Crowdsec Traefik Beispiel: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
 
(3 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 13: Zeile 13:
 
==Access-Log in Traefik aktivieren==
 
==Access-Log in Traefik aktivieren==
  
*vi /etc/traefik/traefik.yml
+
*vi /mnt/docker/traefik/traefik.yaml
 
  accessLog:
 
  accessLog:
 
   filePath: "/logs/traefik-access.log"
 
   filePath: "/logs/traefik-access.log"
 
   format: json
 
   format: json
 
+
*vi /mnt/docker/traefik/docker-compose.yaml
Container mit Volume-Mount starten:
+
  - ./logs:/logs
 
 
*-v /var/log/traefik:/logs
 
  
 
==CrowdSec vorbereiten==
 
==CrowdSec vorbereiten==
Zeile 33: Zeile 31:
 
*vi /etc/crowdsec/acquis.yaml
 
*vi /etc/crowdsec/acquis.yaml
 
  filenames:
 
  filenames:
   - /var/log/traefik/traefik-access.log
+
   - /mnt/docker/traefik/logs/traefik-access.log
 
  labels:
 
  labels:
 
   type: traefik
 
   type: traefik
 +
---
  
 
*systemctl restart crowdsec
 
*systemctl restart crowdsec
  
 
==Angriff simulieren==
 
==Angriff simulieren==
 
+
*nikto -ssl -h docker-host
*for i in $(seq 1 100); do curl -s "http://traefik-host/scan$i" > /dev/null; done
 
*curl http://traefik-host/.env
 
*curl http://traefik-host/.git/config
 
*curl http://traefik-host/.htpasswd
 
  
 
==Erkennung prüfen==
 
==Erkennung prüfen==

Aktuelle Version vom 9. April 2025, 07:38 Uhr

Traefik mit CrowdSec absichern

Ziel

CrowdSec soll HTTP-Angriffe auf einen Traefik-Proxy erkennen. Dazu wird das JSON-Access-Log von Traefik per Volume-Mount an CrowdSec übergeben und ausgewertet.

Voraussetzungen

Traefik läuft im Docker-Container.

Access-Logs im JSON-Format sind aktiviert.

CrowdSec ist installiert und läuft.

Access-Log in Traefik aktivieren

  • vi /mnt/docker/traefik/traefik.yaml
accessLog:
  filePath: "/logs/traefik-access.log"
  format: json
  • vi /mnt/docker/traefik/docker-compose.yaml
 - ./logs:/logs

CrowdSec vorbereiten

  • cscli hub update
  • cscli parsers install crowdsecurity/traefik-logs
  • cscli collections install crowdsecurity/traefik
  • systemctl restart crowdsec

Logquelle einbinden

  • vi /etc/crowdsec/acquis.yaml
filenames:
  - /mnt/docker/traefik/logs/traefik-access.log
labels:
  type: traefik
---
  • systemctl restart crowdsec

Angriff simulieren

  • nikto -ssl -h docker-host

Erkennung prüfen

  • cscli alerts list
  • cscli decisions list
  • journalctl -u crowdsec -f

Hinweis

CrowdSec kann keine Logs aus docker logs oder journald lesen, wenn das Log im JSON-Format ist. Nur eine explizite Logdatei mit Volume-Mount funktioniert zuverlässig.

Fazit

Traefik lässt sich mit CrowdSec absichern, wenn das JSON-Access-Log korrekt in eine Datei geschrieben und über acquis.yaml eingebunden wird. Die Kombination aus Parser, Szenarien und Volume

Abgerufen von „http://wiki.ixheim.de/index.php?title=Crowdsec_Traefik_Beispiel&oldid=61286