CrowdSec unter Linux: Community-basierte Intrusion Detection und Blocking

CrowdSec ist eine moderne Security-Engine, die lokale Verhaltensanalyse mit geteilter Threat Intelligence kombiniert. Besonders sinnvoll ist sie auf internetexponierten Servern mit SSH, Reverse Proxy oder öffentlichen Webanwendungen.

Dieser Beitrag zeigt ein praxisnahes Setup mit automatischer, aber kontrollierter Durchsetzung.

1) CrowdSec-Engine installieren

Auf Debian/Ubuntu:

curl -s https://install.crowdsec.net | sudo sh
sudo apt install crowdsec -y
sudo systemctl enable --now crowdsec

Gesundheitscheck:

sudo systemctl status crowdsec
sudo cscli metrics

2) Collections für deinen Stack aktivieren

Collections bündeln Parser und Szenarien.

Beispiele:

sudo cscli collections install crowdsecurity/sshd
sudo cscli collections install crowdsecurity/nginx
sudo cscli collections install crowdsecurity/linux
sudo systemctl restart crowdsec

Aktive Collections anzeigen:

sudo cscli collections list

3) Firewall-Bouncer installieren

Für nftables:

sudo apt install crowdsec-firewall-bouncer-nftables -y
sudo systemctl enable --now crowdsec-firewall-bouncer

In iptables-Umgebungen den passenden Bouncer nutzen.

4) Decisions und Remediation prüfen

Aktuelle Alerts und Decisions:

sudo cscli alerts list
sudo cscli decisions list

Nach verdächtiger Aktivität (z. B. wiederholte SSH-Fehlversuche) sollten Block-Entscheidungen sichtbar sein.

5) Tuning und Härtung

Sichere Whitelists anlegen

Interne Scanner oder Monitoring-IPs gezielt erlauben, um unnötige Sperren zu vermeiden.

Sperrdauer steuern

In lauten Umgebungen mit moderaten Ban-Zeiten starten und datenbasiert erhöhen.

False Positives überwachen

Wöchentliche Sichtung empfohlen:

sudo cscli alerts list -o raw | head -40

Empfohlene Integrationen

Nginx-/Traefik-Logs
SSH-Logs
Application-Auth-Logs
WAF-Logs (falls vorhanden)

Je hochwertiger die Logquellen, desto besser die Szenario-Abdeckung.

Schnelles Troubleshooting

Keine Alerts

Acquisition-Konfiguration und Logpfade prüfen:

sudo cscli metrics
sudo journalctl -u crowdsec --no-pager | tail -50

Bouncer aktiv, aber keine Blocks

API-Credentials und Verbindung zwischen Bouncer und lokaler CrowdSec-API prüfen.

Viele False Positives

Auslösende Szenarien analysieren und gezielte Ausnahmen definieren statt breiter Umgehung.

Fazit

CrowdSec liefert für Linux-Administratoren eine stärkere Sicherheitsbasis als reine Regex-Sperren. Du behältst lokale Kontrolle, erhältst mehr Erkennungskontext und automatisierst Gegenmaßnahmen mit Bouncern.

Ein kleines Deployment ist in weniger als 30 Minuten produktiv nutzbar und bringt sofortigen Schutzgewinn für internetnahe Dienste.

Frequently Asked Questions

Wie unterscheidet sich CrowdSec von Fail2ban?

Fail2ban reagiert auf lokale Logs mit lokalen Regeln. CrowdSec analysiert ebenfalls lokale Logs, korreliert aber Szenarien und kann Community Threat Intelligence nutzen, um Erkennung zu verbessern und wiederholte Angriffe zu reduzieren.

Ersetzt CrowdSec meine Firewall?

Nein. CrowdSec ergänzt Firewall oder Reverse Proxy, indem es entscheidet, was geblockt wird. Durchsetzung erfolgt über Bouncer für nftables, iptables, Proxys oder Anwendungen.

Läuft CrowdSec sinnvoll auf einem einzelnen VPS?

Ja. Single-Host-Deployments sind üblich und wirksam. Starte mit SSH- und Web-Logs und erweitere dann um weitere Logquellen und Remediation-Komponenten.