CrowdSec

Windows

Скачиваем и устанавливаем:

Система полностью нативно работает с Брандмауэром, поэтому он должен быть включен. Приступаем к тюнингу.

Основные конфигурационные файлы находятся в папке C:\ProgramData\CrowdSec\config. Нас интересует с вами несколько файлов, приводим их к следующему виду.

Отключаем облачный сервис. Не будем делиться нашей статистикой и использовать списки комьюнити для бана.
Открываем файл C:\ProgramData\CrowdSec\config\config.yaml и закомментируем эти 2 строчки

online_client: # Crowdsec API credentials (to push signals and receive bad IPs)
credentials_path:  C:\ProgramData\CrowdSec\config\online_api_credentials.yaml

Меняем настройки сработки антибрута.

Открываем конфиг C:\ProgramData\CrowdSec\config\scenarios\windows-bf.yaml и меняем значения:

leakspeed: "300s"
capacity: 5

Выставляем бан на 100 дней. Скачиваем данный profiles.yaml конфиг и меняем в файле C:\ProgramData\CrowdSec\config\profiles.yaml.

Здесь не выкладываю конфиг, т.к. структура после копипаста становится невалидной.

Далее рестартим 2 сервиса CrowdSec и выполняем в командной строке:

cscli decisions delete --all

Команда удалит все забаненные адреса, прилетевшие с облака.

Управление:

  • cscli alerts list - Покажет список сработок и по какому тригеру
  • cscli decisions list - список забаненых IP
  • cscli decisions delete -i 1.1.1.1 - Разбанит IP адрес 1.1.1.1
Linux
Проверяем не установлен ли Fail2ban: 
systemctl status fail2ban.service
Если есть, то отключаем: 
systemctl stop fail2ban && systemctl disable fail2ban
Скачиваем и запускаем скрипт: 
apt update && apt install curl -y && curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.deb.sh | bash

Ставим CrowdSec и вышибалу. Я также ставлю для Nginx. Удалить если не нужен.

apt install -y crowdsec crowdsec-firewall-bouncer-nftables crowdsec-nginx-bouncer

Запускаем настройку:

/usr/share/crowdsec/wizard.sh -c

В файле /etc/crowdsec/notifications/http.yaml производим следующие замены:

  • Название хоста - Hostname
  • ID-чата Телеграм
  • TELEGRAM_API_KEY
nano /etc/crowdsec/notifications/http.yaml

Настроим адреса и сети, не подлежащие блокировке, т.е. белый список:

nano /etc/crowdsec/parsers/s02-enrich/whitelists.yaml

Производим замену в файле /etc/crowdsec/profiles.yaml duration: 2400h

nano /etc/crowdsec/profiles.yaml

В обоих файлах меняем leakspeed: "3600s" и capacity: 5. Значений в файлах несколько!!!

nano /etc/crowdsec/scenarios/ssh-bf.yaml
nano /etc/crowdsec/scenarios/ssh-slow-bf.yaml

Далее:

sed -i 's/online_client/#online_client/' /etc/crowdsec/config.yaml && \
sed -i 's/credentials_path: \/etc\/crowdsec\/online/#credentials_path: \/etc\/crowdsec\/online/' /etc/crowdsec/config.yaml

Перезапускаем службы:

systemctl restart crowdsec && systemctl restart crowdsec-firewall-bouncer.service

Для полного удаления из системы запускаем следующую команду:

apt-get -y autoremove crowdsec crowdsec-firewall-bouncer-nftables && \
apt-get -y purge crowdsec crowdsec-firewall-bouncer-nftables && \
apt-get -y autoremove --purge crowdsec crowdsec-firewall-bouncer-nftables

IT-Admins. 2020    Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в вашем браузере должен быть включен Javascript.