Rechercher dans la communauté

Bonsoir, @.Shad. voilà donc un nouveau sujet où l'on va pouvoir discuter de Crowdsec. Tu as définitivement abandonné Fail2ban au profit de Crowdsec ? Peut-on discuter de Crowdsec ici ? Ou mieux vaut-il créer un sujet dédié ? (et dans quelle section ?) Pour débuter ce sujet, voilà comment je l'ai installé. J'utilise SWAG comme reverse proxy sur mon 920+, installé avec le tuto de @.Shad., mais dans SWAG, je n'utilise pas le Fail2ban intégré. Précision importante : mon SWAG est en macvlan. Et j'ai suivi ce tuto pour installer Crodwsec. Voici ci-dessous un petit résumé. J'ai ajouté ce qui suit dans le docker-compose : crowdsec: container_name: crowdsec image: crowdsecurity/crowdsec # https://hub.docker.com/r/crowdsecurity/crowdsec # https://github.com/crowdsecurity/crowdsec networks: crowdsec_network: ipv4_address: 172.19.0.2 restart: unless-stopped environment: - TZ=Europe/Paris - COLLECTIONS=crowdsecurity/nginx - GID=100 - CUSTOM_HOSTNAME=Crowdsec_sur_Syno-DS920+ depends_on: - swag volumes: - /volume4/docker/swag_macvlan/config/log/nginx/access_adguardhome.log:/var/log/nginx/access_adguardhome.log - /volume4/docker/swag_macvlan/config/log/nginx/access_gitea.log:/var/log/nginx/access_gitea.log - /volume4/docker/swag_macvlan/config/log/nginx/access.log:/var/log/nginx/access.log # - /volume4/docker/swag_macvlan/config/log/nginx/access_nextcloud.log:/var/log/nginx/access_nextcloud.log - /volume4/docker/swag_macvlan/config/log/nginx/access_tautulli.log:/var/log/nginx/access_tautulli.log - /volume4/docker/swag_macvlan/config/log/nginx/access_vaultwarden.log:/var/log/nginx/access_vaultwarden.log - /volume4/docker/swag_macvlan/config/log/nginx/error_adguardhome.log:/var/log/nginx/error_adguardhome.log - /volume4/docker/swag_macvlan/config/log/nginx/error_gitea.log:/var/log/nginx/error_gitea.log - /volume4/docker/swag_macvlan/config/log/nginx/error.log:/var/log/nginx/error.log # - /volume4/docker/swag_macvlan/config/log/nginx/error_nextcloud.log:/var/log/nginx/error_nextcloud.log - /volume4/docker/swag_macvlan/config/log/nginx/error_tautulli.log:/var/log/nginx/error_tautulli.log - /volume4/docker/swag_macvlan/config/log/nginx/error_vaultwarden.log:/var/log/nginx/error_vaultwarden.log - /volume4/docker/swag_macvlan/config/log/nginx/unauthorized.log:/var/log/nginx/unauthorized.log - /volume4/docker/swag_macvlan/crowdsec/acquis.yaml:/etc/crowdsec/acquis.yaml - /volume4/docker/swag_macvlan/crowdsec/crowdsec-db:/var/lib/crowdsec/data/ - /volume4/docker/swag_macvlan/crowdsec/crowdsec-config:/etc/crowdsec/ security_opt: - no-new-privileges=true # ############### # Le label ci-dessous permet à Watchtower de faire les mises à jour automatiquement # Cela peut-être supprimé si Watchtower n'est pas utilisé. labels: - "com.centurylinklabs.watchtower.enable=true" # ############### ports: - 8080:8080 J'ai aussi ajouté ceci dans les variables environnements de SWAG : # MODs used : - https://github.com/linuxserver/docker-mods/tree/swag-auto-reload # - https://github.com/linuxserver/docker-mods/tree/swag-dashboard # - https://github.com/linuxserver/docker-mods/tree/swag-maxmind # - https://docs.theme-park.dev/setup/#swag-docker-mod # - https://github.com/linuxserver/docker-mods/tree/swag-crowdsec - DOCKER_MODS=linuxserver/mods:swag-auto-reload|linuxserver/mods:swag-dashboard|linuxserver/mods:swag-maxmind|ghcr.io/gilbn/theme.park:swag|linuxserver/mods:swag-crowdsec - TP_COMMUNITY_THEME="true" - CROWDSEC_API_KEY=xxxxxxxxxxxxxxxxx - CROWDSEC_LAPI_URL=http://192.168.2.230:8080 - MAXMINDDB_LICENSE_KEY=xxxxxxxxxxxxxxxx Note : Certains mods ne sont pas nécessaires pour Crowdsec 😉. J'ai donc du installer le bouncer dans swag en ligne de commande, voir instructions ici : https://github.com/linuxserver/docker-mods/tree/swag-crowdsec#mod-usage-instructions Ça m'a généré la clé API qu'il a fallu mettre dans CROWDSEC_API_KEY. Vous aurez remarqué que j'ai passé pas mal de fichiers .log dans le conteneur Crowdsec pour qu'il les surveille. Pour cela, j'ai ajouté dans les fichiers .conf du reverse proxy : # Custom error files access_log /config/log/nginx/access_adguardhome_syno.log; error_log /config/log/nginx/error_adguardhome_syno.log; Je me suis dit que ça pourrait aider à diagnostiquer un souci avec Crowdsec d'avoir des fichiers logs séparés pour mes applications web. ________________________________________ Mais voilà, Crowdsec est très bien, mais beaucoup trop sensible. @.Shad. Comment as-tu configuré les bouncers ? (si tant est qu'on puisse les configurer...) Car ça m'arrive très souvent de m'auto-bannir en oubliant de fermer le navigateur dédié aux services du NAS dont certains sont en accès restreint aux IP LAN et VPN... ça génères des erreurs 403 dans les logs, et paf, Crowdsec me ban ! J'ai dû sortir les logs concernant DSM et d'autres services Synology de l'analyse de Crowdsec. J'ai même dû sortir de l'analyse de Crodwsec les logs de Nextcloud, car même si ce service est accessible depuis internet, ça engendrait quasi systématiquement des BANs. Bref, voilà. Comment utilisez-vous Crowdsec ? Comment l'avez-vous configuré ? ... Merci d'avance, et bonne fin de WE. PS : un autre sujet arrivera pour parler de Fail2ban qui bien que bannissant une IP, présente ensuite dans iptables, cette dernière peut toujours accéder aux services...