长亭百川云 - 文章详情

利用CrowdSec提升服务器的安全性

可乐米001

40

2023-08-17

CrowdSec是一款开源轻量级软件,可让您检测到系统的恶意行为访问。它从不同来源(文件、流...)读取日志,以解析、规范化和丰富它们,然后将它们与称为场景的威胁模式进行匹配。CrowdSec搭载多种知名热门场景;用户可以选择他们想要受到保护的场景,也可以轻松添加新的自定义场景以更好地适应他们的环境。CrowdSec 的优势之一是开放:检测到的攻击行为信息发送到中央 API,然后在所有用户之间共享。

因此,除了根据您的日志实时检测和阻止攻击之外,它还允许您先发制人地阻止已知的不良行为者访问您的信息系统。


安装

查看官方安装文档,根据不同的Linux发行版进行安装。

https://doc.crowdsec.net/docs/next/getting\_started/install\_crowdsec

对于Ubuntu。

先安装库。

curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.deb.sh | sudo bash

再安装安全引擎。

sudo apt install crowdsec

再安装用于修补发现的攻击的组件。

`sudo apt install crowdsec-firewall-bouncer-iptables`

注册服务器

访问官网https://app.crowdsec.net。

注册账号,然后进行添加注册服务器。会生成一个Key然后在服务器后台执行,按照提示就可以完成添加。

完成添加后,可以修改服务器名字,并需要进行一次重启。

sudo systemctl restart crowdsec

回到控制台页台,可以看到相关的Bouncer,相关的Alerts等,点击进去能看到相应的报警详情。

复制具体的可疑IP,查看相关信息。

可选,在控制台可以创建组织进行管理。当然也可以付费获得更好的服务,不过一般免费的计划就足够用。这里就不再详述。


查看和处理

在本地可以查看策略动作的情况。

sudo cscli decisions list

我们看到,能列出比较详细的情况。

我们可以手动删除某条阻隔策略。比如上图列出的最后一条 ID为90018的那条。

sudo cscli decisions delete --id 90018

再来看一个wordpress的 CrowdSec实例。

首先在wordpress服务器上安装库、安全引擎、修补组件。这个前面已讲过,不再赘述。

然后登录wordpress控制台,搜索 CrowdSec插件,进行安装并启用。

然后进行配Wordpress的配置。

url输入:http://localhost:8080

命令行执行: cscli bouncers add wordpress-bouncer。会得到API Key(注意保护)。然后填入Bouncer API key框

Public website only 开关关掉,这样能同时保护管理后台。

完成上述配置后,WordPress就已经受CrowdSec保护了。

场景或策略调整

场景scenarios默认是自动的,可以自定义。

如果发现某些scenarios会阻隔正常的访问,可以删除。

可以查询目前生效的scenarios。

cscli scenarios list

然后删除某个特定的场景,比如crowdsecurity/http-bad-user-agent

cscli scenarios remove crowdsecurity/http-bad-user-agent
相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2