Das letzte Update war vor 10. September 2023 von Vinzenz Schächner
Sicher habt ihr schon von Fail2Ban gehört. Warum haben wir dazu noch keine Anleitung? Die Antwort ist einfach:
Fail2Ban ist veraltet. Man kann es noch nutzen, so ist es nicht. Aber wir haben eine bessere Möglichkeit für euch:
Was ist Crowdsec? Mir CrowdSec werden die Log-Datein ausgelesen und verdächtige IPs blockiert.
Und das tolle: Alles mit übersichtlicher, grafischer Oberfläche.
Für genauere Informationen empfehlen wir euch (ohne Kooperation (-: ) folgendes Video:
CrowdSec – Die nächste Stufe der OpenSource Cybersicherheit? – YouTube
Wir zeigen euch heute, wie Ihr CrowdSec installieren könnt!
Es gibt viele Integration z.B. mit Cloudflare, WordPress oder Apache, aber dazu später bzw. in den nächsten Artikeln.
Installation
Die Installation ist relativ einfach. Wir müssen zuerst folgendes Skript ausführen:
sudo curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.deb.sh | sudo bash
Der Befehl fügt die benötigten Repositories zu Ubuntu bzw. Debian hinzu.
Jetzt können wir ganz einfach CrowdSec mit
sudo apt install crowdsec
installieren. Jetzt werden die Angriffe auf unserem Server schon mit anderen Nutzern geteilt, aber wir werden noch nicht aktiv geschützt.
Wir müssen jetzt noch eine Datenbank erstellen. Das geht folgendermaßen:
sudo mysql
CREATE DATABASE crowdsec;
CREATE USER 'crowdsec'@'localhost' IDENTIFIED BY 'Passwort1/2%3';
GRANT ALL PRIVILEGES ON crowdsec.* TO 'crowdsec'@'localhost';
FLUSH PRIVILEGES;
EXIT;
Dann bearbeiten wir die Datei
sudo nano /etc/crowdsec/config.yaml
Dort suchen wir den Abschnitt db_config.
Dort ändern wir type zu
type: mysql
User ändern wir zu
user: 'crowdsec'
und password ändern wir zu
password: 'Passwort1/2%3'
Für den Abschnitt db_name setzen wir
db_name: 'crowdsec'
ein und für host sowie port
db_name: 'localhost'
port: 3306
Für db_path löschen wir den bestehenden Eintrag.
So sollte es am Ende ausschauen:
Da wir Crowdsec auf ein neues Datenbank-Backend umgestellt haben, müssen wir dies mit
cscli machines add -a
aktivieren.
Ob die config-Datei richtig ist, können wir mit folgendem Befehl überprüfen:
sudo crowdsec -c /etc/crowdsec/config.yaml -t
Schutz mit CrowdeSc Bouncer und nftabels installieren
Zuerst benötigen wir nftabels:
Firewall: nftable installieren • Schächner (xn--schchner-2za.de)
Dazu müssen wir den „CrowdSec Bouncer“ installieren. Das geht mit folgendem Befehl:
sudo apt install crowdsec-firewall-bouncer-nftables
Weitere Bouncer (Cloudflare, NextCloud,…) zeigen wir euch in den nächsten Artikel:
CrowdSec Dashboard installieren
Jetzt gibt es 2 Möglichkeiten, ein Dashboard zu installieren.
Die erste geht sehr einfach, mit Docker.
Bei der 2. Möglichkeit nutzt man das Dashboard von CrowdSec online.
Wie das geht, zeigen wir euch unter:
Crowdsec Dashboard installieren – 2 Wege • Schächner (xn--schchner-2za.de)
CrowdeSc Befehle
Es gibt noch ein paar Terminalbefehle, die wissenswert sind.
CrowdSec installiert bestimmte Pakete (z.B. für Apache), aber nur für die Dienste, die zu dem Zeitpunkt der Installation auf dem System waren. Will man neue Dienste mitinstalliert haben, geht das mit
sudo /usr/share/crowdsec/wizard.sh -c
Eine Übersicht über die CrowdSec „Collections“, die man installiert hat sieht man mit
sudo cscli hub list
Mit dem Befehl
sudo cscli decisions list
sieht man alle gesperrten IP-Adressen.
Die Logs sieht man mit
sudo cscli metrics
Mit
sudo cscli bouncers list
sieht man installierte „Bouncer“.
Meldet euch gerne bei Fragen oder Installationsvorschlägen!