CrowdSec est un Pare-feu communautaire open-source pour se protéger des attaques informatiques.
Il analyse le comportement des visiteurs via les logs et répond de manière adaptée :
- Bloquer l'adresse IP
- Ajouter un captcha
- Ajouter un code 403 sur nginx
- ect...
Les adresses IP agressives sont envoyées à CrowdSec pour être partagés entre tous les utilisateurs afin d'améliorer la sécurité de chacun.
Installation
Pour l'installer sur Ubuntu ou Debian :
curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.deb.sh | sudo bashsudo apt install -y crowdsec
Pour l'installer sur Arch Linux :
yay -S --noconfirm crowdsec-bin
Pour les autres systèmes, voir la documentation.
Utilisation classique
CrowdSec a plusieurs composants :
- Parser : Analyse les logs pour les transformer en événements.
- Scenario : Analyse les événements pour les transformer en décisions.
- Decision : Action à effectuer suite à un événement.
- Bouncer : Outil pour appliquer les décisions.
- Collection : Ensemble de parsers, scenarios et bouncers.
Pour démarrer CrowdSec, il faut lancer le service :
sudo systemctl start crowdsec
Pour bloquer les adresses IP, il faut installer le bouncer iptables (ou nftables) :
apt install -y crowdsec-firewall-bouncer-iptables # Ubuntu/Debian# ouyay -S --noconfirm crowdsec-firewall-bouncer-iptables # Arch Linux# Démarrer le servicesudo systemctl start crowdsec-firewall-bouncer
Pour bannir une adresse IP :
cscli decisions add -t ban -i <IP>
Références :