CROWDSEC RICHTIG auf Proxmox VE 8 installieren und einrichten. SSH & Proxmox Login Protection
HTML-код
- Опубликовано: 2 окт 2024
- CrowdSec betreibt das weltweit größte Cyber-Bedrohungs-Intelligenznetzwerk, das auf crowdsourcingbasierten Daten aufgebaut ist. Die Blocklisten von CrowdSec führen zu signifikanten Verbesserungen der Effizienz von Sicherheitsoperationen und zur Kostenreduzierung. Die Lösungen von CrowdSec passen sich nahtlos an jede vorhandene Infrastruktur an.
Links:
CrowdSec installieren: app.crowdsec.n...
Website: crowdsec.net?
#crowdsec #security #firewall
Impressum bit.ly/3gfQANZ
*Als Amazon-Partner verdiene ich an qualifizierten Verkäufen. Vielen Dank für deine Unterstützung.
Schön. Die Cloud-Variante von fail2ban. Muss ich mal ausprobieren. Allerdings solltest Du nicht das Original-Config-File ändern. Deaktivieren gibt es den Ordner ConfigName.d. Könnte singst beim nächsten Update Probleme oder Mehrarbeit verursachen.
Muss dann für jeden lxc crwodsec instaliert werden oder reicht das host system und der blockt alles ab ?
Super informatives Video! Danke dafür. 👍
Wenn Du Zeit und Lust hast, könntest Du das ganze mit Docker mal zeigen? Ist glaube ich ein bisschen fummliger. 😉
Vielen Dank Dennis für das coole Video. Sehr hilfreich, bin gerade dabei….
Krasser Mehrwert, danke dir! :)
Ich zitiere: "...und ich habe ein bischen mit Proxmox rumgemacht..."
Ich bin auf so vielen Ebenen grade schon ab der 5ten Sekunde verstört ^^ xD
Ihhhh, woran denkst du denn bitte ^^
Ist es auch möglich, Traefik in einem LXC zu installieren und auf andere Container verweisen? Oder wie würde man mit Traefik in Proxmox umgehen?
Super Video! Danke! Leider hängts bei mir noch mit den Bouncern. Die Installation der Bouncer unter Ubuntu 24.04 LTS (noblenumbat) klappt nicht .(
Nice wäre noch eine Anleitung für NPM . Ich greife auf meine Dienste via NPM zu und mit dieser Anleitung zeigt Crowdsec einen fehlerhaften Login mit der IP des NPM an.
Hello, mittlerweile checkt der Crowdsec-Installer (Script) Debian 12 ;-) Danke fürs Video!
Habe ich auch im Einsatz ssh logins werden banned. (vielleicht die von Dennis angesprochenen Parameter ändern, die defaults für ssh werden teilweise schon umgangen) Habe auch eine
nginx-proxy-manager Collection am laufen. Empfehlung, sollte jeder haben (auch als Docker Container vorhanden).
Funktioniert das auch für nginx wenn der auf einer CT läuft?
Was ein Zufall das genau das mit "ungewollten SSH Zugriffen auf Proxmox" heute morgen im Discord Thema war
Wenn du genau hin guckst, ist das Video 1 Woche alt :D :D
Schützt CrowdSec, nur dem Client/ Server in dem er installiert wurde oder das komplette Netzwerk?
Es kommt natürlich auf den Setup an was es schützt. Aber wenn vorne dicht ist, kommt hinten auch nix rein.
Ich habe ein Problem mit meinem Proxmox-Server. Obwohl SSH-Angriffe erfolgreich blockiert werden, kann ich mit falschen Daten unendlich oft versuchen mich in die PVE-Oberfläche einloggen, ohne dass dies Auswirkungen hat. Ich habe die Installation genau nach dem Video durchgeführt.
Ich habe das gleiche Problem. Hat das sonst jemand getestet? Login in der Proxmox Web-UI mit bewusst falschen Login?
Bei mir lag es daran, dass das der fehlerhaft Loginversuch von einer privaten IP ausging. Der Whitelist parser ignoriert solche. Zum verstehen und auswerten ist folgendes Kommando nützlich: csli explain --log "die_komplette_log_zeile_hier"
Tolles Video, vielen Dank 👍 Nun bräuchten wir ein Video wie man seine Docker Container logs ausgelesen bekommt 🙄😳😲😉
Danke Dennis , cooles Video. Gleich umgesetzt. Wieviele Agents kann man da kostenfrei einbinden ?
👋Danke mal wieder für dieses aufschlussreiche Video!
DANKE DIR !
Crowdsec zeigt bei mir keine Alerts an, obwohl scheinbar alles zu funktionieren scheint. Hat jemand eine Idee?
Hab dasselbe Problem. Hast du eine Lösung gefunden?
@@oli4572 Leider nein...
@@Asbasnowe Meinen Fehler hab ich vorhin gefunden. Ich hatte das Wort pvedaemon falsch geschrieben... Hatte ea anstatt ae im Befehl... 😣
Ich hab das Gefühl beigetragen zu haben.
Warum nutzt du eigentlich noch den Befehl `service restart` um Dienste neu zu starten?😂 Der ist schon seit ner Ewigkeit deprecated und führt eigentlich nen `systemctl restart` aus.
Reine Gewohnheit.
Moin Dennis, das aber nur notwendig bei einer Bookworm Neuinstallation oder? /var/log/syslog ist bei mir unter 8.1. noch immer im Dienst. Damals die Repos auf Bookworm umgestellt, keinen reinstall des ganzen Systems.
Ja da ist das defintiv notwendig mit dem journald
Moin, bei mir ist auch die syslog noch vorhanden (inkl aktueller Logs). Ich hatte Proxmox von 7 auf 8 über ein Update installiert. Ich schau mir es aber heute Nachmittag noch mal genauer an. Danke für das Video
Funktioniert
danke
Bitte sehr!
Danke!
DANKE DIR!
Meine OPNsense blockt alles außer Port 80/443 für den npm.
Wenn ich jetzt den Bouncer als Plugin auf der OPNsense installiere würden geblockte IPs (CrowdSec gesammelte IPs) ja auch nicht mal mehr auf den npm landen korrekt?
Damit ich meine Vaultwarden Instanz mit aktiv einbinden kann zur Sammlung falscher Logins müsste ich ja die Logfiles vom Docker Container zum Docker Host mappen und dort eine Collection eintragen, sodass die Logs ausgewertet werden?
Dann könnte man ja auf Docker Host mehrere Collections installieren, z.B. home-assistant, paperless, grafana usw. sodass dann Fehlerhafte Logins übermittelt werden.
Und dann würden die noch direkt an erster Stelle vor dem Reverse Proxy geblockt.
Würde noch ein Video genau zu dem Thema kommen, d.H. Bouncer auf FW und Collection innerhalb von Docker?
Danke für das Video
Genau. Es ist ja ein Zusammenspiel. Wird eine ip von der gäng geblockt egal ob SSH o.ä. Dann ist die auch woanders für anders geblockt.
Das ist ja mega Praktisch.
Denke ich werde das nachher direkt so umsetzen.
Hatte zwar lange nur wireguard genutzt aber da vaultwarden eh 2fa nutzt sehe ich mit crowdsec+nginx+2fa bei Vaultwarden nicht mehr so das Problem.
Für docker habe ich die source: docker in der aquis.yaml konfiguriert. Dadurch spart man sich das mounten der Logs auf den docker host.
# Beispiel nextcloud
source: docker
container_name:
- nextcloud-app
labels:
type: nextcloud
In der Crowdsec-Doku wird empfohlen, die Datei "/etc/crowdsec/config.yaml.local" anzulegen mit folgendem Inhalt:
db_config:
..use_wal: true
(Statt ".." zwei Leerzeichen). Hintergedanke: Es kann sein, dass ein Update die ursprüngliche "config.yaml" überschreibt. Die "config.yaml.local" wird beim Neustart von Crowdsec ebenso ausgelesen.