Crowdsec Docker Beispiel: Unterschied zwischen den Versionen

Version vom 9. April 2025, 06:52 Uhr

Docker-Absicherung mit CrowdSec

Ziel

CrowdSec soll zusätzlich zu SSH auch containerisierte Dienste erkennen, die über Docker betrieben werden. Dazu werden Docker-Logs über journald ausgewertet.

Voraussetzungen

CrowdSec ist installiert und läuft.

Docker loggt ins Journal:

journalctl -u docker.service | tail

Parser für Docker aktivieren

Hub aktualisieren:

cscli hub update

Docker-Parser installieren:

cscli parsers install crowdsecurity/docker-logs

Docker-Collection installieren

Collection installieren:

cscli collections install crowdsecurity/docker

Diese Collection enthält:

Parser für Docker-Log-Formate
Szenarien zur Erkennung typischer Angriffe auf containerisierte Dienste

CrowdSec neu starten

Dienst neu starten:

systemctl restart crowdsec

Prüfung der Konfiguration

Aktive Szenarien anzeigen:

cscli scenarios list

Aktive Collections anzeigen:

cscli collections list

Weitere Hinweise

Nur bestimmte Container absichern:

z. B. gezielte Weiterleitung per journald-Filter oder syslog

CrowdSec-Logs live verfolgen:

journalctl -u crowdsec -f

Ergänzungen

Weitere Dienste wie nginx absichern:

cscli collections install crowdsecurity/nginx
cscli scenarios install crowdsecurity/http-bf

Fazit

Mit dem Parser und der Docker-Collection kann CrowdSec auch containerisierte Dienste schützen, sofern deren Logs zentral im Journal zur Verfügung stehen.

@@ Zeile 6: / Zeile 6: @@
 ==== Voraussetzungen ====
-'''CrowdSec ist bereits installiert und läuft'''
+CrowdSec ist installiert und läuft.
-'''Docker loggt ins Journal'''
+Docker loggt ins Journal:
-'''journalctl -u docker.service | tail'''
+* '''journalctl -u docker.service | tail'''
 ==== Parser für Docker aktivieren ====
-'''Hub aktualisieren'''
+Hub aktualisieren:
-'''cscli hub update'''
+* '''cscli hub update'''
-'''Docker-Parser installieren'''
+Docker-Parser installieren:
-'''cscli parsers install crowdsecurity/docker-logs'''
+* '''cscli parsers install crowdsecurity/docker-logs'''
 ==== Docker-Collection installieren ====
-'''Collection installieren'''
+Collection installieren:
-'''cscli collections install crowdsecurity/docker'''
+* '''cscli collections install crowdsecurity/docker'''
-'''Die Collection enthält'''
+Diese Collection enthält:
 * Parser für Docker-Log-Formate
 * Szenarien zur Erkennung typischer Angriffe auf containerisierte Dienste
@@ Zeile 30: / Zeile 30: @@
 ==== CrowdSec neu starten ====
-'''Dienst neu starten'''
+Dienst neu starten:
-'''systemctl restart crowdsec'''
+* '''systemctl restart crowdsec'''
 ==== Prüfung der Konfiguration ====
-'''Aktive Szenarien anzeigen'''
+Aktive Szenarien anzeigen:
-'''cscli scenarios list'''
+* '''cscli scenarios list'''
-'''Aktive Collections anzeigen'''
+Aktive Collections anzeigen:
-'''cscli collections list'''
+* '''cscli collections list'''
 ==== Weitere Hinweise ====
-'''Gezielte Absicherung einzelner Container'''
+Nur bestimmte Container absichern:
-* Nur Logs einzelner Container auswerten (z. B. mit syslog-Forwarding oder Journal-Filter)
+* z. B. gezielte Weiterleitung per journald-Filter oder syslog
-'''Erkennung prüfen'''
+CrowdSec-Logs live verfolgen:
-* Testangriff auf Webdienst im Container durchführen
+* '''journalctl -u crowdsec -f'''
-* CrowdSec-Logs mitverfolgen:
-'''journalctl -u crowdsec -f'''
 ==== Ergänzungen ====
-'''Weitere Dienste absichern'''
+Weitere Dienste wie nginx absichern:
-'''cscli collections install crowdsecurity/nginx'''
+* '''cscli collections install crowdsecurity/nginx'''
-'''cscli scenarios install crowdsecurity/http-bf'''
+* '''cscli scenarios install crowdsecurity/http-bf'''
 ==== Fazit ====
-Durch Installation des Parsers und der Docker-Collection lässt sich CrowdSec erweitern, um auch containerisierte Dienste zu überwachen. Voraussetzung ist, dass die Logs zentral im Journal zur Verfügung stehen.
+Mit dem Parser und der Docker-Collection kann CrowdSec auch containerisierte Dienste schützen, sofern deren Logs zentral im Journal zur Verfügung stehen.