Crowdsec Traefik Beispiel

Aus Xinux Wiki
Version vom 9. April 2025, 07:15 Uhr von Thomas.will (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „==== Traefik mit CrowdSec absichern ==== ;Ziel CrowdSec soll HTTP-Angriffe auf Traefik erkennen. Die Logdatei im JSON-Format wird direkt analysiert. ==== Vor…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

Traefik mit CrowdSec absichern

Ziel

CrowdSec soll HTTP-Angriffe auf Traefik erkennen. Die Logdatei im JSON-Format wird direkt analysiert.

Voraussetzungen

Traefik läuft im Docker-Container.

Die Access-Logs sind im JSON-Format aktiviert und per Volume-Mount ins Host-Dateisystem verfügbar.

Schritt 1: Traefik Access-Log konfigurieren

Traefik muss in der Konfiguration folgendes enthalten: 

accessLog:
  filePath: "/logs/traefik-access.log"
  format: json


  • -v /var/log/traefik:/logs

Schritt 2: CrowdSec vorbereiten

  • cscli hub update
  • cscli parsers install crowdsecurity/traefik-logs
  • cscli collections install crowdsecurity/traefik
  • systemctl restart crowdsec

Schritt 3: acquis.yaml anpassen

Datei: /etc/crowdsec/acquis.yaml

Eintrag hinzufügen:

  • filenames:
  • - /var/log/traefik/traefik-access.log
  • labels:
  • type: traefik

Dann neu starten:

  • systemctl restart crowdsec

Schritt 4: Testangriff

Crawler-Simulation:

Sensiblen Pfad abfragen:

Schritt 5: Erkennung prüfen

  • cscli alerts list
  • cscli decisions list
  • journalctl -u crowdsec -f

Hinweis

CrowdSec kann keine Container-Logs aus docker logs oder journald analysieren, wenn das Log JSON ist. Verwende ausschließlich Datei-Logging mit Volume-Mount.

Fazit

Nur wenn Traefik JSON-Access-Logs in eine Datei schreibt und CrowdSec direkten Zugriff darauf hat, funktionieren die HTTP-Szenarien zuverlässig.

Abgerufen von „http://wiki.ixheim.de/index.php?title=Crowdsec_Traefik_Beispiel&oldid=61279