[Sécurité] Installer Crowdsec: un genre de fail2ban avec une liste de blocage mutualisée
-
-
V:\> █░░ On naît seul, on vit seul, on meurt seul ░░█ ✌(◕‿-)✌
╚═ Admin, Dev et auteur de la plupart des bugs de PW…░░░▒▒▒▓▒▒▒░░░
░░░░░░▓░░░░░░
▒▒▒▒▓▓▓▓▓▒▒▒▒
░░░░░░▓░░░░░░ -
@violence on a pas mal de choses que vous aller adorer qui arrivent.
Une console en ligne pour voir les stats de vos machines de façon consolidée.On travaille aussi sur des scénarios pour bloquer les robots de scrapping & de scalping (qui bloquent les stocks en les achetants et qui organise la pénurie pour revendre sur eBay).
De nouveaux portages pour Windows & BSD sont en route, pas mal de nouveaux scénarios et parsers sont aussi en route. Egalement un plugin pour Chrome (pour juste marquer une IP dans une page et avoir de l’info en live) et on va relâcher pas mal d’IP en plus par rapport à maintenant.
Passez sur le Gitter à l’occasion.
-
-
Que de bonnes nouvelles !!
C’est une très bonne chose de garder un œil sur la commu même en dehors des radars dit “standard”.Merci pour cela.
Pour ma part j’essai encore de faire marcher la GUI en docker (c’est pour cela que je ne l’ai pas intégré au tuto). Tout est Ok mais je n’ai pas d’accès. Je passerai sur le gitter avc le même pseudo dès que possible à ce sujet car je ne vois pas ce qui cloche.
Encore merci à vous
V:\> █░░ On naît seul, on vit seul, on meurt seul ░░█ ✌(◕‿-)✌
╚═ Admin, Dev et auteur de la plupart des bugs de PW…░░░▒▒▒▓▒▒▒░░░
░░░░░░▓░░░░░░
▒▒▒▒▓▓▓▓▓▒▒▒▒
░░░░░░▓░░░░░░ -
@violence a dit dans [Sécurité] Installer Crowdsec: un genre de fail2ban avec une liste de blocage mutualisée :
Pour ma part j’essai encore de faire marcher la GUI en docker
Fonctionne très bien avec le JAR. j’étais agacé de devoir installer Docker “juste” pour une interface graphique…
@philippe a dit dans [Sécurité] Installer Crowdsec: un genre de fail2ban avec une liste de blocage mutualisée :
Une console en ligne pour voir les stats de vos machines de façon consolidée.
Exactement ce qu’il faut:! Cool!
Merci pour le taf! -
@ze-lol on est en beta privée pour le moment mais la console passe en béta publique en septembre.
@Violence il faut un petit peu de ressources pour le containers, typiquement un monocore ca va être limite. peut être que le port est aussi déjà occupé ou un pb de firewalling, sinon sur le Gitter, l’équipe vous aidera.
-
J’ai déjà du docker qui tourne sur ma bécane de test.
Tout est OK, port etc…
Je passerai sur le gitter, vous n’êtes pas la pour faire du supportPas con!!
Je vais tester via metabase pour voir.
J’ai bien tenter un changement de port (même si je n’ai rien qui tourne sur le port 3000 et le firewall est OK… il y a un loup quelque part)cscli dashboard setup --listen 0.0.0.0 --port 300XV:\> █░░ On naît seul, on vit seul, on meurt seul ░░█ ✌(◕‿-)✌
╚═ Admin, Dev et auteur de la plupart des bugs de PW…░░░▒▒▒▓▒▒▒░░░
░░░░░░▓░░░░░░
▒▒▒▒▓▓▓▓▓▒▒▒▒
░░░░░░▓░░░░░░ -
@philippe a dit dans [Sécurité] Installer Crowdsec: un genre de fail2ban avec une liste de blocage mutualisée :
@ze-lol on est en beta privée pour le moment mais la console passe en béta publique en septembre.
Merci!
-
Aerya Seeder Geek Gamer Torrent user GNU-Linux User Useneta répondu à Philippe le dernière édition par
@philippe a dit dans [Sécurité] Installer Crowdsec: un genre de fail2ban avec une liste de blocage mutualisée :
@aerya Tout à fait
On se connait ?Non, j’ai pas ce plaisir, je suis simplement allé voir “qui” est derrière cet outil
Bravo et merci d’ailleurs. Je prendrai le temps de le tester. -
@violence a dit dans [Sécurité] Installer Crowdsec: un genre de fail2ban avec une liste de blocage mutualisée :
Je vais tester via metabase pour voir.
Dis moi si tu as besoin d’un coup de main, il y a 2/3 trucs pas forcément clairs.
J’ai pris des notes…En même temps le Dashboard est selon moi surtout utile pour remplir les jolis power points pour les codirs…
-
-
“We are happy to announce that we have selected you to participate in the beta of one of our major milestones: the CrowdSec Console.”
Merci.
-
-
J’ai ajouté 4 instances pour commencer.
Belle interface!
Pour ceux qui ont besoin de stats et de beaux graphiques c’est super.
Je n’ai pas encore tout fouillé, j’ai l’impression qu’il y a des fonctions d’alerte qui peuvent être intéressante pour de la supervision proactive.
-
CrowdSec 1.1.x est disponible
Tout d’abord, concernant la collecte des données concernant d’éventuels attaquants, CrowdSec 1.1.x sait dorénavant intégrer les données en provenance d’Amazon Cloudwatch.
CrowdSec peut également se comporter comme un serveur syslog, si vous le souhaitez. Cela vous permettra d’y ajouter de la donnée en provenance de nombreuses sources qui vous sont propres.
Enfin, CrowdSec a totalement revu son système de paquets. Ils utilisent AWS CodeBuild et CodePipeline pour tester les paquets générés sur de nombreux OS et architectures matérielles.
Au-delà de ça, CrowdSec propose maintenant ses paquets via PackageCloud. Cela leur permet de distribuer encore plus de paquets, aussi bien, pour Debian et Ubuntu comme les releases Bionic, Bullseye, Buster, Focal, Stretch, Focal pour x86-64 et ARM que pour Red HAt Enterprise Linux, CentOS, Amazon Linux (el/7, el/8, fc/33, fc/34, Amazon Linux/2 pour x86-64 et ARM).
Cela va vous permettre de deployer CrowdSec et ses bouncers sur beaucoup plus d’infrastructures de natures différentes que précédemment. Bref une meilleure compatibilité pour toujours plus de sécurité.
Concernant la nouvelle console justement, CrowdSec propose maintenant une console web absolument magnifique. Pour l’utiliser, il faut d’abord vous assurer d’avoir la dernière version de CrowdSec sur votre serveur.
J’ai dû désinstaller l’ancienne version avec la commande suivante :
./wizard.sh --uninstallPuis réinstaller la nouvelle version comme ceci, en ajoutant les fameux dépôts et en installant le paquet CrowdSec. C’est quand même beaucoup plus pratique.
curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.deb.sh | sudo bashsudo apt-get install crowdsec -yEnsuite, rendez-vous sur ce site pour créer un compte afin d’accéder à la console:
https://app.crowdsec.net/?source=korben.infoUn ID vous sera alors communiqué, permettant d’associer la console web avec votre serveur sous CrowdSec. Lancez la commande suivante sur votre serveur avec l’ID qui vous est donné :
cscli console enroll IDDONNEPARCROWDSECEt voilà, votre console web va commencer à se remplir avec les données de votre serveur.
il est possible de consulter le détail de ce qui est en place sur le serveur comme les agents, les scénarios, les bouncers…etc. On est même redirigé vers le hub qui permet d’en installer de nouveaux.
Mais surtout, la console web donne accès à l’ensemble des alertes relevées sur votre serveur.
Alertes que vous pouvez exporter en CSV très simplement ou filtrer par scénario, période, IP…etc.Ainsi vous pouvez combiner plusieurs de ces filtres pour partir à la recherche de signaux précis. C’est à dire isoler par exemple une période précise, un type de scénario d’attaque, le pays de provenance de l’attaque, la machine ciblée…etc. C’est hyper visuel et ça permet de mieux comprendre comment telle ou telle attaque a été menée.
Il y a également des statistiques qui permettent de faire ressortir les « attaquants stars » ou les pays qui s’en prennent le plus à votre serveur (ou en tout cas qui essayent le plus).
Source: Korben.info
-
Hello,
@violence a dit dans [Sécurité] Installer Crowdsec: un genre de fail2ban avec une liste de blocage mutualisée :
J’ai dû désinstaller l’ancienne version avec la commande suivante :
Pas moi…
# apt policy crowdsec crowdsec: Installé : 1.2.0 Candidat : 1.2.0 Table de version : *** 1.2.0 500 500 https://packagecloud.io/crowdsec/crowdsec/debian bullseye/main amd64 Packages 100 /var/lib/dpkg/status 1.1.1 500 500 https://packagecloud.io/crowdsec/crowdsec/debian bullseye/main amd64 Packages 1.1.0 500 500 https://packagecloud.io/crowdsec/crowdsec/debian bullseye/main amd64 Packages 1.0.9-2+b4 500 500 http://deb.debian.org/debian bullseye/main amd64 Packages
-
Tant mieux @Ze-lol !!! je n’ai pas eu le cas non plus d’ailleurs !!
Vu que c’est Korben qui l’a écrit, je pense qu’il avais une assez vieille version d’installée !!
Ce pourquoi, est détaillé la désinstallation/réinstallation.Mais c’est pas plus mal, comme cela tous les cas de figures sont évoqués
-
@violence Yep!
En tout cas concernant mes serveurs, je ne passe que par des logiciels correctement empaquetés et bien intégrés à apt. C’est essentiel!
Je viens de découvrir avec délice que Crowdsec est intégré à Prometheus (Et Grafana du coup) sans qu’il n’y ait rien à faire.
Décidément Crowdsec a tout pour plaire!
-
@Ze-lol Oui en effet, Je te l’avais bien dit que c’était une tuerie
Ils en parlent aussi dans leur tuto ici :
https://crowdsec.net/tutorial-crowdsec-v1-1/@+
EDIT:
Je pense que c’est une très bonne équipe, et ce soft ira loin. En tout cas, je l’espère vraiment pour eux (et pour nous, la communauté d’utilisateurs qui croit en ce projet )
