Nutzt jemand von euch #CrowdSec?
-
R relay@relay.an.exchange shared this topic
-
@tux ich fand es zu kompliziert und war es nicht wert. Ich nutze einfach rate limiting auf der Firewall. Wenn jemand 5 Verbindungen in 30s macht, blocke ich einfach die IP
โ
๏ธ -
@tux@burningboard.net Nutze das parallel zu fail2ban, sieht solide aus, ist aber overreaching, die community rules musste ich ausschalten. Dafรผr habe ich รผber fail2ban dann sowas implementiert https://svemagie.net/articles/schroedingers-honeypot-on-freebsd-and/
-
@tux CrowdSec ist deutlich ausgefeilter, benรถtigt jedoch auch einen deutlich hรถheren Anfangs-/Einarbeitungs-/Einrichtungsaufwand.
Die diversen Bouncer/Engines machen es jedoch sehr viel ยซbreiterยป, was den Schutz deiner Dienste anbelangt. Beispielsweise die AppSec-Komponente fรผr Webserver geht schon sehr viel mehr Richtung WAF (statt einer 'simplen' Firewall).
-
@tux ich fand es zu kompliziert und war es nicht wert. Ich nutze einfach rate limiting auf der Firewall. Wenn jemand 5 Verbindungen in 30s macht, blocke ich einfach die IP
โ๏ธDas kann man sicher so machen, aber deine Server sind vermutlich ohnehin gut geschรผtzt. Ich habe bei mir noch den SSH-Port offen. Da die Angreifer schlau sind und ihre Login-Versuche oft รผber 30 Minuten oder lรคnger strecken, habe ich jetzt โfindtimeโ auf zwei Stunden bei maximal drei Fehlversuchen gesetzt. Das fรผhrt direkt zu einem 7-Tage-Ban fรผr die IP. Ich lasse mich aber jetzt mal von der KI beraten, ob ein Rate Limit auch noch zusรคtzlich sinnvoll ist.
Grรผรe
-
@tux CrowdSec ist deutlich ausgefeilter, benรถtigt jedoch auch einen deutlich hรถheren Anfangs-/Einarbeitungs-/Einrichtungsaufwand.
Die diversen Bouncer/Engines machen es jedoch sehr viel ยซbreiterยป, was den Schutz deiner Dienste anbelangt. Beispielsweise die AppSec-Komponente fรผr Webserver geht schon sehr viel mehr Richtung WAF (statt einer 'simplen' Firewall).
-
Ich glaube, ich lasse es lieber so. Fail2Ban mit den zusรคtzlichen Regeln aus dem Artikel anzupassen, รผbersteigt aktuell meine Skills ๐คฏ Und fรผr CrowdSec fehlt mir gerade die Zeit โ das ist mir alles etwas zu komplex.
Grรผรe
-
Ich habe Mischbetrieb, paar VMs fail2ban, ein paar mit crowdsec. Der moderne Ansatz ist vermutlich crowdsec.
Local Api Decisions:
โญโโโโโโโโโโโโโโโโโโโโโโโฌโโโโโโโโโโโฌโโโโโโโโโฌโโโโโโโโฎ
โ Reason โ Origin โ Action โ Count โ
โโโโโโโโโโโโโโโโโโโโโโโโผโโโโโโโโโโโผโโโโโโโโโผโโโโโโโโค
โ crowdsecurity/ssh-bf โ crowdsec โ ban โ 4 โ
โ ssh:bruteforce โ CAPI โ ban โ 34571 โ
โฐโโโโโโโโโโโโโโโโโโโโโโโดโโโโโโโโโโโดโโโโโโโโโดโโโโโโโโฏ -
@tux Was willst du erreichen? Mehrere Server von fail2ban zusammenfassen und syncron halten? Das geht schon.
github.com/SubleXBle/Fail2Ban-โฆ
Ich hab mir das ein wenig umgebaut und einige rsync-Skripte gebaut. So braucht es kein crowdsec mehr. -
Ich habe Mischbetrieb, paar VMs fail2ban, ein paar mit crowdsec. Der moderne Ansatz ist vermutlich crowdsec.
Local Api Decisions:
โญโโโโโโโโโโโโโโโโโโโโโโโฌโโโโโโโโโโโฌโโโโโโโโโฌโโโโโโโโฎ
โ Reason โ Origin โ Action โ Count โ
โโโโโโโโโโโโโโโโโโโโโโโโผโโโโโโโโโโโผโโโโโโโโโผโโโโโโโโค
โ crowdsecurity/ssh-bf โ crowdsec โ ban โ 4 โ
โ ssh:bruteforce โ CAPI โ ban โ 34571 โ
โฐโโโโโโโโโโโโโโโโโโโโโโโดโโโโโโโโโโโดโโโโโโโโโดโโโโโโโโฏWie schon geschrieben, ich lasse es erst einmal so. Auf dem Server liegt eh nichts Wichtiges.
Grรผรe
