Скачиваем и устанавливаем:
Система полностью нативно работает с Брандмауэром, поэтому он должен быть включен. Приступаем к тюнингу.
Основные конфигурационные файлы находятся в папке C:\ProgramData\CrowdSec\config. Нас интересует с вами несколько файлов, приводим их к следующему виду.
Отключаем облачный сервис. Не будем делиться нашей статистикой и использовать списки комьюнити для бана.
Открываем файл C:\ProgramData\CrowdSec\config\config.yaml и закомментируем эти 2 строчки
online_client: # Crowdsec API credentials (to push signals and receive bad IPs)
credentials_path: C:\ProgramData\CrowdSec\config\online_api_credentials.yaml
Меняем настройки сработки антибрута.
Открываем конфиг C:\ProgramData\CrowdSec\config\scenarios\windows-bf.yaml и меняем значения:
leakspeed: "300s"
capacity: 5
Выставляем бан на 100 дней. Скачиваем данный profiles.yaml конфиг и меняем в файле C:\ProgramData\CrowdSec\config\profiles.yaml.
Здесь не выкладываю конфиг, т.к. структура после копипаста становится невалидной.
Далее рестартим 2 сервиса CrowdSec и выполняем в командной строке:
cscli decisions delete --all
Команда удалит все забаненные адреса, прилетевшие с облака.
Управление:
systemctl status fail2ban.service
Если есть, то отключаем:
systemctl stop fail2ban && systemctl disable fail2ban
Скачиваем и запускаем скрипт:
apt update && apt install curl -y && curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.deb.sh | bash
Ставим CrowdSec и вышибалу. Я также ставлю для Nginx. Удалить если не нужен.
apt install -y crowdsec crowdsec-firewall-bouncer-nftables crowdsec-nginx-bouncer
Запускаем настройку:
/usr/share/crowdsec/wizard.sh -c
В файле /etc/crowdsec/notifications/http.yaml производим следующие замены:
nano /etc/crowdsec/notifications/http.yaml
Настроим адреса и сети, не подлежащие блокировке, т.е. белый список:
nano /etc/crowdsec/parsers/s02-enrich/whitelists.yaml
Производим замену в файле /etc/crowdsec/profiles.yaml duration: 2400h
nano /etc/crowdsec/profiles.yaml
В обоих файлах меняем leakspeed: "3600s" и capacity: 5. Значений в файлах несколько!!!
nano /etc/crowdsec/scenarios/ssh-bf.yaml
nano /etc/crowdsec/scenarios/ssh-slow-bf.yaml
Далее:
sed -i 's/online_client/#online_client/' /etc/crowdsec/config.yaml && \
sed -i 's/credentials_path: \/etc\/crowdsec\/online/#credentials_path: \/etc\/crowdsec\/online/' /etc/crowdsec/config.yaml
Перезапускаем службы:
systemctl restart crowdsec && systemctl restart crowdsec-firewall-bouncer.service
Для полного удаления из системы запускаем следующую команду:
apt-get -y autoremove crowdsec crowdsec-firewall-bouncer-nftables && \
apt-get -y purge crowdsec crowdsec-firewall-bouncer-nftables && \
apt-get -y autoremove --purge crowdsec crowdsec-firewall-bouncer-nftables