Mit CrowdSec Server absichern
In weniger als 5 Minuten könnt ihr euren Server mit der OpenSource und Gemeindschaftssoftware Crowdsec absichern. In der digitalen Welt von heute ist die Sicherheit unserer Server von entscheidender Bedeutung. Mit der Zunahme von Cyberangriffen suchen Unternehmen und Einzelpersonen nach effizienten Lösungen zur Abwehr solcher Bedrohungen. Hier kommt CrowdSec ins Spiel, ein modernes und Open-Source-System, welches die Sicherheit eurer Systeme verbessert.
Was ist CrowdSec?
CrowdSec ist ein Open-Source und leichtgewichtiger Malware-Scanner und Response-System, der eine Gemeinschaft von Nutzern dabei unterstützt, sich gegenseitig vor schädlichen IP-Adressen zu schützen. Es verwendet eine Behavioral-Analyse kombiniert mit einer gemeinsamen Datenbank von bekannten Angreifer-IPs, um Angriffe in Echtzeit zu identifizieren und zu blockieren.
Vorteile von CrowdSec
- Gemeinschaftsgesteuert: Jeder, der CrowdSec verwendet, trägt zur Erkennung und Meldung bösartiger Aktivitäten bei, wodurch die gesamte Gemeinschaft profitiert.
- Modularität: Mit seinen Bouncers und Plugins kann es leicht in viele andere Anwendungen und Systeme integriert werden.
- Skalierbar: Es kann sowohl auf kleinen als auch auf großen Systemen effizient arbeiten.
- Kostenlos und Open Source: Dies ermöglicht eine breite Anpassung und Gemeinschaftsbeteiligung.
Installation um den Server mit CrowdSec absichern zu können
Stellt zuerst sicher das curl installiert ist. Das geht mit:
apt install curlWir installieren CrowdSec direkt über deren Repositories damit wir stehts die aktuellsten Versionen erhalten:
#Ubuntu/Mint
curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.deb.sh | sudo bash
#bei Debian lasst ihr das sudo wegFür die meisten Linux-Distributionen können wir CrowdSec danach einfach installieren mit:
sudo apt update && sudo apt install crowdsecKonfiguration von Crowdsec um den Server absichern zu können
Konfigurationen benötigt CrowdSec für eine Standardanwendung keine. Wir benötigen aber sogenannte Bouncer die die eigentliche Arbeit erledigen. Die CrowdSec Installation übernimmt nur die Regelanalyse, die Ausführung bei einem Regelmatch übernehmen die Bouncer
Bouncers auf dem Server installieren
Bouncers sind Plugins, die mit CrowdSec arbeiten, um böswillige Anfragen in Echtzeit zu blockieren. Es gibt Bouncers für verschiedene Dienste wie Nginx, Apache, PHP und etc.
Wir installieren uns den Standard Firewall-Bouncer für eine Nextcloud oder einen Standard-Webserver.
sudo apt install crowdsec-firewall-bouncer-iptablesZusätzlich kann, wie bereits erwähnt, zum Beispiel der Nginx Webserver mit Crowdsec abgesichert werden. Installation dazu wäre:
sudo apt install nginx lua5.1 libnginx-mod-http-lua luarocks gettext-base lua-cjson
sudo apt install crowdsec-nginx-bouncerPHP könnte zum beispiel ebenfalls zusätzlich abgesichert werden. Crowdsec bietet eine Menge spezialisierte Bouncer die für verschiedenste Komponenten abgestimmt sind. Schaut hier vorbei für die verschiedensten Bouncer und deren Konfiguration:
https://docs.crowdsec.net/u/bouncers/intro
Überwachung und Management des CrowdSec Servers
Mit dem Befehl cscli können wir die Aktivitäten auf Unserem Server überwachen, uns bösartige IPs anzeigen lassen, und diese bei Bedarf manuell blockieren oder freigeben.
Um uns anzeigen zu lassen, welche Angriffe bereits stattgefunden haben, können wir das mit dem Befehl cscli decisions list:
Hier seht ihr eine Übersicht der bereits eingetretenen Regeln. Die erste Zeile zeigt die ID der Rule, die zweite dass Regeln von CrowdSec angeschlagen haben, die dritte die IP des Angreifers, danach die genaue Regel, Aktion, Ursprungsland, Provider, wie viele Versuche stattgefunden haben und wann die Regel wieder abläuft.
Einige Befehle für unsere CrowdSec um den Server besser absichern zu können
sudo cscli decisions delete --all
löscht alle aktuellen Blockierungen
sudo cscli decisions delete --id 74 -
löscht nur eine bestimmte ID
sudo cscli decisions add --ip 1.2.3.4 --duration 24h --reason "web bruteforce"erstellt eine neue Regel um eine bestimmte IP für 24 Stunden mit der Begründung web Bruteforce zu blockieren
sudo cscli decisions add --range 1.2.3.0/24 --reason "web bruteforce"
erstellt eine neue Regel um eine bestimmte IP Range für 24 Stunden mit der Begründung web Bruteforce zu blockieren
sudo cscli decisions add -i 1.2.3.4
erstellt eine einfache Regel die eine bestimmte IP permanent blockiert
Updates
Mit einem einfach apt update && apt upgrade halten wir unseren CrowSec inklusive aller Systemupdates auf dem neusten Stand.
Fazit
CrowdSec bietet euch eine effektive, gemeinschaftsbasierte Lösung zur Verbesserung der Sicherheit eurer Server. Durch die einfache Installation, Konfiguration und die Unterstützung einer aktiven Gemeinschaft, kann eurer Server somit einfach gegen eine Vielzahl von Bedrohungen geschützt werden. Wenn ihr euren Server oder eure Anwendung sicherer machen möchten, ist es sinnvoll, CrowdSec in eure Sicherheitsstrategie zu integrieren.
Habt ihr Fragen, stellt sie in die Kommentare!
