CrowdSec 安全引擎是一款開源的輕量級軟體,它使用日誌分析和稱為場景的威脅模式來偵測並阻止惡意行為者在各個層級存取您的系統。
CrowdSec 是一個模組化框架,提供各種流行的場景。使用者可以選擇自己的保護方案並部署修復元件來阻止惡意存取。
群眾外包(crowd-sourced)方面允許在用戶之間共享攻擊訊息,增強即時攻擊檢測並搶先阻止系統中已知的不良行為者。
CrowdSec 是一個現代的、開源的網路安全平台,旨在通過社群力量來抵禦網路攻擊。它主要是用來進行入侵偵測與防禦,並且能夠與社群共享攻擊者資訊,形成一個聯防網路。
主要功能
- 行為分析:CrowdSec 會分析系統日誌、網路流量等資料,識別出潛在的惡意行為。
- 即時防禦:當偵測到攻擊行為時,CrowdSec 可以自動執行防禦措施,如封鎖 IP。
- 社群共享:用戶可以將偵測到的惡意 IP 和攻擊特徵分享至 CrowdSec 的社群資料庫,幫助其他用戶提前防禦相同的攻擊。
- 彈性配置:支援多種環境和應用,如網站伺服器、防火牆、SSH 等。
主要組成部分
- CrowdSec Agent:這是安裝在伺服器上的主要軟體,負責收集資料、分析行為和執行防禦措施。
- Console (CSCLI):命令行界面,讓用戶管理和配置 CrowdSec 系統。
- Hub:這是 CrowdSec 提供的一個資源庫,包含了許多現成的解析器、場景和阻止器,可以讓用戶快速部署防禦策略。
安裝與設定
安裝 CrowdSec
你可以使用以下命令在 Ubuntu 系統上安裝 CrowdSec:
curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.deb.sh | sudo bash
sudo apt-get install crowdsec設定 CrowdSec
安裝完成後,你可以通過以下命令來初始化 CrowdSec:
sudo cscli hub update
sudo cscli scenarios install crowdsecurity/ssh-bf
sudo cscli collections install crowdsecurity/linux
sudo systemctl start crowdsec這些命令會更新 CrowdSec 的資源庫,安裝 SSH 暴力破解場景和 Linux 集合,並啟動 CrowdSec 服務。
使用範例
假設你要監控 SSH 登錄嘗試,以下是配置步驟:
- 安裝解析器:安裝用於解析 SSH 日誌的解析器。
sudo cscli parsers install crowdsecurity/sshd-logs - 設置場景:設置用於檢測 SSH 暴力破解的場景。
sudo cscli scenarios install crowdsecurity/ssh-bf - 配置阻止器:配置防禦措施,阻止惡意 IP。
sudo cscli bouncers install crowdsecurity/iptables - 重啟服務:
sudo systemctl restart crowdsec
這樣,當 CrowdSec 偵測到 SSH 暴力破解攻擊時,會自動封鎖攻擊者的 IP。
結論
CrowdSec 是一個強大且靈活的安全平台,透過社群力量來增強系統防禦能力。它的易用性和可擴展性使其成為保護伺服器和應用的理想選擇。如果你想提升系統的安全性,CrowdSec 是一個值得考慮的工具。