From af40c9c716a6574c195f243273f70924d804bb59 Mon Sep 17 00:00:00 2001 From: erjemin Date: Sun, 18 May 2025 00:31:30 +0300 Subject: [PATCH] =?UTF-8?q?add:=20=D0=97=D0=B0=D1=89=D0=B8=D1=82=D0=B0=20?= =?UTF-8?q?=D1=85=D0=BE=D1=81=D1=82=D0=B0=20=D1=81=20=D0=BF=D0=BE=D0=BC?= =?UTF-8?q?=D0=BE=D1=89=D1=8C=D1=8E=20CrowdSec=20...?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- kubernetes/k3s-protection-with-crowdsec.md | 77 ++++++++++++++++++++-- 1 file changed, 72 insertions(+), 5 deletions(-) diff --git a/kubernetes/k3s-protection-with-crowdsec.md b/kubernetes/k3s-protection-with-crowdsec.md index e20e8c5..205496a 100644 --- a/kubernetes/k3s-protection-with-crowdsec.md +++ b/kubernetes/k3s-protection-with-crowdsec.md @@ -270,9 +270,76 @@ INFO Please restart crowdsec after accepting the enrollment. sudo systemctl restart crowdsec ``` -Теперь нужно снова зайти в личный кабинет CrowdSec и подтвердить подключение Security Engine. Все, подключение -локального CrowdSec к Community Blocklist завершено. В личном кабинете можно посмотреть статистику (по каждому -Security Engine, ведь к один аккаунт можно подключить несколько хостов с CrowdSec) и даже управлять фильтрами (это -не точно). +Теперь нужно снова зайти в личный кабинет CrowdSec и подтвердить подключение Security Engine. + +Все! Подключение локального CrowdSec к Community Blocklist завершено. В личном кабинете можно посмотреть статистику +(по каждому Security Engine, ведь на один аккаунт можно подключить несколько хостов с CrowdSec) и даже управлять +фильтрами и сценариями (это не точно). + +![crowdsec--security-engine-registration.png](../images/crowdsec--security-engine-registration.png) + +Проверим, что CrowdSec получает блокировки через Community Blocklist API (CAPI): +```shell +sudo cscli metrics +``` + +Увидим что-то типа: +```text +... +... +╭──────────────────────────────────────────╮ +│ Local API Decisions │ +├────────────────┬────────┬────────┬───────┤ +│ Reason │ Origin │ Action │ Count │ +├────────────────┼────────┼────────┼───────┤ +│ generic:scan │ CAPI │ ban │ 3222 │ +│ smb:bruteforce │ CAPI │ ban │ 427 │ +│ ssh:bruteforce │ CAPI │ ban │ 10033 │ +│ ssh:exploit │ CAPI │ ban │ 1315 │ +╰────────────────┴────────┴────────┴───────╯ +... +``` + +Как видим, CrowdSec получает блокировки. + +#### Настройка Whitelist (белого списка) + +Чтобы не заблокировать себя (случайно) нужно создать в Whitelist (белый список). Например, сделаем `home_whitelist` +(имя списка, таких списков может быть несколько, и +```shell +sudo cscli allowlist create home_whitelist -d 'Мой домашний whitelist' +``` + +Теперь добавим в него свои домашнюю подсеть или IP-адрес (через пробел можно указать несколько адресов или подсетей): +```shell +sudo cscli allowlist add home_whitelist 192.168.1.0/24 XXX.XXX.XXX.XXX +```` + +Проверим, что все добавилось: +```shell +sudo cscli allowlist inspect home_whitelist +``` + +Увидим что-то вроде: +```text +────────────────────────────────────────────── + Allowlist: home_whitelist +────────────────────────────────────────────── + Name home_whitelist + Description Мой домашний whitelist + Created at 2025-05-17T21:00:13.042Z + Updated at 2025-05-17T21:01:29.090Z + Managed by Console no +────────────────────────────────────────────── + +─────────────────────────────────────────────────────────────── + Value Comment Expiration Created at +─────────────────────────────────────────────────────────────── + 192.168.1.0/24 never 2025-05-17T21:00:13.042Z + XXX.XXX.XXX.XXX never 2025-05-17T21:00:13.042Z + XXX.XXX.XXX.XXX never 2025-05-17T21:00:13.042Z + ... + ... +─────────────────────────────────────────────────────────────── +``` -![crowdsec--security-engine-registration.png](../images/crowdsec--security-engine-registration.png) \ No newline at end of file