add: Защита хоста с помощью CrowdSec ........

2025-05-18 15:06:55 +03:00 · 2025-05-18 15:06:55 +03:00 · b594271e03
commit b594271e03
parent f04d593f53
1 changed files with 14 additions and 2 deletions
--- a/kubernetes/k3s-protection-with-crowdsec.md
+++ b/kubernetes/k3s-protection-with-crowdsec.md
@ -496,11 +496,15 @@ labels:
 Что тут происходит:

 * Сценарий `crowdsecurity/ssh-bf`:
-  * Тип: `leaky` --  leaky bucket — алгоритм "дырявое ведро", считающий события в окне времени.
+  * Тип: `leaky` --  leaky bucket — алгоритм "дырявое ведро", считающий события в окне времени. Метафора "дырявого
+    ведра" в том, что из дырок на дне идет утечка со скоростью одна попытка за `leakspeed`. Емкость ведра равна
+    `capacity`. Когда "ведро" было пустм, в него можно было поместить `capacity` событий, и после по одому событию
+    в `leakspeed`. Если ведро переполнено событиями, то включается `blackhole` (черная дыра) и события игнорируются
+    в течении `blackhole` времени.
  * Фильтр: `evt.Meta.log_type == 'ssh_failed-auth'` -- ловит неудачные попытки входа по SSH из `/var/log/auth.log`.
  * Логика:
    * `groupby: evt.Meta.source_ip` -- группирует события по IP атакующего.
-    * `leakspeed: 10s` -- "окно времени" — 10 секунд (считает попытки за 10 сек).
+    * `leakspeed: 10s` -- "окно времени" — 10 секунд (каждые 10 сек разрешена одна попытка).
    * `capacity: 5` -- Бан после 5 неудачных попыток.
    * `blackhole: 1m` -- Бан на 1 минуту.
 * Сценарий `crowdsecurity/ssh-bf_user-enum`:
@ -577,6 +581,14 @@ sudo cscli decisions delete --range yyy.yyy.yyyy.yyy/24
 sudo cscli decisions delete --all
 ```

+sudo cscli machines list
+
+
+─────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
+ Name                                              IP Address  Last Update           Status  Version                                 OS            Auth Type  Last Heartbeat 
+─────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
+ 9e7a9d3f049443b195e176ad55eb5a65T7ENATSHvcKag40Q  127.0.0.1   2025-05-18T11:31:18Z  ✔️      v1.6.8-debian-pragmatic-arm64-f209766e  Ubuntu/22.04  password   6s             
+─────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────