Linux-Server mit CrowdSec absichern

Aus Thomas-Krenn-Wiki
Zur Navigation springen Zur Suche springen

CrowdSec ist ein Open-Source-Sicherheitswerkzeug zur Erkennung und Abwehr von bösartigem Verhalten wie Brute-Force-Angriffen, Portscans oder Bot-Aktivitäten. Es analysiert Logdateien in Echtzeit, erkennt verdächtige Muster und kann Angreifer über sogenannte Bouncer automatisch blockieren.

Die Community von CrowdSec meldet erkannte Angreifer-IPs. Diese werden in einer gemeinsamen Datenbank gesammelt und auf allen verbundenen Systemen verteilt. So entsteht eine geteilte Blockliste, die alle Nutzer vor bekannten Bedrohungen schützt.

Vor- und Nachteile von CrowdSec

Vorteile Nachteile
Schutz vor gängigen Angriffen (z. B. SSH-Brute-Force, Portscans) Einrichtung erfordert technisches Know-how
Automatische Blockierung bösartiger IPs über sogenannte Bouncer Kein globaler DDoS-Schutz wie bei Cloudflare
Verteilter Schutz durch Community-geteilte Blocklisten Schutz wirkt primär auf Serverebene, nicht auf Anwendungsebene
Lokal installierbar → volle Kontrolle über die eigene Infrastruktur Kann zusätzliche Systemressourcen beanspruchen
Erweiterbar durch Szenarien, Parser und benutzerdefinierte Regeln Weniger „Plug-and-Play“ als Cloud-Dienste
Open Source und kostenlos nutzbar Für maximale Wirkung sollten mehrere Server teilnehmen (Community-Effekt)

Fazit: CrowdSec eignet sich besonders für Administratoren, die ihre Serverumgebungen selbst hosten und flexibel absichern möchten. Im Gegensatz zu Cloud-Diensten wie Cloudflare arbeitet CrowdSec direkt auf der Serverebene und bietet damit einen hohen Grad an Kontrolle, erfordert jedoch auch mehr technisches Wissen bei Einrichtung und Betrieb.

Kompatible Betriebssysteme

CrowdSec ist für folgende Plattformen verfügbar:

  • Linux
  • Windows
  • FreeBSD
  • macOS
  • Docker
  • Kubernetes
  • OPNsense
  • pfSense

Installation unter Debian 12

In diesem Beispiel wird CrowdSec unter Debian 12 eingerichtet.

System aktualisieren

Zuerst sollte das System geupdated werden: 

sudo apt update && sudo apt upgrade -y

Repository hinzufügen und installieren

Jetzt kann das offizielle Repository von CrowdSec eingerichtet werden. 

curl -s https://install.crowdsec.net | sudo sh

Das Skript richtet das offizielle Repository ein und installiert CrowdSec. Alternativ kann man nach dem Repository-Setup manuell installieren: 

sudo apt install crowdsec
  • CrowdSec ist installiert.
    CrowdSec ist installiert.

Damit ist die Security Engine eingerichtet. Sie erkennt Angriffe, blockiert diese aber noch nicht.

Firewall-Bouncer installieren

Damit Angriffe auch aktiv abgewehrt werden, wird ein Bouncer benötigt.

Der folgende Befehl installiert beispielsweise einen Firewall-Bouncer für iptables. 

sudo apt install crowdsec-firewall-bouncer-iptables

Konfiguration

Account (optional)

CrowdSec funktioniert lokal ohne Cloud-Anbindung. Für zusätzliche Funktionen wie Bedrohungsdaten-Synchronisation, globale Blocklisten und die zentrale Verwaltung empfiehlt sich ein Konto in der CrowdSec Console.

Server mit Konsole verbinden

Nach der Kontoerstellung kann der Server registriert werden: 

sudo cscli console enroll -e <code>TOKEN</code>

Den Token erhält man in der CrowdSec Console.

  • Token in der CrowdSec Console abrufen.
    Token in der CrowdSec Console abrufen.
  • Server erfolgreich verbunden.
    Server erfolgreich verbunden.

Einstellmöglichkeiten und Funktionen

CrowdSec bietet eine modulare Architektur mit zahlreichen Konfigurationsoptionen:

  • Parser aktivieren/deaktivieren: legt fest, welche Logdateien analysiert werden (SSH, nginx, Apache, Postfix etc.)
  • Szenarien definieren: YAML-basierte Regeln, die bestimmen, welche Muster als Angriff gelten
  • Bouncer konfigurieren: z. B. Firewall, HTTP-Captcha oder Cloudflare-Integration
  • Ban-Dauer einstellen: temporär (z. B. 4h) oder dauerhaft
  • Whitelist-Regeln hinzufügen: eigene IPs oder vertrauenswürdige Netzwerke ausnehmen
  • Benachrichtigungen einrichten: Alerts via E-Mail, Syslog oder Integrationen
  • Live-Angriffserkennung in der Konsole einsehen

Die Konfiguration erfolgt über /etc/crowdsec/, per CLI cscli oder über die CrowdSec Console.

CrowdSec Console

Die webbasierte CrowdSec Console ermöglicht eine zentrale Verwaltung aller Instanzen. Funktionen:

  • Echtzeit-Übersicht über Angriffe, blockierte IPs und aktive Bans
  • Globale Blocklisten einsehen und aktivieren
  • Szenarien verwalten und anpassen
  • API-Schlüssel für zusätzliche Bouncer oder Systeme erzeugen
  • Visualisierung laufender Angriffe in Diagrammen und Zeitverläufen
  • Übersicht der verbundenen Server (Engines).
    Übersicht der verbundenen Server (Engines).
  • Auswahl verfügbarer Blocklisten.
    Auswahl verfügbarer Blocklisten.
  • Details einer Blockliste.
    Details einer Blockliste.
  • Blockliste einer Engine zuweisen.
    Blockliste einer Engine zuweisen.

CrowdSec Alerts

Sobald CrowdSec aktiv ist, sieht man meist nach wenigen Stunden erste Alerts.

  • Die ersten Alerts nach wenigen Stunden.
    Die ersten Alerts nach wenigen Stunden.
  • Liste der blockierten Angriffe.
    Liste der blockierten Angriffe.

Hier kann man sich folgende Informationen ansehen:

  • Zeit des Angriffs
  • Art des Angriffs
  • IP und Geolocation
  • Welche Engine betroffen ist
  • Was vom Angreifer getestet wurde

Weitere Informationen

Autor: Adrian Zillner

Adrian Zillner ist seit Mai 2025 im Technical Service bei der Thomas-Krenn AG tätig. Er ist für das Betreuen von Kunden und Beantworten von Fragen bei technischen Problemen zuständig.

Das könnte Sie auch interessieren

Linux Kernel Versionen 4.x
Zum Artikel
SSD Firmware Update mit storcli
Zum Artikel
TCP Port 80 (http) Zugriff mit telnet überprüfen
Zum Artikel