项目地址

https://github.com/crowdsecurity/crowdsec

小编推荐：CrowdSec项目简介

相关技术点

• 行为检测引擎
• 全球 IP 威望网络
• Grok 模式解析日志
• YAML 场景识别行为
• 支持 IPV6
• 沙箱化处理安全事件
• 多种“弹飞机”（bouncers）处理威胁

项目用途

CrowdSec是一个免费的、现代的、协作式的行为检测引擎，它与全球IP威望网络相结合。它是在fail2ban的哲学基础上构建的，但它不仅兼容IPv6，而且比其快60倍（使用Go语言实现）。它使用Grok模式解析日志和YAML场景识别行为。CrowdSec专为现代基于云/容器/虚拟机的基础设施而设计（通过分离检测和修复）。一旦检测到威胁，您可以使用各种“弹飞机”（bouncers）来处理威胁（如防火墙阻止、nginx http 403、验证码等），同时可以将攻击者IP发送到CrowdSec进行审核，以便在分享给所有用户前对其进行改进，以进一步提高所有人的安全性。CrowdSec的用户友好设计和辅助功能为您提供了低技术门槛，但仍然具有高安全性。

CrowdSec

 

:computer: 控制台（WebApp） :books: 文档 :diamond_shape_with_a_dot_inside: 配置中心 :speech_balloon: 社区（论坛） :speech_balloon: Discord（实时聊天）

:dancer: 这是一个由社区驱动的项目，我们需要您的反馈。

<TL;DR>

CrowdSec是一个免费、现代且协作的行为检测引擎，配合全球IP信誉网络使用。它基于fail2ban的理念，但与IPV6兼容且速度快60倍（Go vs Python），它使用Grok模式解析日志和YAML场景来识别行为。CrowdSec专为现代云/容器/虚拟机基础架构而设计（通过解耦检测和修复）。一旦检测到威胁，您可以使用各种防护程序（防火墙阻止、nginx http 403、验证码等）来解决威胁，而攻击性的IP可以被发送给CrowdSec进行管理，然后被分享给所有用户以进一步提高每个人的安全性。请参见FAQ或以下内容以获取更多信息。

2分钟安装

通过您的操作系统的软件包系统安装是最简单的方法。 否则，您可以从源代码安装。

从软件包（Debian）中安装

curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.deb.sh | sudo bash
sudo apt-get update
sudo apt-get install crowdsec

从软件包（rhel/centos/amazon linux）中安装

curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.rpm.sh | sudo bash
sudo yum install crowdsec

从软件包（FreeBSD）中安装

sudo pkg update
sudo pkg install crowdsec

从源码安装

wget https://github.com/crowdsecurity/crowdsec/releases/latest/download/crowdsec-release.tgz
tar xzvf crowdsec-release.tgz
cd crowdsec-v* && sudo ./wizard.sh -i

:information_source: 关于CrowdSec项目

CrowdSec是一款开源、轻量级的软件，可以检测具有攻击性行为的同行，以防止他们访问您的系统。它的用户友好设计和协助提供了低的技术门槛，但仍然具有高的安全性增益。

架构如下：

 

一旦检测到不需要的行为，通过bouncer处理。攻击性IP、触发场景和时间戳将被发送进行管理，以避免污染和误报。（可以禁用此功能）。如果经过验证，此IP将重新分发给所有运行相同场景的CrowdSec用户。

集体击败黑客

通过共享他们所面临的威胁，所有用户都在保护彼此（因此取名为 Crowd-Security）。Crowdsec 是为现代基础设施设计的，采用“此处检测，那里修复”的方法，让您在一个地方分析来自多个来源的日志，并在堆栈的各个层面（应用层、系统层、基础设施层）阻止威胁。

CrowdSec 默认提供适用于大多数上下文的场景（暴力破解、端口扫描、Web 扫描等），但您可以轻松地通过从**HUB** 中选择更多场景来扩展它。也很容易适应现有场景或自己创建场景。

:point_right: 它不是什么

CrowdSec 不是 SIEM，不存储您的日志（本地或远程均不存储）。您的数据在本地分析后即被遗忘。

发送到整理平台的信号被限制在最严格的最小值：IP、场景、时间戳。它们仅用于允许系统发现新的恶意 IP，并排除误报或中毒企图。

:arrow_down: 安装它！

Crowdsec 可用于各种平台：

• 使用我们的 Debian 存储库 或官方 Debian 包
• 有可用于 Docker 的映像
• 预构建的发布包也可用（适用于amd64）
• 您也可以从源代码构建

或直接查看安装文档以获取其他方法和平台。

:tada: 主要好处

快速协助安装，无技术障碍

自动化的初始配置，提供开箱即用的功能设置

开箱即用的检测

基线检测在开箱即用时非常有效，无需进行精细调整（展开以查看）

易于设置防火墙

添加防火墙以执行 Crowdsec 的决策非常简单（展开以查看）

易于访问仪表板

使用 cscli 简单部署 metabase 界面以查看您的数据（展开以查看）

热和冷日志

处理冷日志，用于取证、测试和追踪误报和漏报（展开以查看）

📦 关于此存储库

此存储库包含 crowdsec 的两个主要组件的代码：

• crowdsec：类似 fail2ban 的守护程序，可以读取、解析、丰富和应用启发式日志。这是负责“检测”攻击的组件。
• cscli：主要用于与 crowdsec 交互的 cli 工具：禁止/解禁/查看当前禁止，启用/禁用解析器和场景等。

贡献

如果您希望为 crowdsec 的核心做出贡献，欢迎在此存储库中打开 PR。

如果您想添加新的解析器、场景或收藏，请在hub 存储库中打开 PR。

如果您希望为文档做出贡献，请在文档存储库中打开 PR。

标签：工具分享, 入侵检测