Crowdsec Docker Beispiel
Version vom 9. April 2025, 06:52 Uhr von Thomas.will (Diskussion | Beiträge)
Docker-Absicherung mit CrowdSec
- Ziel
CrowdSec soll zusätzlich zu SSH auch containerisierte Dienste erkennen, die über Docker betrieben werden. Dazu werden Docker-Logs über journald ausgewertet.
Voraussetzungen
CrowdSec ist installiert und läuft.
Docker loggt ins Journal:
- journalctl -u docker.service | tail
Parser für Docker aktivieren
Hub aktualisieren:
- cscli hub update
Docker-Parser installieren:
- cscli parsers install crowdsecurity/docker-logs
Docker-Collection installieren
Collection installieren:
- cscli collections install crowdsecurity/docker
Diese Collection enthält:
- Parser für Docker-Log-Formate
- Szenarien zur Erkennung typischer Angriffe auf containerisierte Dienste
CrowdSec neu starten
Dienst neu starten:
- systemctl restart crowdsec
Prüfung der Konfiguration
Aktive Szenarien anzeigen:
- cscli scenarios list
Aktive Collections anzeigen:
- cscli collections list
Weitere Hinweise
Nur bestimmte Container absichern:
- z. B. gezielte Weiterleitung per journald-Filter oder syslog
CrowdSec-Logs live verfolgen:
- journalctl -u crowdsec -f
Ergänzungen
Weitere Dienste wie nginx absichern:
- cscli collections install crowdsecurity/nginx
- cscli scenarios install crowdsecurity/http-bf
Fazit
Mit dem Parser und der Docker-Collection kann CrowdSec auch containerisierte Dienste schützen, sofern deren Logs zentral im Journal zur Verfügung stehen.