Administrators, autoreview, Vérificateurs d’utilisateurs, checkuser-log, editor, reviewer, usersnoop
3 321
modifications
« Crowdsec » : différence entre les versions
Aller à la navigation
Aller à la recherche
aucun résumé des modifications
Aucun résumé des modifications |
Aucun résumé des modifications |
||
| Ligne 1 : | Ligne 1 : | ||
Bonjour, | Bonjour, | ||
Je vais vous présenter [https://github.com/crowdsecurity/crowdsec Crowdsec] nouvel outil de sécurité conçu pour protéger les serveurs | |||
Je vais vous présenter aujourd'hui [https://github.com/crowdsecurity/crowdsec Crowdsec] nouvel outil de sécurité conçu pour protéger les serveurs | |||
CrowdSec est un moteur de détection de comportement Open source, moderne et collaboratif (couplé à un réseau mondial de réputation IP) | CrowdSec est un moteur de détection de comportement Open source, moderne et collaboratif (couplé à un réseau mondial de réputation IP) | ||
| Ligne 19 : | Ligne 20 : | ||
Je l'ai installé sur quatre serveurs et je ne le regrette pas... | Je l'ai installé sur quatre serveurs et je ne le regrette pas... | ||
==Installation== | |||
<pre># lsb_release -a | <pre># lsb_release -a | ||
| Ligne 118 : | Ligne 121 : | ||
+-----+--------+-----------------------+----------------------+--------+---------+----+--------+---------------------+----------+</pre> | +-----+--------+-----------------------+----------------------+--------+---------+----+--------+---------------------+----------+</pre> | ||
==Installation et configuration d'un "Bouncer"== | |||
Pour bloquer les malfaisants, il faut installer votre/vos "Bouncers" (Bouncers = Videur de boite de nuit...). | Pour bloquer les malfaisants, il faut installer votre/vos "Bouncers" (Bouncers = Videur de boite de nuit...). | ||
| Ligne 212 : | Ligne 216 : | ||
<pre>root@bullseye:~# cscli decisions delete -i 10.150.16.21 | <pre>root@bullseye:~# cscli decisions delete -i 10.150.16.21 | ||
INFO[10-09-2021 10:12:56 AM] 1 decision(s) deleted</pre> | INFO[10-09-2021 10:12:56 AM] 1 decision(s) deleted</pre> | ||
==Commandes Utiles== | |||
Bannir une adresse IP | |||
Avec le client CrowdSec, vous pouvez avec la commande ban, ajouter ou supprimer manuellement des adresses IP à bloquer. Et la commande ban list vous permet de lister les adresses IP bloquées sur votre système. | |||
cscli decisions list | |||
Ajouter un bannissement manuellement pendant 24 heures : | |||
cscli decisions add --ip 1.2.3.4 --duration 24h | |||
Ajouter un bannissement sur une adresse IP et réclamer un CAPTCHA, un bannissement ou une limitation : | |||
cscli decisions add --ip 1.2.3.4 --duration 24h --type | |||
Ajouter un bannissement sur une tranche complète d’adresses IP : | |||
cscli decisions add --range 1.2.3.0/24 | |||
Lister et retirer des règles de blocage | |||
Lister les règles de blocage | |||
Pour visualiser vos règles : | |||
cscli decisions list | |||
Retirer un blocage | |||
Vous pouvez défaire vos blocages manuels. Si vous voulez supprimer le bannissement de l’adresse IP 1.2.3.4 : | |||
cscli decisions delete -i 1.2.3.4 | |||
Supprimer le bannissement du sous‑réseau 1.2.3.0/24 : | |||
cscli decisions delete -r 1.2.3.0/24 | |||
Ou pour supprimer toutes les règles de bannissement exigeant un CAPTCHA : | |||
cscli decisions delete --type captcha | |||
===Liste blanches=== | |||
Très important, être capable de créer ses listes blanches pour ne pas se retrouver à la porte de son propre serveur... | |||
On enlève l'IP du BAN: | |||
cscli decisions delete -i 197.xxx.xxx.xxx | |||
cscli decisions delete -i 41.xxx.xxx.xxx | |||
On crée la liste blanche: | |||
nano /etc/crowdsec/parsers/s02-enrich/liste_blanche.yaml | |||
<pre>name: crowdsecurity/whitelists | |||
description: "Liste blanche de mes IPs" | |||
whitelist: | |||
reason: "ma liste blanche" | |||
ip: | |||
- "41.xxx.xxx.xxx"</pre> | |||
On rechagre: | |||
# systemctl reload crowdsec | |||
On vérifie que la liste est active: | |||
# cscli parsers list | grep liste_blanche | |||
liste_blanche.yaml 🏠 enabled,local /etc/crowdsec/parsers/s02-enrich/liste_blanche.yaml | |||
Pour le IP dynamiques... | |||
# nano /usr/local/bin/listeblanche_CrowdSec.sh | |||
<pre>#!/bin/bash | |||
precedente=$(cat /usr/local/bin/votre.domaine.org) | |||
actuelle=$(dig +short votre.domaine.org) | |||
if ! [[ $actuelle =~ ^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+$ ]]; then | |||
echo "fail" | |||
elif [[ $actuelle = $precedente ]]; then | |||
: | |||
else | |||
echo "name: crowdsecurity/whitelists" > /usr/local/bin/gateway.yaml | |||
echo "description: \"Mise en liste blanche de votre.domaine.org\"" >> /usr/local/bin/gateway.yaml | |||
echo "whitelist:" >> /usr/local/bin/gateway.yaml | |||
echo " reason: \"C'est la maison!\"" >> /usr/local/bin/gateway.yaml | |||
echo " ip:" >> /usr/local/bin/gateway.yaml | |||
echo " - \""$actuelle"\"" >> /usr/local/bin/gateway.yaml | |||
echo $actuelle > /usr/local/bin/votre.domaine.org | |||
cp /usr/local/bin/gateway.yaml /etc/crowdsec/parsers/s02-enrich/gateway.yaml | |||
systemctl reload crowdsec | |||
fi</pre> | |||
Crontab: | |||
*/5 * * * * /usr/local/bin/listeblanche_CrowdSec.sh | |||
# cscli parsers list | grep gateway | |||
gateway.yaml 🏠 enabled,local /etc/crowdsec/parsers/s02-enrich/gateway.yaml | |||
Voilà, simple et efficace. | Voilà, simple et efficace. | ||