add: Защита хоста с помощью CrowdSec .......

2025-05-18 14:50:21 +03:00 · 2025-05-18 14:50:21 +03:00 · f04d593f53
commit f04d593f53
parent 75b24bbdab
1 changed files with 49 additions and 4 deletions
--- a/kubernetes/k3s-protection-with-crowdsec.md
+++ b/kubernetes/k3s-protection-with-crowdsec.md
@ -262,13 +262,35 @@ IP-адреса по iptables (или nftables) и сделать CrowdSec зл
 ```shell
 sudo apt-get install crowdsec-firewall-bouncer-iptables
 ```
+Проверим, что "вышибала" запустилась:
+```shell
+sudo systemctl status crowdsec-firewall-bouncer
+```

-А затем подключить его в CrowdSec:
+Увидим что-то вроде:
+```text
+● crowdsec-firewall-bouncer.service - The firewall bouncer for CrowdSec
+     Loaded: loaded (/etc/systemd/system/crowdsec-firewall-bouncer.service; enabled; vendor preset: enabled)
+     Active: active (running) since Sun 2025-05-18 14:47:10 MSK; 723ms ago
+    Process: 621537 ExecStartPre=/usr/bin/crowdsec-firewall-bouncer -c /etc/crowdsec/bouncers/crowdsec-firewall-bouncer.yaml -t (code=exited, status=0/SUCCESS)
+    Process: 621674 ExecStartPost=/bin/sleep 0.1 (code=exited, status=0/SUCCESS)
+   Main PID: 621622 (crowdsec-firewa)
+      Tasks: 10 (limit: 18978)
+     Memory: 7.4M
+        CPU: 401ms
+     CGroup: /system.slice/crowdsec-firewall-bouncer.service
+             └─621622 /usr/bin/crowdsec-firewall-bouncer -c /etc/crowdsec/bouncers/crowdsec-firewall-bouncer.yaml
+
+May 18 14:47:04 opi5 systemd[1]: Starting The firewall bouncer for CrowdSec...
+May 18 14:47:10 opi5 systemd[1]: Started The firewall bouncer for CrowdSec.
+```
+
+Подключить его в CrowdSec:
 ```shell
 sudo cscli bouncers add firewall-bounce
 ```

-Проверим, что "вышибала" установлен:
+Проверим, что "вышибала" добавлен:
 ```shell
 sudo cscli bouncers list
 ```
@ -502,6 +524,7 @@ labels:
 После редактирования файла, нужно перезапустить CrowdSec, чтоб он применил изменения:
 ```shell
 sudo systemctl restart crowdsec
+sudo systemctl restart crowdsec-firewall-bouncer
 ```

 Другие сценарии можно настроить по аналогии. "Злость" управляется параметрами `leakspeed`, `capacity` и `blackhole`.
@ -529,9 +552,31 @@ sudo cscli decisions list

 Время блокировок (`expiration`) могут оказаться даже сильнее чем наши настройки. Это из-за того, что "зловред"
 может попасть под несколько блокировок одновременно или успеть сделать несколько атак (_а если честно, я сам не 
-понимаю, как это работает, даже настройки блокировки на 12 часов будут отображаться как 4-часовые_).
+понимаю, как это работает... 40часовые блокировки по-умолчанию, но даже настройки блокировки на 12 часов будут
+отображаться как 4-часовые_).

 Плюсом является то, что бгадоря обмену информацией о блокировках, а личного кабинета на сайте CrowdSec можно
 посмотреть ваши локальные блокировки в веб-интерфейсе:

 ![crowdsec--security-panel.png](../images/crowdsec--security-panel.png)
+
+----
+##### Управление блокировками
+
+Можно добавить бан вручную (по умолчанию: `duration:4h` и `type:ban`):
+```shell
+sudo cscli decisions add -i xxx.xxx.xxx.xxx
+sudo cscli decisions add --ip xxx.xxx.xxx.xxx --duration 24h --reason "любопытный безопасник"
+sudo cscli decisions add --ip xxx.xxx.xxx.xxx --reason "web bruteforce" --type captcha
+```
+
+Снять блокировку отдельного IP, подсети (диапазона) или вообще все:
+```shell
+sudo cscli decisions delete --ip xxx.xxx.xxx.xxx
+sudo cscli decisions delete --range yyy.yyy.yyyy.yyy/24
+sudo cscli decisions delete --all
+```
+
+
+
+