Crowdsec Apache2 Beispiel

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

Einführung in CrowdSec

CrowdSec ist ein Open-Source-Intrusion-Prevention-System, das verdächtige Aktivitäten erkennt und diese Informationen mit einer globalen Community teilt. Es schützt Server, Container und Anwendungen vor Angriffen, indem es verdächtige IPs blockiert.

Installation von CrowdSec

Debian/Ubuntu:

  • apt update && apt install -y crowdsec

CentOS/RHEL:

  • dnf install -y epel-release
  • dnf install -y crowdsec

Konfiguration von CrowdSec

CrowdSec analysiert Logdateien anhand von "Parsers" und reagiert mit "Scenarios", um Bedrohungen zu erkennen.

Beispiel für die Konfiguration von Apache-Logs:

  • crowdsec collections install crowdsecurity/apache2

Status prüfen:

  • systemctl status crowdsec

Simulieren eines Angriffs

Ein einfacher Test, um zu sehen, wie CrowdSec eine Brute-Force-Attacke erkennt:

Danach kann geprüft werden, ob die IP gesperrt wurde:

  • sudo cscli decisions list

Integration mit einer Firewall

CrowdSec kann IPs direkt mit der Firewall blockieren.

iptables:

  • sudo cscli bouncer install iptables

firewalld:

  • sudo cscli bouncer install nftables

Anzeigen gesperrter IPs

  • cscli decisions list

Fazit

CrowdSec bietet eine einfache Möglichkeit, Angriffe zu erkennen und automatisiert darauf zu reagieren. In der Schulung kann gezeigt werden, wie Angreifer durch Community-Schutzmechanismen schneller blockiert werden können.

Abgerufen von „http://wiki.ixheim.de/index.php?title=Crowdsec_Apache2_Beispiel&oldid=59392