Crowdsec Apache2 Beispiel
Hier ist ein Beispiel für die Verwendung von CrowdSec in einer Schulung, um die grundlegende Funktionsweise und den Schutzmechanismus zu demonstrieren.
Einführung in CrowdSec
CrowdSec ist ein Open-Source-Intrusion-Prevention-System, das verdächtige Aktivitäten erkennt und diese Informationen mit einer globalen Community teilt. Es schützt Server, Container und Anwendungen vor Angriffen, indem es verdächtige IPs blockiert.
Installation von CrowdSec
Debian/Ubuntu:
- apt update && apt install -y crowdsec
CentOS/RHEL:
- dnf install -y epel-release
- dnf install -y crowdsec
Konfiguration von CrowdSec
CrowdSec analysiert Logdateien anhand von "Parsers" und reagiert mit "Scenarios", um Bedrohungen zu erkennen.
Beispiel für die Konfiguration von Apache-Logs:
- crowdsec collections install crowdsecurity/apache2
Status prüfen:
- systemctl status crowdsec
Simulieren eines Angriffs
Ein einfacher Test, um zu sehen, wie CrowdSec eine Brute-Force-Attacke erkennt:
- for i in {1..10}; do curl -X POST -d "user=admin&password=wrong" http://localhost/wp-login.php; done
Danach kann geprüft werden, ob die IP gesperrt wurde:
- sudo cscli decisions list
Integration mit einer Firewall
CrowdSec kann IPs direkt mit der Firewall blockieren.
iptables:
- sudo cscli bouncer install iptables
firewalld:
- sudo cscli bouncer install nftables
Anzeigen gesperrter IPs
- cscli decisions list
Fazit
CrowdSec bietet eine einfache Möglichkeit, Angriffe zu erkennen und automatisiert darauf zu reagieren. In der Schulung kann gezeigt werden, wie Angreifer durch Community-Schutzmechanismen schneller blockiert werden können.