Nutzt jemand von euch #CrowdSec?
-
R relay@relay.an.exchange shared this topic
-
@tux ich fand es zu kompliziert und war es nicht wert. Ich nutze einfach rate limiting auf der Firewall. Wenn jemand 5 Verbindungen in 30s macht, blocke ich einfach die IP
️ -
@tux@burningboard.net Nutze das parallel zu fail2ban, sieht solide aus, ist aber overreaching, die community rules musste ich ausschalten. Dafür habe ich über fail2ban dann sowas implementiert https://svemagie.net/articles/schroedingers-honeypot-on-freebsd-and/
-
@tux CrowdSec ist deutlich ausgefeilter, benötigt jedoch auch einen deutlich höheren Anfangs-/Einarbeitungs-/Einrichtungsaufwand.
Die diversen Bouncer/Engines machen es jedoch sehr viel «breiter», was den Schutz deiner Dienste anbelangt. Beispielsweise die AppSec-Komponente für Webserver geht schon sehr viel mehr Richtung WAF (statt einer 'simplen' Firewall).
-
@tux ich fand es zu kompliziert und war es nicht wert. Ich nutze einfach rate limiting auf der Firewall. Wenn jemand 5 Verbindungen in 30s macht, blocke ich einfach die IP
️Das kann man sicher so machen, aber deine Server sind vermutlich ohnehin gut geschützt. Ich habe bei mir noch den SSH-Port offen. Da die Angreifer schlau sind und ihre Login-Versuche oft über 30 Minuten oder länger strecken, habe ich jetzt „findtime“ auf zwei Stunden bei maximal drei Fehlversuchen gesetzt. Das führt direkt zu einem 7-Tage-Ban für die IP. Ich lasse mich aber jetzt mal von der KI beraten, ob ein Rate Limit auch noch zusätzlich sinnvoll ist.
Grüße
-
@tux CrowdSec ist deutlich ausgefeilter, benötigt jedoch auch einen deutlich höheren Anfangs-/Einarbeitungs-/Einrichtungsaufwand.
Die diversen Bouncer/Engines machen es jedoch sehr viel «breiter», was den Schutz deiner Dienste anbelangt. Beispielsweise die AppSec-Komponente für Webserver geht schon sehr viel mehr Richtung WAF (statt einer 'simplen' Firewall).
-
Ich glaube, ich lasse es lieber so. Fail2Ban mit den zusätzlichen Regeln aus dem Artikel anzupassen, übersteigt aktuell meine Skills 🤯 Und für CrowdSec fehlt mir gerade die Zeit – das ist mir alles etwas zu komplex.
Grüße
-
Ich habe Mischbetrieb, paar VMs fail2ban, ein paar mit crowdsec. Der moderne Ansatz ist vermutlich crowdsec.
Local Api Decisions:
╭──────────────────────┬──────────┬────────┬───────╮
│ Reason │ Origin │ Action │ Count │
├──────────────────────┼──────────┼────────┼───────┤
│ crowdsecurity/ssh-bf │ crowdsec │ ban │ 4 │
│ ssh:bruteforce │ CAPI │ ban │ 34571 │
╰──────────────────────┴──────────┴────────┴───────╯ -
@tux Was willst du erreichen? Mehrere Server von fail2ban zusammenfassen und syncron halten? Das geht schon.
github.com/SubleXBle/Fail2Ban-…
Ich hab mir das ein wenig umgebaut und einige rsync-Skripte gebaut. So braucht es kein crowdsec mehr. -
Ich habe Mischbetrieb, paar VMs fail2ban, ein paar mit crowdsec. Der moderne Ansatz ist vermutlich crowdsec.
Local Api Decisions:
╭──────────────────────┬──────────┬────────┬───────╮
│ Reason │ Origin │ Action │ Count │
├──────────────────────┼──────────┼────────┼───────┤
│ crowdsecurity/ssh-bf │ crowdsec │ ban │ 4 │
│ ssh:bruteforce │ CAPI │ ban │ 34571 │
╰──────────────────────┴──────────┴────────┴───────╯Wie schon geschrieben, ich lasse es erst einmal so. Auf dem Server liegt eh nichts Wichtiges.
Grüße
