1. Introdução (O Problema) Wazuh vs CrowdSec
- O cenário atual: Ataques de força bruta e scanners de vulnerabilidades em servidores de hospedagem.
- Por que o Fail2Ban não é mais suficiente para SysAdmins profissionais.
- Apresentação da solução: Defesa em Camadas. CrowdSec na linha de frente (rede/perímetro) e Wazuh na retaguarda (auditoria interna).
2. Por que usar os dois no DirectAdmin?
- CrowdSec: Bloqueia ataques ao SSH, Exim e ataques de L7 no Apache/Nginx/LiteSpeed antes mesmo de consumirem recursos significativos.
- Wazuh: Monitora se algum arquivo do
/usr/local/directadminfoi alterado indevidamente ou se há um novo Rootkit escondido. - Performance: Como ambos se comportam no AlmaLinux 8/9 (foco em baixo consumo de recursos).
3. Passo a Passo da Instalação (Highlights)
- Camada 1: CrowdSec
- Instalação rápida via repositório oficial. Clique aqui e veja COMO INSTALAR CROWDSEC
- Configuração do Bouncer (Firewall) para
nftables(padrão do AlmaLinux). - Ativação das coleções específicas:
sshd,http-probingedirectadmin(se disponível ou customizada).
- Camada 2: Wazuh
- Deploy do Wazuh-Agent. Necessário outro servidor para instalar wazuh
- Configuração do FIM (File Integrity Monitoring) para pastas críticas de usuários e configs do servidor.
4. A Integração: Fazendo-os conversar
- Configurando o CrowdSec para exportar alertas via logs (JSON).
- Configurando o Wazuh-Agent para ler esses logs (
localfile). - Criando uma regra customizada no Wazuh (
decodererule) para identificar quando o CrowdSec baniu um IP. - Resultado: Você visualiza no Dashboard do Wazuh cada bloqueio feito pelo CrowdSec em tempo real.
Para que o Wazuh “enxergue” o que o CrowdSec está fazendo, precisamos criar uma ponte. O CrowdSec registra os banimentos em logs, e o Wazuh Agent monitora esses logs para reportar ao Manager.
Aqui está a configuração técnica:
### 1. Configurando o CrowdSec para Logar Banimentos
Por padrão, o CrowdSec loga eventos de sistema, mas queremos garantir que as decisões (bans) fiquem claras para o Wazuh.
Certifique-se de que o arquivo /var/log/crowdsec.log está ativo. No arquivo de configuração principal /etc/crowdsec/config.yaml, verifique o nível de log:
common: log_level: info log_media: file log_path: /var/log/crowdsec.log
Quando o CrowdSec bane um IP, ele gera uma linha como esta no log: core:info:2026-02-15T10:00:00Z: alert: "Ip 1.2.3.4 performed 'crowdsecurity/ssh-bf' (6 events) resulting in ban"
### 2. Configurando o Wazuh-Agent para ler o log
Agora, você precisa dizer ao agente do Wazuh (instalado no mesmo servidor do CrowdSec) para monitorar esse arquivo.
Edite o arquivo /var/ossec/etc/ossec.conf no servidor onde o CrowdSec está rodando:
<ossec_config>
<localfile>
<log_format>syslog</log_format>
<location>/var/log/crowdsec.log</location>
</localfile>
</ossec_config>
Reinicie o agente para aplicar: systemctl restart wazuh-agent
### 3. Criando o Decoder e a Regra no Wazuh Manager
Agora, no seu Wazuh Manager, precisamos ensinar a ele como interpretar aquela linha de texto do CrowdSec.
Passo A: O Decoder
Adicione este decoder em /var/ossec/etc/decoders/local_decoder.xml (ou via interface web em Ruleset > Decoders):
<decoder name="crowdsec"> <prematch>alert: "Ip \S+ performed</prematch> </decoder> <decoder name="crowdsec_fields"> <parent>crowdsec</parent> <regex>Ip (\S+) performed '(\S+)' \((\d+) events\) resulting in (\S+)</regex> <order>srcip, attack_type, event_count, action</order> </decoder>
Passo B: A Regra
Adicione esta regra em /var/ossec/etc/rules/local_rules.xml:
<group name="crowdsec,ids,">
<rule id="100001" level="7">
<decoded_as>crowdsec</decoded_as>
<description>CrowdSec: IP $(srcip) banido por $(attack_type) ($(event_count) eventos)</description>
<mitre>
<id>T1110</id> </mitre>
</rule>
</group>5. Benefícios para o SysAdmin (O “Pulo do Gato”)
- Redução de falsos positivos graças à inteligência comunitária do CrowdSec.
- Conformidade e relatórios automáticos gerados pelo Wazuh.
- Menos tempo em modo “apagar incêndio” e mais tempo em otimização.
6. Conclusão
- A segurança moderna não é sobre uma ferramenta única, mas sobre o ecossistema.
- Chamada para ação: “Você já usa algum desses ou ainda confia apenas no Fail2Ban?”
FAQ
O Wazuh é uma plataforma SIEM/XDR completa que foca em visibilidade interna, auditoria de logs, integridade de arquivos e conformidade. O CrowdSec é um IPS moderno focado em defesa de perímetro, usando inteligência coletiva para identificar e bloquear comportamentos maliciosos na rede em tempo real.
Sim. O CrowdSec é considerado um sucessor moderno do Fail2Ban. Ele é mais leve (escrito em Go), oferece detecção baseada em cenários mais complexos e possui o diferencial da inteligência compartilhada, onde um IP banido em um servidor da comunidade pode ser bloqueado preventivamente no seu.
Com certeza. Essa é a configuração recomendada para o nível máximo de segurança (Defesa em Camadas). Enquanto o CrowdSec filtra o tráfego externo e ataques de força bruta, o Wazuh monitora a saúde interna do sistema operacional e detecta qualquer alteração suspeita em arquivos sensíveis.
O CrowdSec é extremamente leve. O Wazuh-Agent também possui baixo consumo, porém o Wazuh Manager (servidor central) requer mais recursos (CPU e RAM) por utilizar a stack de Indexação (Dashboard/Indexer). Em ambientes com DirectAdmin, o impacto do Agente é quase imperceptível.
O CrowdSec utiliza “Bouncers”. O mais comum é o bouncer de firewall que se integra ao nftables ou iptables do Linux, criando regras de drop automáticas para os IPs detectados ou reportados pela comunidade.
Veja Mais:
Imunify360 vs CrowdSec: Qual o Melhor Firewall para Linux?
Como Proteger seu Servidor Linux Contra Invasões: O Guia Essencial de Hardening