CrowdSec installieren – NextGeneration Homelab & Cyber Security

Das letzte Update war vor 10. September 2023 von Vinzenz Schächner

Sicher habt ihr schon von Fail2Ban gehört. Warum haben wir dazu noch keine Anleitung? Die Antwort ist einfach:

Fail2Ban ist veraltet. Man kann es noch nutzen, so ist es nicht. Aber wir haben eine bessere Möglichkeit für euch:

CrowdSec!

Was ist Crowdsec? Mir CrowdSec werden die Log-Datein ausgelesen und verdächtige IPs blockiert.

Und das tolle: Alles mit übersichtlicher, grafischer Oberfläche.

Für genauere Informationen empfehlen wir euch (ohne Kooperation (-: ) folgendes Video:

CrowdSec – Die nächste Stufe der OpenSource Cybersicherheit? – YouTube

Wir zeigen euch heute, wie Ihr CrowdSec installieren könnt!

Es gibt viele Integration z.B. mit Cloudflare, WordPress oder Apache, aber dazu später bzw. in den nächsten Artikeln.

Installation

Die Installation ist relativ einfach. Wir müssen zuerst folgendes Skript ausführen:

sudo curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.deb.sh | sudo bash

Der Befehl fügt die benötigten Repositories zu Ubuntu bzw. Debian hinzu.

Jetzt können wir ganz einfach CrowdSec mit

sudo apt install crowdsec

installieren. Jetzt werden die Angriffe auf unserem Server schon mit anderen Nutzern geteilt, aber wir werden noch nicht aktiv geschützt.

Wir müssen jetzt noch eine Datenbank erstellen. Das geht folgendermaßen:

sudo mysql

CREATE DATABASE crowdsec;

CREATE USER 'crowdsec'@'localhost' IDENTIFIED BY 'Passwort1/2%3';

GRANT ALL PRIVILEGES ON crowdsec.* TO 'crowdsec'@'localhost';

FLUSH PRIVILEGES;

EXIT;

Dann bearbeiten wir die Datei

sudo nano /etc/crowdsec/config.yaml

Dort suchen wir den Abschnitt db_config.

Dort ändern wir type zu

type: mysql

User ändern wir zu

user: 'crowdsec'

und password ändern wir zu

password: 'Passwort1/2%3'

Für den Abschnitt db_name setzen wir

db_name: 'crowdsec'

ein und für host sowie port

db_name: 'localhost'

port: 3306

Für db_path löschen wir den bestehenden Eintrag.

So sollte es am Ende ausschauen:

Da wir Crowdsec auf ein neues Datenbank-Backend umgestellt haben, müssen wir dies mit

cscli machines add -a

aktivieren.

Ob die config-Datei richtig ist, können wir mit folgendem Befehl überprüfen:

sudo crowdsec -c /etc/crowdsec/config.yaml -t

Schutz mit CrowdeSc Bouncer und nftabels installieren

Zuerst benötigen wir nftabels:

Firewall: nftable installieren • Schächner (xn--schchner-2za.de)

Dazu müssen wir den „CrowdSec Bouncer“ installieren. Das geht mit folgendem Befehl:

sudo apt install crowdsec-firewall-bouncer-nftables

Weitere Bouncer (Cloudflare, NextCloud,…) zeigen wir euch in den nächsten Artikel:

CrowdSec Bouncer mit Cloudflare, WordPress und NextCloud sowie Datenbanken (MySQL / MariaDB), Uptime Kuma und Webmin • Schächner (xn--schchner-2za.de)

CrowdSec Dashboard installieren

Jetzt gibt es 2 Möglichkeiten, ein Dashboard zu installieren.

Die erste geht sehr einfach, mit Docker.

Bei der 2. Möglichkeit nutzt man das Dashboard von CrowdSec online.

Wie das geht, zeigen wir euch unter:

Crowdsec Dashboard installieren – 2 Wege • Schächner (xn--schchner-2za.de)

CrowdeSc Befehle

Es gibt noch ein paar Terminalbefehle, die wissenswert sind.

CrowdSec installiert bestimmte Pakete (z.B. für Apache), aber nur für die Dienste, die zu dem Zeitpunkt der Installation auf dem System waren. Will man neue Dienste mitinstalliert haben, geht das mit

sudo /usr/share/crowdsec/wizard.sh -c

Eine Übersicht über die CrowdSec „Collections“, die man installiert hat sieht man mit

sudo cscli hub list

Mit dem Befehl

sudo cscli decisions list

sieht man alle gesperrten IP-Adressen.

Die Logs sieht man mit

sudo cscli metrics

Mit

sudo cscli bouncers list

sieht man installierte „Bouncer“.

Meldet euch gerne bei Fragen oder Installationsvorschlägen!