Installation von Crowdsec

Im Zeitraum vom 09.04.2024 - 28.03.2025 ist der Support eingeschränkt. In dem genannten Zeitraum, befinde ich mich auf einer Weiterbildung.

CrowdSec ist derzeit in aller Munde. Die meisten kennen bestimmt Fail2Ban, ähnlich arbeitet auch CrowdSec, allerdings ist CrowdSec weitaus mächtiger. Wie Ihr das in CloudPanel integriert, zeige ich euch in diesem Tutorial.

CrowdSec ist eine innovative und aufstrebende Lösung im Bereich der Cybersecurity. Entwickelt als Open-Source-Software, zielt CrowdSec darauf ab, böswillige Akteure, Hacker und schädliche Bots zu identifizieren und zu blockieren, indem es eine aktive und kooperative Verteidigungsgemeinschaft aufbaut. Durch den Austausch von Informationen über schädliches Verhalten und dessen Blockierung in Echtzeit kann CrowdSec die Widerstandsfähigkeit von IT-Infrastrukturen gegenüber Angriffen deutlich erhöhen.

Was bietet CrowdSec?

  • Echtzeiterkennung von Angriffen
  • Blocken via iptables/nftables
  • Einfache Installation und Wartung
  • Einfache Erweiterung via Plug-ins

Installation

CrowdSec Repository

Mit dem unten stehenden Befehl wird das Repository hinzugefügt:

Bash
curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.deb.sh | sudo bash

CrowdSec installieren

Bash
sudo apt install crowdsec

CrowdSec Komponenten installieren

Damit CrowdSec nicht nur erkennt, dass ein evtl. Angriff stattfindet, ist der Firewall Bouncer notwendig.

Bash
sudo apt install crowdsec-firewall-bouncer-iptables

Nach der Installation wird Ihnen angezeigt, dass CrowdSec nicht starten konnte. Dies liegt daran, dass es einen Portkonflikt aufgrund von CloudPanel gibt. In der Standardkonfiguration lauscht CrowdSec auf Port 8080 und dies muss geändert werden. Deshalb müssen drei Dateien angepasst werden.

[tabmenu]

CrowdSec Dateien bearbeiten

Öffnen Sie mit einem Editor Ihrer Wahl die erste Datei:

Bash
nano /etc/crowdsec/config.yaml

Ändern Sie in dieser Datei folgende Zeile listen_uri: 127.0.0.1:8080 in listen_uri: 127.0.0.1:65535. Grundsätzlich können Sie jeden freien Port verwenden, ich nutze den letzten Port, da dieser i. d. R. nie zugewiesen automatisch wird.

Speichern und schließen Sie die Datei und öffnen Sie die nächste.

Bash
nano /etc/crowdsec/bouncers/crowdsec-firewall-bouncer.yaml

Ändern Sie hier Zeile 12 mit folgender Angabe api_url: http://127.0.0.1:8080/ zu api_url: http://127.0.0.1:65535/.

Speichern und schließen diese ebenfalls und widmen sich nun der letzten Datei:

Bash
nano /etc/crowdsec/local_api_credentials.yaml

In dieser Datei wird direkt die erste Zeile bearbeitet. url: http://127.0.0.1:8080 zu url: http://127.0.0.1:65535.

Ab hier sind alle Dateien geändert und der Dienst muss einmal neu gestartet werden, damit die Änderungen übernommen werden.

Bash
systemctl restart crowdsec
systemctl restart crowdsec-firewall-bouncer

Nachdem Sie den Dienst neu gestartet haben, prüfen Sie mit folgendem Befehl die Funktion:

Code
service crowdsec status
service crowdsec-firewall-bouncer status

Sind die Services grün, läuft CrowdSec auf Ihrem System. Ist der Dienst auf rot, prüfen Sie bitte noch einmal die Dateien und Ihre Portangabe. Welche Dienste nun überwacht werden, können Sie mit folgendem Befehl prüfen:

Code
cscli collections list

Diese Listen können Sie auch nach Belieben erweitern. Erweiterungen finden Sie im CrowdSec Hub.

Quellen:

https://doc.crowdsec.net/docs/next/gett…nstall_crowdsec

https://doc.crowdsec.net/docs/next/cscli/

https://discord.com/invite/crowdsec

Über den Autor

Ich bin IT-Spezialist im Fachbereich der IT-Administratoren. Neben Beruf und Familie, erstelle ich als, Teil meines Hobbys, gerne Tutorials, sowie WoltLab Stile. Aktuell befinde ich mich auf meinem Informationstechnikermeister.

Foxly Team

Kommentare