erjemin/doc_memo
erjemin/doc_memo
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

add: Защита хоста с помощью CrowdSec ................

Browse Source
This commit is contained in:
Sergei Erjemin 2025-05-19 23:54:46 +03:00
parent e32b702d7c
commit d6c747f7c6
1 changed files with 6 additions and 7 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

13
raspberry-and-orange-pi/host-protection-with-crowdsec.md
View File

@ -705,8 +705,8 @@ crowdsecurity/geoip-enrich ✔️ enabled 0.5 /etc/crowdsec/
он просто добавляет поля к событиям. Но это делает возможным создание собственных фильтров и сценариев, он просто добавляет поля к событиям. Но это делает возможным создание собственных фильтров и сценариев,
завязанных на GeoIP. Используется двухбуквенный код страны (стандарт ISO-3166-1 alpha-2). завязанных на GeoIP. Используется двухбуквенный код страны (стандарт ISO-3166-1 alpha-2).
Создадим свой сценарий, например, для Китая и Кореи, за ними, с большим отрывом, Индия и Индонезия (вот честно, У меня на хосте половина зловредов из Китая и Кореи. За ними, с большим отрывом, Индия и Индонезия. Вот честно,
ничего против этих стран не имею, от из этих регионов 80% всех атак на мой SSH): ничего против этих стран не имею, от из этих регионов 80% всех атак на мой SSH. Создаем свой сценарий:
```shell ```shell
sudo nano /etc/crowdsec/scenarios/ban-cn--geoip.yaml sudo nano /etc/crowdsec/scenarios/ban-cn--geoip.yaml
``` ```
@ -718,7 +718,7 @@ sudo nano /etc/crowdsec/scenarios/ban-cn--geoip.yaml
type: trigger type: trigger
name: local/ban-russian-ips name: local/ban-russian-ips
description: "Ban any IP from China & Korea" description: "Ban any IP from China & Korea"
filter: evt.Meta.geoip_country in ['CN', 'KR'] filter: evt.Meta.geoip_country in ['CN', 'KR'] and evt.Meta.service == 'ssh'
groupby: evt.Meta.source_ip groupby: evt.Meta.source_ip
labels: labels:
country_ban: CN country_ban: CN
@ -732,14 +732,13 @@ labels:
``` ```
Как видно, это `trigger`-сценарий, он срабатывает при одиночном совпадении, без необходимости "накопить Как видно, это `trigger`-сценарий, он срабатывает при одиночном совпадении, без необходимости "накопить
события", как в `leaky`. события", как в `leaky`. И бан срабатывает если "зловред" лезет в сервис `ssh`.
Перезапустим CrowdSec: Перезапустим CrowdSec:
```shell ```shell
sudo systemctl restart crowdsec sudo systemctl restart crowdsec
``` ```
Теперь CrowdSec будет автоматически блокировать все новые IP из указанных стран при появлении их в логах. Для SSH, Теперь CrowdSec будет автоматически блокировать все новые IP из указанных стран при появлении их в логах.
в моем случае. Но принцип понятен. И если честно, можно вообще все страны забанить, кроме тех, где бываю в отпуске. И если честно, можно вообще все страны забанить, кроме тех, где бываю в отпуске. Нечего им делать на моем сервере. :)
Нечего им делать на моем сервере. :)