点击上方蓝字关注我们
IT 咖啡馆,探索无限可能!
恭喜你发现了这个宝藏,这里你会发现优质的开源项目、IT知识和有趣的内容。
随着现在IT基础设施的不断变化,云计算、容器化和基于虚拟机 (VM) 的环境正在逐渐成为主流,随之而来的就是传统的安全工具开始出现很多不适应,我们需要针对新环境来更新能力。
今天我们分享的开源项目,它是一款免费、开源和协作的行为检测引擎,可以帮我们保护系统免受攻击性和恶意行为的侵害,它就是:CrowdSec
CrowdSec 是什么
CrowdSec 是一款免费、现代且协作的行为检测引擎,并配有全球 IP 信誉网络。它基于 fail2ban 的理念,但兼容 IPV6 且速度快 60 倍(Go vs Python),它使用 Grok 模式来解析日志和 YAML 场景来识别行为。CrowdSec 专为现代云/容器/基于 VM 的基础设施而设计(通过将检测和补救分离)。一旦检测到,您可以使用各方式来处理威胁,比如防火墙阻止、nginx http 403、Captchas 等,而攻击性 IP 可以发送到 CrowdSec 进行管理,然后再与所有用户共享,以进一步提高每个人的安全性。
Crowdsec 是一款开源的轻量级软件,可检测具有攻击行为的对等体,以阻止其访问您的系统。其用户友好的设计和帮助提供了较低的技术门槛,同时提供了较高的安全收益。
架构如下:
一旦检测到攻击行为,就会通过保护程序来处理。攻击性 IP、触发的场景和时间戳被发送以供管理,以避免中毒和误报。如果经过验证,则将此 IP 重新分配给运行相同场景的所有 CrowdSec 用户。
CrowdSec不是SIEM
SIEM(信息安全和事件管理)可收集日志和事件,从而对这些数据进行标准化处理以供进一步分析,这些分析可以通过可视化、告警、搜索和报告等多种方式进行展现。安全团队通常会将他们的 SIEM 用作中央仪表板,在平台外执行许多日常操作。安全分析师可以使用 SIEM 解决方案来处理高级网络安全用例,例如持续监测、威胁猎捕,以及事件调查和响应。
CrowdSec 不是 SIEM,它不会存储您的日志(无论是本地还是远程)。您的数据会在本地进行分析,然后被遗忘。
发送到策展平台的信号被严格限制在最低限度:IP、场景、时间戳。它们仅用于允许系统发现新的恶意 IP,并排除误报或投毒企图。
安装CrowdSec
CrowdSec支持在多种平台进行安装,比如Linux、windows、MacOS,并且都提供了便捷的安装包。可以通过一键安装命令来安装:
curl -s <https://install.crowdsec.net> | sudo sh
你可以通过包管理来快速安装CrowdSec,以Linux为例:
#Debian/Ubuntuapt install crowdsecsudo systemctl restart crowdsec
当然也可以手动下载和安装:
wget <https://github.com/crowdsecurity/crowdsec/releases/latest/download/crowdsec-release.tgz>tar xzvf crowdsec-release.tgzcd crowdsec-v* && sudo ./wizard.sh -i
使用 CrowdSec
指标
可以先通过获取指标来确认CrowdSec已正常运行
sudo cscli metrics
运行此 CSCLI 命令将返回 Prometheus 客户端提供的 CrowdSec 指标概述,分为 4 个部分:
获取指标
解析器指标
存储桶指标
本地 API 指标。
安装配置
可以通过配置 YAML 文件和安装额外的场景 (scenarios) 来实现对CrowdSec的定制。CrowdSec初始配置是自动化的,提供实用的开箱即用设置。
可以通过cscli的命令来查看已经安装的解析器、场景或集合。
sudo cscli hub list
如果想安装其他的解析器,可以通过命令来执行:
sudo cscli <configuration_type> install <item>
dashboard
可以通过cscli来不是一个metabase的dashboard,需要已经安装好docker。
sudo cscli dashboard setup --listen 0.0.0.0
拦截器
这里以cs-firewall-bouncer为例,在remediation-components搜索得到拦截器介绍,然后点击介绍中的文档地址可以得到下载命令:
sudo yum install crowdsec-firewall-bouncer-iptables
systemctl enable --now crowdsec-firewall-bouncer
这个时候攻击IP都会被自动封禁。在这里可以看到所有决策的动作:
使用场景
CrowdSec 适用于多种应用,包括:
保护 Web 服务器和应用程序免受暴力攻击、DDoS 攻击和其他恶意活动。
保护 SSH 和其他远程访问服务免受未经授权的访问。
保护物联网设备和其他连接系统免遭攻击。
增强基于云和容器化环境的安全性。
总结
总的来说Changedetection 是一款功能强大的自托管工具,可确保您始终了解网站内容的变化。无论您是网站管理员还是技术爱好者,此开源解决方案都简化了监控网页变化的过程,让你第一时间掌握网站内容的变化。
项目信息
项目名称:crowdsec
GitHub 链接:https://github.com/crowdsecurity/crowdsec
Star 数:8K
