From b594271e032fa20ecd6b8e783602c4ae20b4b8ec Mon Sep 17 00:00:00 2001
From: erjemin <erjemin@gmail.com>
Date: Sun, 18 May 2025 15:06:55 +0300
Subject: [PATCH] =?UTF-8?q?add:=20=D0=97=D0=B0=D1=89=D0=B8=D1=82=D0=B0=20?=
 =?UTF-8?q?=D1=85=D0=BE=D1=81=D1=82=D0=B0=20=D1=81=20=D0=BF=D0=BE=D0=BC?=
 =?UTF-8?q?=D0=BE=D1=89=D1=8C=D1=8E=20CrowdSec=20........?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

---
 kubernetes/k3s-protection-with-crowdsec.md | 16 ++++++++++++++--
 1 file changed, 14 insertions(+), 2 deletions(-)

diff --git a/kubernetes/k3s-protection-with-crowdsec.md b/kubernetes/k3s-protection-with-crowdsec.md
index ef40a31..612f9c3 100644
--- a/kubernetes/k3s-protection-with-crowdsec.md
+++ b/kubernetes/k3s-protection-with-crowdsec.md
@@ -496,11 +496,15 @@ labels:
 Что тут происходит:
 
 * Сценарий `crowdsecurity/ssh-bf`:
-  * Тип: `leaky` --  leaky bucket — алгоритм "дырявое ведро", считающий события в окне времени.
+  * Тип: `leaky` --  leaky bucket — алгоритм "дырявое ведро", считающий события в окне времени. Метафора "дырявого
+    ведра" в том, что из дырок на дне идет утечка со скоростью одна попытка за `leakspeed`. Емкость ведра равна
+    `capacity`. Когда "ведро" было пустм, в него можно было поместить `capacity` событий, и после по одому событию
+    в `leakspeed`. Если ведро переполнено событиями, то включается `blackhole` (черная дыра) и события игнорируются
+    в течении `blackhole` времени.
   * Фильтр: `evt.Meta.log_type == 'ssh_failed-auth'` -- ловит неудачные попытки входа по SSH из `/var/log/auth.log`.
   * Логика:
     * `groupby: evt.Meta.source_ip` -- группирует события по IP атакующего.
-    * `leakspeed: 10s` -- "окно времени" — 10 секунд (считает попытки за 10 сек).
+    * `leakspeed: 10s` -- "окно времени" — 10 секунд (каждые 10 сек разрешена одна попытка).
     * `capacity: 5` -- Бан после 5 неудачных попыток.
     * `blackhole: 1m` -- Бан на 1 минуту.
 * Сценарий `crowdsecurity/ssh-bf_user-enum`:
@@ -577,6 +581,14 @@ sudo cscli decisions delete --range yyy.yyy.yyyy.yyy/24
 sudo cscli decisions delete --all
 ```
 
+sudo cscli machines list
+
+
+─────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
+ Name                                              IP Address  Last Update           Status  Version                                 OS            Auth Type  Last Heartbeat 
+─────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
+ 9e7a9d3f049443b195e176ad55eb5a65T7ENATSHvcKag40Q  127.0.0.1   2025-05-18T11:31:18Z  ✔️      v1.6.8-debian-pragmatic-arm64-f209766e  Ubuntu/22.04  password   6s             
+─────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────