-bouncer'''
-== Überprüfung der installierten Parser, Szenarien und Bouncer ==
+== Überprüfung der erkannten SSH-Angriffe ==
-* sudo cscli parsers list
+*'''sudo cscli alerts list'''
-* sudo cscli scenarios list
-* sudo cscli bouncers list
-== Überprüfung der letzten SSH-Fehlversuche ==
+== Anzeige der gebannten IP-Adressen ==
-* sudo journalctl -u ssh -g "Failed password" --no-pager | tail -n 20
+*'''sudo cscli decisions list'''
-== Test eines Brute-Force-Angriffs mit Hydra ==
+== Detailansicht einer spezifischen IP-Adresse ==
+*'''sudo cscli decisions inspect <IP-Adresse>'''
-=== Installation von Hydra (falls nicht installiert) ===
+== Live-Log der CrowdSec-Analyse anzeigen ==
-* sudo apt install hydra -y
+*'''sudo journalctl -u crowdsec -f'''
-=== Simulieren eines SSH-Brute-Force-Angriffs ===
+== Überprüfung der installierten Parser, Szenarien und Bouncer ==
-* hydra -l root -P /usr/share/wordlists/rockyou.txt ssh://127.0.0.1 -V
+*'''sudo cscli parsers list'''
+*'''sudo cscli scenarios list'''
+*'''sudo cscli bouncers list'''
-=== Überprüfung, ob CrowdSec den Angriff erkannt hat ===
+== Test: Anzeige der letzten SSH-Fehlversuche ==
-* sudo cscli alerts list
+*'''sudo journalctl -u ssh -g "Failed password" --no-pager | tail -n 20'''
-=== Überprüfung, ob die angreifende IP gesperrt wurde ===
+== Optional: Hydra für SSH-Bruteforce-Simulation installieren ==
-* sudo cscli decisions list
+*'''sudo apt install hydra -y'''
-== Eigene IP-Adresse entsperren (falls gebannt) ==
+== Simulieren eines SSH-Brute-Force-Angriffs mit Hydra ==
-* sudo cscli decisions delete -i <deine-IP>
+*'''hydra -l root -P /usr/share/wordlists/rockyou.txt ssh://127.0.0.1 -V'''
+== Überprüfung, ob CrowdSec den Angriff erkannt hat ==
+*'''sudo cscli alerts list'''
+== Überprüfung, ob die angreifende IP gesperrt wurde ==
+*'''sudo cscli decisions list'''
+== Eigene IP-Adresse entsperren (falls gebannt) ==
+*'''sudo cscli decisions delete -i <deine-IP>'''
+---
+Jetzt kannst du **alles auf einmal kopieren** und hast den vollständigen Ablauf. **Passt das so?**

Crowdsec SSH Bruteforce Beispiel: Unterschied zwischen den Versionen