CrowdSec是一款开源轻量级软件,可让您检测到系统的恶意行为访问。它从不同来源(文件、流...)读取日志,以解析、规范化和丰富它们,然后将它们与称为场景的威胁模式进行匹配。CrowdSec搭载多种知名热门场景;用户可以选择他们想要受到保护的场景,也可以轻松添加新的自定义场景以更好地适应他们的环境。CrowdSec 的优势之一是开放:检测到的攻击行为信息发送到中央 API,然后在所有用户之间共享。
因此,除了根据您的日志实时检测和阻止攻击之外,它还允许您先发制人地阻止已知的不良行为者访问您的信息系统。
**安装
**
查看官方安装文档,根据不同的Linux发行版进行安装。
https://doc.crowdsec.net/docs/next/getting\_started/install\_crowdsec
对于Ubuntu。
先安装库。
curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.deb.sh | sudo bash
再安装安全引擎。
sudo apt install crowdsec
再安装用于修补发现的攻击的组件。
sudo apt install crowdsec-firewall-bouncer-iptables
**注册服务器
**
注册账号,然后进行添加注册服务器。会生成一个Key然后在服务器后台执行,按照提示就可以完成添加。
完成添加后,可以修改服务器名字,并需要进行一次重启。
sudo systemctl restart crowdsec
回到控制台页台,可以看到相关的Bouncer,相关的Alerts等,点击进去能看到相应的报警详情。
复制具体的可疑IP,查看相关信息。
可选,在控制台可以创建组织进行管理。当然也可以付费获得更好的服务,不过一般免费的计划就足够用。这里就不再详述。
**查看和处理
**
在本地可以查看策略动作的情况。
sudo cscli decisions list
我们看到,能列出比较详细的情况。
我们可以手动删除某条阻隔策略。比如上图列出的最后一条 ID为90018的那条。
sudo cscli decisions delete --id 90018
再来看一个wordpress的 CrowdSec实例。
首先在wordpress服务器上安装库、安全引擎、修补组件。这个前面已讲过,不再赘述。
然后登录wordpress控制台,搜索 CrowdSec插件,进行安装并启用。
然后进行配Wordpress的配置。
url输入:http://localhost:8080
命令行执行: cscli bouncers add wordpress-bouncer。会得到API Key(注意保护)。然后填入Bouncer API key框
Public website only 开关关掉,这样能同时保护管理后台。
完成上述配置后,WordPress就已经受CrowdSec保护了。
**场景或策略调整
**
场景scenarios默认是自动的,可以自定义。
如果发现某些scenarios会阻隔正常的访问,可以删除。
可以查询目前生效的scenarios。
cscli scenarios list
然后删除某个特定的场景,比如crowdsecurity/http-bad-user-agent
cscli scenarios remove crowdsecurity/http-bad-user-agent