crowdsec vs. fail2ban

[space2place]

Moin zusammen,
hat jemand von Euch schon Erfahrungen mit CrowdSec https://crowdsec.net ?
Ich habe mich gestern mal ein bisschen eingelesen und bin sehr angetan davon: https://doc.crowdsec.net/

Sehr Interessant finde ich auch deren WebConsole. Dort kann man seine Server registrieren und hat einen Überblick über das aktuelle Geschehen.

Blocklisten sollen wohl auch in einem der nächsten Releases erscheinen.

Bevor ich jetzt unnötig einen Feature Request starte, wollte ich mal hören ob Ihr schon Erfahrungen mit CrowdSec hattet.

Gruß
Sascha

[mhagge]

Kannte ich noch nicht - sieht aber durchaus interessant aus

[xister]

Sehr interessant - liest sich gut!

[space2place]

Ich habe es gerade auf einem Server ohne KeyHelp gestestet und bin schon von der Ausgabe der geblockten IP angetan:

Code: Select all

+----+----------+-------------------+---------------------------+--------+---------+---------------------------+--------+-------------------+----------+
| ID |  SOURCE  |    SCOPE:VALUE    |          REASON           | ACTION | COUNTRY |            AS             | EVENTS |    EXPIRATION     | ALERT ID |
+----+----------+-------------------+---------------------------+--------+---------+---------------------------+--------+-------------------+----------+
|  3 | crowdsec | Ip:***.**.***.*** | crowdsecurity/ssh-slow-bf | ban    | DE      | 24940 Hetzner Online GmbH |     11 | 3h59m42.70549999s |        3 |
+----+----------+-------------------+---------------------------+--------+---------+---------------------------+--------+-------------------+----------+

Es wird direkt der Besitzer der IP ausgeworfen.

[24unix]

Ich kannte es auch nicht, schau es mir aber mal an.

Erster Eindruck: Die Installation:

Code: Select all

curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.deb.sh | sudo bash

Setzt sudo voraus. Hasse ich. Und ungeprüft ein Script in eine root-Shell pipen?

Habe es mir angeguckt, ist unauffällig.

Dann:

Code: Select all

apt install crowdsec

Ach, das geht plötzlich ohne sudo?

Werde später noch etwas damit rumspielen.

[mhagge]

Naja, damit werden dem Grunde nach nur die Paketquellen ergänzt

Code: Select all

curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.deb.sh | sudo bash

Für ein Tool, welches sich an Techies richtet allerdings sogar ein fast schon eher umständlicher weg - warum nicht ein einfaches: ergänze xyz in deiner sources.list (oder lege eine entsprechende Datei in sources.list.d ab)

Allerdings: spätestens bei der Installation aus dem Paketquellen musst Du dem ganzen dann wohl eh vertrauen, das Dinge braucht fürchte ich auch zum Betrieb root-Rechte

[24unix]

Naja, damit werden dem Grunde nach nur die Paketquellen ergänzt

Code: Select all

curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.deb.sh | sudo bash

Für ein Tool, welches sich an Techies richtet allerdings sogar ein fast schon eher umständlicher weg - warum nicht ein einfaches: ergänze xyz in deiner sources.list (oder lege eine entsprechende Datei in sources.list.d ab)

Das ist mir schon klar

Allerdings: spätestens bei der Installation aus dem Paketquellen musst Du dem ganzen dann wohl eh vertrauen, das Dinge braucht fürchte ich auch zum Betrieb root-Rechte

Ja, Sudoeristis pur auf der Webseite, ich habe es auf einem unwichtigem Server installiert …

[Blackmoon]

Ich bin zwischen auch am Überlegen, ob ich Crowdsec auf allen Servern ausrolle.
Gibt es inzwischen von eueren Tests positive Langzeiterfahrungen?

[space2place]

Wir haben CrowdSec auf Servern ohne KeyHelp installiert.
Läuft gut und tut was es soll.
Es gab nur einmal ein Problem mit PHP Quellen von Sury... Hier hat Crowdsec die IPs mal einfach auf eine Blacklist gesetzt und wir haben nach dem Fehler gesucht. Irgendwann haben ich dann mal was im Git gefunden und dort wurde dann geschrieben man solle lokale Ausnahmen definieren.. Seitdem läuft wieder alles.

Wie geschrieben.. Alles Server ohne KeyHelp.

[Blackmoon]

Wir haben CrowdSec auf Servern ohne KeyHelp installiert.

Das haben wir ebenfalls bereits getan.

Aus welchen Gründen hast du bis dato von KeyHelp Servern abgesehen?

[space2place]

Aus welchen Gründen hast du bis dato von KeyHelp Servern abgesehen?

CrowdSec macht nichts anderes wie Fail2Ban.. Und Fail2Ban wurde von Alex in KeyHelp integriert. Solange es keine gut Begründung gibt Crowsec für Fail2Ban unter KeyHelp einzusetzen, wird es hier auch keinen Feature Request geben.

Und ich möchte mir keine Fehler und Probleme auf ein stabiles System einbauen, nur weil ich ein neueres Tool einsetzen möchte.

[Blackmoon]

Solange es keine gut Begründung gibt Crowsec für Fail2Ban unter KeyHelp einzusetzen, wird es hier auch keinen Feature Request geben.

Meiner Meinung nach kann man fail2ban und Crowdsec nicht gleich setzen. fail2ban ist statisch, auf den Server begrenzt. Crowedsec dagegen ist dynamisch und nicht nur auf den Server begrenzt. Somit können mit den getroffenen Entscheidungen pro-aktiv weitere Server vor vermeidlichen Unheil beschützt werden. Zumal nicht nur der Schutz auf Basis von Logfiles erfolgt sondern auch in CMS wie Wordpress integriert werden kann.

[space2place]

Ich habe mich so tief nicht in CrowdSec eingearbeitet. Sonst hätte ich das hier schon längt thematisiert.
"Feel free" und erstell einen Beitrag in Funktionswünsche. Da Du anscheinend etwas tiefer in der Materie drin bist, kannst Du es auch besser beschreiben. Dagegen bin ich nicht. Meinen Seegen hast Du.. Nur der zählt hier nicht