crowdsec vs. fail2ban

[space2place]

Moin zusammen,
hat jemand von Euch schon Erfahrungen mit CrowdSec https://crowdsec.net ?
Ich habe mich gestern mal ein bisschen eingelesen und bin sehr angetan davon: https://doc.crowdsec.net/

Sehr Interessant finde ich auch deren WebConsole. Dort kann man seine Server registrieren und hat einen Überblick über das aktuelle Geschehen.

Blocklisten sollen wohl auch in einem der nächsten Releases erscheinen.

Bevor ich jetzt unnötig einen Feature Request starte, wollte ich mal hören ob Ihr schon Erfahrungen mit CrowdSec hattet.

Gruß
Sascha

[mhagge]

Kannte ich noch nicht - sieht aber durchaus interessant aus

[xister]

Sehr interessant - liest sich gut!

[space2place]

Ich habe es gerade auf einem Server ohne KeyHelp gestestet und bin schon von der Ausgabe der geblockten IP angetan:

Code: Select all

+----+----------+-------------------+---------------------------+--------+---------+---------------------------+--------+-------------------+----------+
| ID |  SOURCE  |    SCOPE:VALUE    |          REASON           | ACTION | COUNTRY |            AS             | EVENTS |    EXPIRATION     | ALERT ID |
+----+----------+-------------------+---------------------------+--------+---------+---------------------------+--------+-------------------+----------+
|  3 | crowdsec | Ip:***.**.***.*** | crowdsecurity/ssh-slow-bf | ban    | DE      | 24940 Hetzner Online GmbH |     11 | 3h59m42.70549999s |        3 |
+----+----------+-------------------+---------------------------+--------+---------+---------------------------+--------+-------------------+----------+

Es wird direkt der Besitzer der IP ausgeworfen.

[24unix]

Ich kannte es auch nicht, schau es mir aber mal an.

Erster Eindruck: Die Installation:

Code: Select all

curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.deb.sh | sudo bash

Setzt sudo voraus. Hasse ich. Und ungeprüft ein Script in eine root-Shell pipen?

Habe es mir angeguckt, ist unauffällig.

Dann:

Code: Select all

apt install crowdsec

Ach, das geht plötzlich ohne sudo?

Werde später noch etwas damit rumspielen.

[mhagge]

Naja, damit werden dem Grunde nach nur die Paketquellen ergänzt

Code: Select all

curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.deb.sh | sudo bash

Für ein Tool, welches sich an Techies richtet allerdings sogar ein fast schon eher umständlicher weg - warum nicht ein einfaches: ergänze xyz in deiner sources.list (oder lege eine entsprechende Datei in sources.list.d ab)

Allerdings: spätestens bei der Installation aus dem Paketquellen musst Du dem ganzen dann wohl eh vertrauen, das Dinge braucht fürchte ich auch zum Betrieb root-Rechte

[24unix]

Naja, damit werden dem Grunde nach nur die Paketquellen ergänzt

Code: Select all

curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.deb.sh | sudo bash

Für ein Tool, welches sich an Techies richtet allerdings sogar ein fast schon eher umständlicher weg - warum nicht ein einfaches: ergänze xyz in deiner sources.list (oder lege eine entsprechende Datei in sources.list.d ab)

Das ist mir schon klar

Allerdings: spätestens bei der Installation aus dem Paketquellen musst Du dem ganzen dann wohl eh vertrauen, das Dinge braucht fürchte ich auch zum Betrieb root-Rechte

Ja, Sudoeristis pur auf der Webseite, ich habe es auf einem unwichtigem Server installiert …

[Blackmoon]

Ich bin zwischen auch am Überlegen, ob ich Crowdsec auf allen Servern ausrolle.
Gibt es inzwischen von eueren Tests positive Langzeiterfahrungen?

[space2place]

Wir haben CrowdSec auf Servern ohne KeyHelp installiert.
Läuft gut und tut was es soll.
Es gab nur einmal ein Problem mit PHP Quellen von Sury... Hier hat Crowdsec die IPs mal einfach auf eine Blacklist gesetzt und wir haben nach dem Fehler gesucht. Irgendwann haben ich dann mal was im Git gefunden und dort wurde dann geschrieben man solle lokale Ausnahmen definieren.. Seitdem läuft wieder alles.

Wie geschrieben.. Alles Server ohne KeyHelp.

[Blackmoon]

Wir haben CrowdSec auf Servern ohne KeyHelp installiert.

Das haben wir ebenfalls bereits getan.

Aus welchen Gründen hast du bis dato von KeyHelp Servern abgesehen?

[space2place]

Aus welchen Gründen hast du bis dato von KeyHelp Servern abgesehen?

CrowdSec macht nichts anderes wie Fail2Ban.. Und Fail2Ban wurde von Alex in KeyHelp integriert. Solange es keine gut Begründung gibt Crowsec für Fail2Ban unter KeyHelp einzusetzen, wird es hier auch keinen Feature Request geben.

Und ich möchte mir keine Fehler und Probleme auf ein stabiles System einbauen, nur weil ich ein neueres Tool einsetzen möchte.

[Blackmoon]

Solange es keine gut Begründung gibt Crowsec für Fail2Ban unter KeyHelp einzusetzen, wird es hier auch keinen Feature Request geben.

Meiner Meinung nach kann man fail2ban und Crowdsec nicht gleich setzen. fail2ban ist statisch, auf den Server begrenzt. Crowedsec dagegen ist dynamisch und nicht nur auf den Server begrenzt. Somit können mit den getroffenen Entscheidungen pro-aktiv weitere Server vor vermeidlichen Unheil beschützt werden. Zumal nicht nur der Schutz auf Basis von Logfiles erfolgt sondern auch in CMS wie Wordpress integriert werden kann.

[space2place]

Ich habe mich so tief nicht in CrowdSec eingearbeitet. Sonst hätte ich das hier schon längt thematisiert.
"Feel free" und erstell einen Beitrag in Funktionswünsche. Da Du anscheinend etwas tiefer in der Materie drin bist, kannst Du es auch besser beschreiben. Dagegen bin ich nicht. Meinen Seegen hast Du.. Nur der zählt hier nicht

[slowmo]

Hallo zusammen!
Wie ist der Stand der Dinge? Hat schon jemand CrowdSec erfolgreich auf einem Keyhelp Server am laufen?

Ich bin ja eigentlich ganz angetan von dieser Software, vor allem dem Community Aspekt, so dass Angreifer-IPs direkt wieder CrowdSec zur Verfügung gestellt werden. Das unterscheidet CrowdSec auch von fail2ban. Wenn ich in mein Postfix Log so reinschaue, sehe ich fortwährend Angreifer mit wechselnder IP, was fail2ban nicht weiter zu stören scheint. Mich irgendwie schon.

Auch hat CrowdSec viele Möglichkeiten die Angriffe schön & verständlich zu visualisieren. Mit einem eigenen Dashboard. Oder deren SaaS-Dienst (mit kostenloser Community Edition).

Ich finde Keyhelp vom Prinzip her ja nicht schlecht, aber es entfernt sich immer weiter vom "Stand der Technik". Das sieht man leider auch dem phpBB Forum an, was doch kein Mensch mehr verwendet ... Discourse *hust* ist viel besser ... Und es fehlt leider auch der native Docker-Support von Keyhelp, so dass auch viele andere Webanwendungen möglich sind, die mehr als nur die üblichen LAMP-Anforderungen der letzten 20 Jahre haben. Keyhelp als Docker-Container hätte schon was, dann kann ich eine Blanko-Debian-Kiste mit Docker universeller nutzen, als eine exklusive Keyhelp-Kiste für MAIL & LAMP und dann mit viel Vorsicht für alles andere. Wie seht Ihr das? Bin ich vielleicht einfach nicht die Zielgruppe von Keyhelp?

[24unix]

Das sieht man leider auch dem phpBB Forum an, was doch kein Mensch mehr verwendet ... Discourse *hust* ist viel besser ...

Dann bin ich wohl kein Mensch. Ich betreue aktuell drei phpBB Foren. Alle davon waren schon gute 10 Jahre alt, als Discourse veröffentlicht wurde …