CrowdSec - kollaborative Sicherheitslösung gegen Angreifer

≈ 2 min
sicherheitnetzwerk

CrowdSec - kollaborative Sicherheitslösung gegen Angreifer

CrowdSec ist ein Open-Source-Sicherheitssystem, das Angriffe erkennt, blockiert und Bedrohungsdaten mit der Community teilt.

Was ist CrowdSec?

CrowdSec analysiert Logs von Webservern, SSH-Diensten und anderen Anwendungen und erkennt automatisch Angriffsmuster wie Brute-Force, Web-Scanning oder Credential Stuffing. Erkannte Angreifer-IPs werden geblockt und anonym an die CrowdSec-Community gemeldet – im Gegenzug erhält jede Instanz eine gepflegte Blocklist mit weltweit bekannten Angreifer-IPs. Das System besteht aus zwei Teilen: dem Agent, der Logs analysiert, und einem Bouncer, der die Blockierung auf Netzwerkebene (z. B. via iptables oder Nginx) durchsetzt. CrowdSec ist damit eine modernere Alternative zu Fail2Ban.

Voraussetzungen

  • Docker 20.10+ oder Docker Compose
  • Zugriff auf Host-Logs (z. B. /var/log/auth.log, Nginx-Logs)
  • Passender Bouncer für die gewünschte Blockiermethode

Compose-Beispiel

services:
  crowdsec:
    image: crowdsecurity/crowdsec:latest
    container_name: crowdsec
    restart: unless-stopped
    volumes:
      - ./config:/etc/crowdsec
      - ./data:/var/lib/crowdsec/data
      - /var/log/auth.log:/var/log/auth.log:ro
      - /var/log/nginx:/var/log/nginx:ro
    environment:
      - GID=1000
      - COLLECTIONS=crowdsecurity/linux crowdsecurity/nginx

Hinweise

  • COLLECTIONS definiert, welche Angriffsmuster geladen werden – für jeden Dienst gibt es fertige Collections in der CrowdSec Hub.
  • Ein passender Bouncer (z. B. cs-firewall-bouncer oder cs-nginx-bouncer) muss separat installiert werden, um die Blockierung zu aktivieren.
  • CrowdSec sendet nur Hash-Werte von IPs an die Community, keine Logs oder Inhalte.
  • Über cscli decisions list lassen sich aktive Sperren einsehen und manuell verwalten.