From d6c747f7c679f83bae6b6b6b123da0f25f84ad9e Mon Sep 17 00:00:00 2001 From: erjemin Date: Mon, 19 May 2025 23:54:46 +0300 Subject: [PATCH] =?UTF-8?q?add:=20=D0=97=D0=B0=D1=89=D0=B8=D1=82=D0=B0=20?= =?UTF-8?q?=D1=85=D0=BE=D1=81=D1=82=D0=B0=20=D1=81=20=D0=BF=D0=BE=D0=BC?= =?UTF-8?q?=D0=BE=D1=89=D1=8C=D1=8E=20CrowdSec=20................?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- .../host-protection-with-crowdsec.md | 13 ++++++------- 1 file changed, 6 insertions(+), 7 deletions(-) diff --git a/raspberry-and-orange-pi/host-protection-with-crowdsec.md b/raspberry-and-orange-pi/host-protection-with-crowdsec.md index 5befddd..b81d4b0 100644 --- a/raspberry-and-orange-pi/host-protection-with-crowdsec.md +++ b/raspberry-and-orange-pi/host-protection-with-crowdsec.md @@ -705,8 +705,8 @@ crowdsecurity/geoip-enrich ✔️ enabled 0.5 /etc/crowdsec/ он просто добавляет поля к событиям. Но это делает возможным создание собственных фильтров и сценариев, завязанных на GeoIP. Используется двухбуквенный код страны (стандарт ISO-3166-1 alpha-2). -Создадим свой сценарий, например, для Китая и Кореи, за ними, с большим отрывом, Индия и Индонезия (вот честно, -ничего против этих стран не имею, от из этих регионов 80% всех атак на мой SSH): +У меня на хосте половина зловредов из Китая и Кореи. За ними, с большим отрывом, Индия и Индонезия. Вот честно, +ничего против этих стран не имею, от из этих регионов 80% всех атак на мой SSH. Создаем свой сценарий: ```shell sudo nano /etc/crowdsec/scenarios/ban-cn--geoip.yaml ``` @@ -718,7 +718,7 @@ sudo nano /etc/crowdsec/scenarios/ban-cn--geoip.yaml type: trigger name: local/ban-russian-ips description: "Ban any IP from China & Korea" -filter: evt.Meta.geoip_country in ['CN', 'KR'] +filter: evt.Meta.geoip_country in ['CN', 'KR'] and evt.Meta.service == 'ssh' groupby: evt.Meta.source_ip labels: country_ban: CN @@ -732,14 +732,13 @@ labels: ``` Как видно, это `trigger`-сценарий, он срабатывает при одиночном совпадении, без необходимости "накопить -события", как в `leaky`. +события", как в `leaky`. И бан срабатывает если "зловред" лезет в сервис `ssh`. Перезапустим CrowdSec: ```shell sudo systemctl restart crowdsec ``` -Теперь CrowdSec будет автоматически блокировать все новые IP из указанных стран при появлении их в логах. Для SSH, -в моем случае. Но принцип понятен. И если честно, можно вообще все страны забанить, кроме тех, где бываю в отпуске. -Нечего им делать на моем сервере. :) +Теперь CrowdSec будет автоматически блокировать все новые IP из указанных стран при появлении их в логах. +И если честно, можно вообще все страны забанить, кроме тех, где бываю в отпуске. Нечего им делать на моем сервере. :)