Crowdsec Installation und Handling: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| (5 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
| − | = | + | = CrowdSec = |
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | == | + | == Installation == |
| − | |||
| − | = | + | === CrowdSec installieren === |
| + | Curl wird benötigt, um das Installations-Script herunterzuladen. | ||
| + | * apt install curl | ||
| − | + | Das offizielle CrowdSec-Repository wird eingerichtet und die Paketquellen aktualisiert. | |
| − | * | + | * curl -s https://install.crowdsec.net | sudo sh |
| − | + | Installiert die CrowdSec Security Engine. | |
| − | * | + | * apt install crowdsec -y |
| − | == | + | === SQLite WAL aktivieren === |
| − | * | + | Der Write-Ahead-Log-Modus verbessert die Schreibperformance der internen Datenbank. |
| + | * echo -e "db_config:\n use_wal: true" > /etc/crowdsec/config.yaml.local | ||
| + | * systemctl restart crowdsec.service | ||
| − | = | + | === Whitelist für das Labor anpassen === |
| + | Im Laborbetrieb sollte die Whitelist angepasst werden, damit private IP-Adressen erkannt und geblockt werden können. | ||
| + | * vi /etc/crowdsec/parsers/s02-enrich/whitelists.yaml | ||
| − | + | <pre> | |
| − | + | name: crowdsecurity/whitelists | |
| + | description: "Whitelist events from private ipv4 addresses" | ||
| + | whitelist: | ||
| + | reason: "private ipv4/ipv6 ip/ranges" | ||
| + | ip: | ||
| + | - "::1" | ||
| + | - "192.168.178.1" | ||
| + | cidr: | ||
| + | # - "127.0.0.0/8" | ||
| + | # - "192.168.0.0/16" | ||
| + | # - "10.0.0.0/8" | ||
| + | # - "172.16.0.0/12" | ||
| + | </pre> | ||
| − | + | Anschließend CrowdSec neu starten. | |
| − | * | + | * systemctl restart crowdsec |
| − | = | + | == Bash Completion == |
| − | == | + | === Dauerhaft einrichten === |
| − | *cscli | + | Die Autovervollständigung wird dauerhaft in die Shell-Konfiguration eingetragen. |
| + | * cscli completion bash >> ~/.bashrc | ||
| + | * source ~/.bashrc | ||
| − | == | + | === Testen === |
| − | *cscli | + | Doppeltes Tab zeigt alle verfügbaren cscli-Befehle an. |
| + | * cscli <TAB><TAB> | ||
| − | == | + | == Verwendung der CrowdSec CLI == |
| − | |||
| − | == | + | === Übersicht anzeigen === |
| − | *cscli | + | Zeigt alle verfügbaren Befehle und Optionen der CLI. |
| + | * cscli -h | ||
| − | == | + | === Syntax der Befehle === |
| − | *cscli | + | Alle cscli-Befehle folgen diesem Schema. |
| + | * cscli <befehl> <unterbefehl> | ||
| − | = | + | === Hilfe zu einzelnen Befehlen anzeigen === |
| + | Gibt kontextbezogene Hilfe zu einem bestimmten Unterbefehl aus. | ||
| + | * cscli <befehl> <unterbefehl> -h | ||
| − | == | + | == Arbeiten mit Parsern == |
| − | |||
| − | == | + | === Lokale Parser anzeigen === |
| − | *cscli | + | Listet alle installierten Parser auf, die Logzeilen verarbeiten. |
| + | * cscli parsers list | ||
| − | == | + | === Hilfe zu Parserbefehlen anzeigen === |
| − | *cscli | + | Zeigt alle verfügbaren Optionen des Parser-Befehls. |
| + | * cscli parsers list -h | ||
| − | == Entscheidung anhand IP löschen == | + | == Arbeiten mit Collections == |
| − | *cscli decisions delete --ip 1.2.3.4 | + | |
| + | === Installierte Collections anzeigen === | ||
| + | Listet alle lokal installierten Collections auf. | ||
| + | * cscli collections list | ||
| + | |||
| + | === Alle verfügbaren Collections anzeigen === | ||
| + | Zeigt zusätzlich alle im Hub verfügbaren, noch nicht installierten Collections. | ||
| + | * cscli collections list -a | ||
| + | |||
| + | === Collection installieren === | ||
| + | Installiert eine Collection inklusive aller zugehörigen Parser und Szenarien. | ||
| + | * cscli collections install crowdsecurity/iptables | ||
| + | |||
| + | === Collection aktualisieren === | ||
| + | Aktualisiert eine einzelne installierte Collection auf die neueste Version. | ||
| + | * cscli collections upgrade crowdsecurity/iptables | ||
| + | |||
| + | === Alle installierten Collections aktualisieren === | ||
| + | Aktualisiert alle installierten Collections in einem Schritt. | ||
| + | * cscli collections upgrade -a | ||
| + | |||
| + | == Arbeiten mit Decisions == | ||
| + | |||
| + | === Manuelle Entscheidung hinzufügen === | ||
| + | Fügt eine IP-Adresse manuell zur Sperrliste hinzu. | ||
| + | * cscli decisions add --ip 1.2.3.4 | ||
| + | |||
| + | === Aktive Entscheidungen anzeigen === | ||
| + | Zeigt alle aktuell aktiven Sperrentscheidungen an. | ||
| + | * cscli decisions list | ||
| + | |||
| + | === Entscheidung anhand ID löschen === | ||
| + | Entfernt eine bestimmte Entscheidung anhand ihrer ID. | ||
| + | * cscli decisions delete --id <ID> | ||
| + | |||
| + | === Entscheidung anhand IP löschen === | ||
| + | Entfernt alle aktiven Entscheidungen für eine bestimmte IP-Adresse. | ||
| + | * cscli decisions delete --ip 1.2.3.4 | ||
Aktuelle Version vom 24. Mai 2026, 08:56 Uhr
CrowdSec
Installation
CrowdSec installieren
Curl wird benötigt, um das Installations-Script herunterzuladen.
- apt install curl
Das offizielle CrowdSec-Repository wird eingerichtet und die Paketquellen aktualisiert.
- curl -s https://install.crowdsec.net | sudo sh
Installiert die CrowdSec Security Engine.
- apt install crowdsec -y
SQLite WAL aktivieren
Der Write-Ahead-Log-Modus verbessert die Schreibperformance der internen Datenbank.
- echo -e "db_config:\n use_wal: true" > /etc/crowdsec/config.yaml.local
- systemctl restart crowdsec.service
Whitelist für das Labor anpassen
Im Laborbetrieb sollte die Whitelist angepasst werden, damit private IP-Adressen erkannt und geblockt werden können.
- vi /etc/crowdsec/parsers/s02-enrich/whitelists.yaml
name: crowdsecurity/whitelists
description: "Whitelist events from private ipv4 addresses"
whitelist:
reason: "private ipv4/ipv6 ip/ranges"
ip:
- "::1"
- "192.168.178.1"
cidr:
# - "127.0.0.0/8"
# - "192.168.0.0/16"
# - "10.0.0.0/8"
# - "172.16.0.0/12"
Anschließend CrowdSec neu starten.
- systemctl restart crowdsec
Bash Completion
Dauerhaft einrichten
Die Autovervollständigung wird dauerhaft in die Shell-Konfiguration eingetragen.
- cscli completion bash >> ~/.bashrc
- source ~/.bashrc
Testen
Doppeltes Tab zeigt alle verfügbaren cscli-Befehle an.
- cscli <TAB><TAB>
Verwendung der CrowdSec CLI
Übersicht anzeigen
Zeigt alle verfügbaren Befehle und Optionen der CLI.
- cscli -h
Syntax der Befehle
Alle cscli-Befehle folgen diesem Schema.
- cscli <befehl> <unterbefehl>
Hilfe zu einzelnen Befehlen anzeigen
Gibt kontextbezogene Hilfe zu einem bestimmten Unterbefehl aus.
- cscli <befehl> <unterbefehl> -h
Arbeiten mit Parsern
Lokale Parser anzeigen
Listet alle installierten Parser auf, die Logzeilen verarbeiten.
- cscli parsers list
Hilfe zu Parserbefehlen anzeigen
Zeigt alle verfügbaren Optionen des Parser-Befehls.
- cscli parsers list -h
Arbeiten mit Collections
Installierte Collections anzeigen
Listet alle lokal installierten Collections auf.
- cscli collections list
Alle verfügbaren Collections anzeigen
Zeigt zusätzlich alle im Hub verfügbaren, noch nicht installierten Collections.
- cscli collections list -a
Collection installieren
Installiert eine Collection inklusive aller zugehörigen Parser und Szenarien.
- cscli collections install crowdsecurity/iptables
Collection aktualisieren
Aktualisiert eine einzelne installierte Collection auf die neueste Version.
- cscli collections upgrade crowdsecurity/iptables
Alle installierten Collections aktualisieren
Aktualisiert alle installierten Collections in einem Schritt.
- cscli collections upgrade -a
Arbeiten mit Decisions
Manuelle Entscheidung hinzufügen
Fügt eine IP-Adresse manuell zur Sperrliste hinzu.
- cscli decisions add --ip 1.2.3.4
Aktive Entscheidungen anzeigen
Zeigt alle aktuell aktiven Sperrentscheidungen an.
- cscli decisions list
Entscheidung anhand ID löschen
Entfernt eine bestimmte Entscheidung anhand ihrer ID.
- cscli decisions delete --id <ID>
Entscheidung anhand IP löschen
Entfernt alle aktiven Entscheidungen für eine bestimmte IP-Adresse.
- cscli decisions delete --ip 1.2.3.4