Como instalar Crowdsec

Este post também está disponível em: English (Inglês)

CrowdSec é um software de segurança de código aberto projetado para proteger sistemas contra ataques cibernéticos. Ele utiliza uma abordagem baseada em multidão (crowdsourcing) para coletar informações sobre atividades maliciosas e distribuir essa inteligência para proteger outros sistemas.

O CrowdSec monitora e analisa registros de eventos de segurança em tempo real, como logs de autenticação, registros de firewall e outros dados relevantes. Com base nessa análise, ele identifica padrões e comportamentos suspeitos, incluindo tentativas de login mal-sucedidas, exploração de vulnerabilidades e ataques de força bruta.

Quando um evento malicioso é detectado, o CrowdSec bloqueia o acesso do endereço IP responsável pelo ataque, impedindo assim que o atacante tenha sucesso em comprometer o sistema alvo. Essa informação de bloqueio é compartilhada e distribuída entre outros usuários do CrowdSec, criando uma rede colaborativa de proteção.

Uma das vantagens do CrowdSec é sua capacidade de aprendizado contínuo. À medida que mais sistemas usam o CrowdSec e compartilham informações sobre ataques bem-sucedidos, o software se torna mais eficiente em identificar e bloquear atividades maliciosas com base em padrões conhecidos.

O CrowdSec é uma ferramenta flexível e pode ser integrado a vários componentes de infraestrutura de segurança, como firewalls, servidores web e proxies. Ele fornece uma camada adicional de proteção contra uma ampla variedade de ataques cibernéticos e pode ser uma adição valiosa a uma estratégia de segurança abrangente.

Em seu Hub encontramos:
Collections: são pacotes de analisadores, cenários, pós-overflows que formam um conjunto coerente.
Configurations: são as configurações que irão detectar os tipos de ameaças.
Bouncers
: são plugins que bloqueiam ips de acordo com as “decisons” do crowdsec (BAN, CAPTCHA…)Existem vários tipos de integração como iptables(default), firewall cloudflare, plugin wordpress, magento, firewall windows server e muitos outros.

Neste post vamos instalar Crowdsec com bouncer “crowdsec-firewall-bouncer-iptables” .

Instalar o Agent

Debian/Ubuntu

curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.deb.sh | sudo bash
apt-get install crowdsec
systemctl enable crowdsec
systemctl start crowdsec

RHEL/CentOS/Amazon Linux

curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.rpm.sh | sudo bash
yum install crowdsec
systemctl enable crowdsec
systemctl start crowdsec

Instalar o Bouncer

Debian/Ubuntu

curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.deb.sh | sudo bash
apt install crowdsec-firewall-bouncer-iptables
systemctl enable crowdsec-firewall-bouncer
systemctl start crowdsec-firewall-bouncer

RHEL/CentOS/Amazon Linux

curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.rpm.sh | sudo bash
yum install crowdsec-firewall-bouncer-iptables
systemctl enable crowdsec-firewall-bouncer
systemctl start crowdsec-firewall-bouncer

Ao instalar crowdsec, já são pré configuradas “collections” de alguns sistemas que você tem em seu servidor.

Execute o seguinte comando e veja quais collections foram instaladas

cscli collections list

Você verá algo parecido:

No site Hub do Crowdsec, você terá mais informações sobre as Collections instaladas.

Você poderá instalar novas collections, configurations ou bouncers de acordo com suas necessidades através do site Hub do Crowdsec

Esta é uma das ferramentas que utilizamos nos servidores de nossos clientes de gerenciamento de servidor.

Alguma duvida? deixe nos comentários…