Verwendung von crowdsec sinnvoll ?

F

fw114

Member
Hallo zusammen,
aus dem Englischen Bereich und schon älter. Dennoch wollte ich fragen wie der Stand der Dinge ist in Form von:

fail2ban hat gut zu tun auf meinem Server und kommt gelegentlich an seine Grenze.
Macht es daher Sinn oder bleibt es bei dem was dieser User schreibt und ist nicht für jede config empfehlenswert?

Its not server build but via API (server-client)
So, useless for our setup.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.
forum.howtoforge.com

CrowdSec replacing Fail2ban

much better resource usage https://crowdsec.net/
forum.howtoforge.com forum.howtoforge.com
 
M

michelangelo

New Member
Bzgl. Stand der Dinge:
Crowdsec ist nach wie vor eine Geschichte die man selber einrichten muss und wo es keine offizielle Anleitung zur Implementierung für ISPConfig gibt.

Selber habe ich mich noch nicht tiefergehend mit Crowdsec befasst, aber wieso sollte Crowdsec nicht auch in Single-Server Setups funktionieren? Dann lässt man die API mit einer Lokalen Datenbank halt auf demselben Server laufen, anstatt einen dedizierten Crowdsec-API-Server für mehrere Nodes zu betreiben.

Oder wo genau "drückt jetzt der Schuh"?
 
F

fw114

Member
Nee, der Schuh drückt nicht.. War eigentlich auf der Suche nach einem Erfahrungsaustausch und ob es hier Leute gibt, die das auf dem eigenem Server laufen haben und Fail2ban damit ersetzt haben und von den Erfahrungen berichten möchten.
 
M

michelangelo

New Member
Angeregt durch diesen Thread habe ich mich dazu entschieden Crowdsec selbst mal auszuprobieren.
Habe damit auch schon länger geliebäugelt und auch wenn Fail2ban prinzipiell funktioniert, ist es gefühlt doch schon ein bisschen in die Jahre gekommen. Darüber hinaus hat man diese nervigen Python-Abhängigkeiten, die bei Crowdsec entfallen. Crowdsec kann man daher auch auf älteren Server-OS z.B. CentOS 6, oder 7 laufen lassen.

Also Installation ist prinzipiell erst einmal easy, je nach Bedarf muss man natürlich noch Anpassungen bei den Whitelists, Log-Dateien die geparst werden sollen, oder der Szenarios vornehmen. Zum Beispiel hat das Szenario "crowdsecurity/http-admin-interface-probing" false-positives bei uns verursacht.

Ansonsten ist es schon recht praktisch die Bans inspizieren zu können. Ein Exporter für Prometheus ist dabei und es gibt da noch die API, die ich aber noch nicht ausprobiert habe. Und das Install-Script erkennt gleich die laufenden Dienste und installiert automatisch die dafür anwendbaren Parser/Szenarios. Momentan läuft Crowdsec noch autark auf den einzelnen Servern.

Wazuh (OSSEC Fork) wäre wohl noch eine Alternative zu Crowdsec, wobei Wazuh selbst deutlich mächtiger ist und noch weitere Funktionen hat, als Crowdsec. Crowdsec würde ich vom Funktionsumfang zwischen Fail2ban und Wazuh verordnen.

Ersteindruck ist bislang sehr gut. Muss mich damit aber noch weiter beschäftigen ;)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Werbung

Top