CrowdSec

CrowdSec 是一个开源且轻量级的软件，它允许您检测具有恶意行为的对等方，并在不同层级（基础设施、系统、应用）阻止他们访问您的系统。CrowdSec bouncer 是独立的软件组件，负责执行 CrowdSec 采取的决策：阻止 IP、显示验证码、对给定用户强制执行 MFA 等。

安装

安装 crowdsec^AUR 软件包，以及 CrowdSec 防火墙 bouncer cs-firewall-bouncer^AUR。

启用/启动 crowdsec.service

用法

将您的 CrowdSec 实例注册到 Crowdsec 控制台

# cscli  console enroll your_enroll_key

您可以从 上游 获取您的密钥。

Hub 管理

列出已安装的解析器、场景和集合

# cscli hub list

解析器 从日志或之前的解析器解析字符串。要安装 crowdsecurity/sshd-logs 解析器

# cscli parsers install crowdsecurity/sshd-logs

场景 接收事件并可以检测攻击和生成警报。安装 crowdsecurity/ssh-slow-bf 场景

# cscli scenarios install crowdsecurity/ssh-slow-bf

集合 是解析器、场景、后溢出的捆绑包。安装 crowdsecurity/whitelist-good-actors 集合

# cscli collections install crowdsecurity/whitelist-good-actors

更新已安装的解析器、场景和集合

# cscli hub update
# cscli hub upgrade

决策管理

列出活动决策

# cscli decisions list

手动添加决策（ban）

# cscli decisions add --ip 1.2.3.4 --duration 24h --reason "web bruteforce"

移除决策

# cscli decisions delete --ip 1.2.3.4

列出过去的警报

# cscli alerts list --since 1h

警报将包括过期或已删除的决策。

参见

• CrowdSec 简介
• CrowdSec 概念概述
• Crowdsec bouncer 简介