Installation von Crowdsec

CrowdSec ist derzeit in aller Munde. Die meisten kennen bestimmt Fail2Ban, ähnlich arbeitet auch CrowdSec, allerdings ist CrowdSec weitaus mächtiger. Wie Ihr das in CloudPanel integriert, zeige ich euch in diesem Tutorial.

CrowdSec ist eine innovative und aufstrebende Lösung im Bereich der Cybersecurity. Entwickelt als Open-Source-Software, zielt CrowdSec darauf ab, böswillige Akteure, Hacker und schädliche Bots zu identifizieren und zu blockieren, indem es eine aktive und kooperative Verteidigungsgemeinschaft aufbaut. Durch den Austausch von Informationen über schädliches Verhalten und dessen Blockierung in Echtzeit kann CrowdSec die Widerstandsfähigkeit von IT-Infrastrukturen gegenüber Angriffen deutlich erhöhen.

Was bietet CrowdSec?

  • Echtzeiterkennung von Angriffen
  • Blocken via iptables/nftables
  • Einfache Installation und Wartung
  • Einfache Erweiterung via Plug-ins

Installation

CrowdSec Repository

Mit dem unten stehenden Befehl wird das Repository hinzugefügt:

Bash
curl -s https://install.crowdsec.net | sudo sh

CrowdSec installieren

Bash
sudo apt install crowdsec

CrowdSec Komponenten installieren

Damit CrowdSec nicht nur erkennt, dass ein evtl. Angriff stattfindet, ist der Firewall Bouncer notwendig.

Bash
sudo apt install crowdsec-firewall-bouncer-iptables

Nach der Installation wird Ihnen angezeigt, dass CrowdSec nicht starten konnte. Dies liegt daran, dass es einen Portkonflikt aufgrund von CloudPanel gibt. In der Standardkonfiguration lauscht CrowdSec auf Port 8080 und dies muss geändert werden. Deshalb müssen drei Dateien angepasst werden.

[tabmenu]

CrowdSec Dateien bearbeiten

Öffnen Sie mit einem Editor Ihrer Wahl die erste Datei:

Bash
nano /etc/crowdsec/config.yaml

Ändern Sie in dieser Datei folgende Zeile listen_uri: 127.0.0.1:8080 in listen_uri: 127.0.0.1:65535. Grundsätzlich können Sie jeden freien Port verwenden, ich nutze den letzten Port, da dieser i. d. R. nie automatisch zugewiesen wird.

Speichern und schließen Sie die Datei und öffnen Sie die nächste.

Bash
nano /etc/crowdsec/bouncers/crowdsec-firewall-bouncer.yaml

Ändern Sie hier Zeile 12 mit folgender Angabe api_url: http://127.0.0.1:8080/ zu api_url: http://127.0.0.1:65535/.

Speichern und schließen diese ebenfalls und widmen sich nun der letzten Datei:

Bash
nano /etc/crowdsec/local_api_credentials.yaml

In dieser Datei wird direkt die erste Zeile bearbeitet. url: http://127.0.0.1:8080 zu url: http://127.0.0.1:65535.

Ab hier sind alle Dateien geändert und der Dienst muss einmal neu gestartet werden, damit die Änderungen übernommen werden.

Bash
systemctl restart crowdsec
systemctl restart crowdsec-firewall-bouncer

Nachdem Sie den Dienst neu gestartet haben, prüfen Sie mit folgendem Befehl die Funktion:

Code
service crowdsec status
service crowdsec-firewall-bouncer status

Sind die Services grün, läuft CrowdSec auf Ihrem System. Ist der Dienst auf rot, prüfen Sie bitte noch einmal die Dateien und Ihre Portangabe. Welche Dienste nun überwacht werden, können Sie mit folgendem Befehl prüfen:

Code
cscli collections list

Diese Listen können Sie auch nach Belieben erweitern. Erweiterungen finden Sie im CrowdSec Hub.

Quellen:

https://doc.crowdsec.net/docs/next/gett…nstall_crowdsec

https://doc.crowdsec.net/docs/next/cscli/

https://discord.com/invite/crowdsec

Über den Autor

Ich bin IT-Spezialist im Fachbereich der IT-Administratoren. Neben Beruf und Familie, erstelle ich als, Teil meines Hobbys, gerne Tutorials, sowie WoltLab Stile. Aktuell befinde ich mich auf meinem Informationstechnikermeister.

Foxly Team

Kommentare 2

3. Oktober 2024 um 22:12

Hallo,

danke für diesen Beitrag. Ich bin Neuling, spiele etwas mit meinem Homelab rum. Bei Installation, wo der Port 8080 in Benutzung ist, bekam ich Crowdsec nicht zum Laufen. Über Log Einträge in Portainer kam ich selbst auf die Portproblematik. Da ich nicht wusste, wie ich den Port bei Crowdsec wechsle, habe ich ich dies bei meinen Docker Containern getan. Jedoch finde ich deine Lösung so besser. Muss ich jetzt eigentlich den neuen Port 65535 auch in der Proxmox Firewall freigeben, damit Crowdsec funktioniert?

Björn
6. Oktober 2024 um 09:15
Autor

Ich kenne jetzt deine Infrastruktur nicht, aber Crowdsec benötigt natürlich auch eine port freigabe nach außen.