Crowdsec Docker Beispiel: Unterschied zwischen den Versionen
(Die Seite wurde neu angelegt: „==== Docker-Absicherung mit CrowdSec ==== ;Ziel CrowdSec soll zusätzlich zu SSH auch containerisierte Dienste erkennen, die über Docker betrieben werden. Da…“) |
(kein Unterschied)
|
Version vom 9. April 2025, 06:50 Uhr
Docker-Absicherung mit CrowdSec
- Ziel
CrowdSec soll zusätzlich zu SSH auch containerisierte Dienste erkennen, die über Docker betrieben werden. Dazu werden Docker-Logs über journald ausgewertet.
Voraussetzungen
CrowdSec ist bereits installiert und läuft
Docker loggt ins Journal journalctl -u docker.service | tail
Parser für Docker aktivieren
Hub aktualisieren cscli hub update
Docker-Parser installieren cscli parsers install crowdsecurity/docker-logs
Docker-Collection installieren
Collection installieren cscli collections install crowdsecurity/docker
Die Collection enthält
- Parser für Docker-Log-Formate
- Szenarien zur Erkennung typischer Angriffe auf containerisierte Dienste
CrowdSec neu starten
Dienst neu starten systemctl restart crowdsec
Prüfung der Konfiguration
Aktive Szenarien anzeigen cscli scenarios list
Aktive Collections anzeigen cscli collections list
Weitere Hinweise
Gezielte Absicherung einzelner Container
- Nur Logs einzelner Container auswerten (z. B. mit syslog-Forwarding oder Journal-Filter)
Erkennung prüfen
- Testangriff auf Webdienst im Container durchführen
- CrowdSec-Logs mitverfolgen:
journalctl -u crowdsec -f
Ergänzungen
Weitere Dienste absichern cscli collections install crowdsecurity/nginx cscli scenarios install crowdsecurity/http-bf
Fazit
Durch Installation des Parsers und der Docker-Collection lässt sich CrowdSec erweitern, um auch containerisierte Dienste zu überwachen. Voraussetzung ist, dass die Logs zentral im Journal zur Verfügung stehen.