CrowdSec no Linux: detecção e bloqueio de intrusão orientados pela comunidade

O CrowdSec é um mecanismo moderno de segurança que combina detecção comportamental local com inteligência de ameaças compartilhada. Ele é especialmente útil em servidores expostos via SSH, proxies reversos e aplicações web públicas.

Este guia é focado em implementação prática, com proteção automática e controle operacional.

1) Instale o engine do CrowdSec

Em Debian/Ubuntu:

curl -s https://install.crowdsec.net | sudo sh
sudo apt install crowdsec -y
sudo systemctl enable --now crowdsec

Confira o estado:

sudo systemctl status crowdsec
sudo cscli metrics

2) Habilite collections para sua stack

Collections trazem parsers e cenários prontos.

Exemplos:

sudo cscli collections install crowdsecurity/sshd
sudo cscli collections install crowdsecurity/nginx
sudo cscli collections install crowdsecurity/linux
sudo systemctl restart crowdsec

Liste collections ativas:

sudo cscli collections list

3) Instale o firewall bouncer

Para nftables:

sudo apt install crowdsec-firewall-bouncer-nftables -y
sudo systemctl enable --now crowdsec-firewall-bouncer

Em ambientes iptables, use o pacote de bouncer apropriado.

4) Valide decisões e remediação

Verifique alertas e decisões atuais:

sudo cscli alerts list
sudo cscli decisions list

Após atividade suspeita (como várias falhas de login SSH), você deverá ver decisões de bloqueio ativas.

5) Ajustes e hardening

Crie whitelists seguras

Evite bloquear scanners internos ou IPs confiáveis de monitoramento com regras explícitas.

Controle duração do bloqueio

Em ambientes com ruído alto, comece com bans moderados e aumente gradualmente.

Monitore falsos positivos

Faça revisão semanal:

sudo cscli alerts list -o raw | head -40

Integrações recomendadas

Logs de Nginx/Traefik
Logs de SSH
Logs de autenticação da aplicação
Logs de WAF (quando disponíveis)

Quanto maior a qualidade dos logs ingeridos, melhor a cobertura de cenários.

Troubleshooting rápido

Nenhum alerta gerado

Verifique aquisição e caminhos de log:

sudo cscli metrics
sudo journalctl -u crowdsec --no-pager | tail -50

Bouncer instalado, mas sem bloqueio

Valide credenciais da API e conectividade com a API local do CrowdSec.

Muitos falsos positivos

Revise cenários específicos e aplique exceções pontuais, evitando bypass amplo.

Conclusão

O CrowdSec entrega uma base de defesa mais forte do que bloqueios simples por regex. Você mantém controle local, ganha contexto de detecção e automatiza resposta com bouncers.

Um deployment pequeno pode ficar operacional em menos de 30 minutos e já trazer valor imediato para serviços expostos à internet.

Frequently Asked Questions

Qual a diferença entre CrowdSec e Fail2ban?

O Fail2ban reage a logs locais com regras locais. O CrowdSec também analisa logs locais, mas correlaciona cenários e pode usar inteligência de ameaças comunitária para melhorar a detecção e reduzir reincidência de ataques.

O CrowdSec substitui o firewall?

Não. O CrowdSec complementa firewall ou proxy reverso, decidindo o que bloquear. A aplicação do bloqueio é feita pelos bouncers em nftables, iptables, proxies ou aplicações.

Posso usar CrowdSec em um VPS único?

Sim. Um deployment de host único é comum e efetivo. Comece com logs SSH e web, e depois evolua para logs de aplicação e mais componentes de remediação.