#crowdsec — Public Fediverse posts

🔥 Come installare CrowdSec e usarlo come WAF davanti a Nginx o Traefik. CrowdSec, la guida pratica all'IDS/IPS open source che sostituisce Fail2Ban con una blocklist condivisa da migliaia di server globali
https://gomoot.com/come-installare-crowdsec-e-usarlo-come-waf-davanti-a-nginx-o-traefik/

#CrowdSec #nginx #Traefik #WAF #opensource

🔥 Come installare CrowdSec e usarlo come WAF davanti a Nginx o Traefik. CrowdSec, la guida pratica all'IDS/IPS open source che sostituisce Fail2Ban con una blocklist condivisa da migliaia di server globali
https://gomoot.com/come-installare-crowdsec-e-usarlo-come-waf-davanti-a-nginx-o-traefik/

#CrowdSec #nginx #Traefik #WAF #opensource

🔥 Come installare CrowdSec e usarlo come WAF davanti a Nginx o Traefik. CrowdSec, la guida pratica all'IDS/IPS open source che sostituisce Fail2Ban con una blocklist condivisa da migliaia di server globali
https://gomoot.com/come-installare-crowdsec-e-usarlo-come-waf-davanti-a-nginx-o-traefik/

#CrowdSec #nginx #Traefik #WAF #opensource

🔥 Come installare CrowdSec e usarlo come WAF davanti a Nginx o Traefik. CrowdSec, la guida pratica all'IDS/IPS open source che sostituisce Fail2Ban con una blocklist condivisa da migliaia di server globali
https://gomoot.com/come-installare-crowdsec-e-usarlo-come-waf-davanti-a-nginx-o-traefik/

#CrowdSec #nginx #Traefik #WAF #opensource

#QFeeds schwächelt wieder rum. Ich weis nicht was ich davon halten soll, aber Werbung für Premium ist solch eine Leistung nicht! #Crowdsec ist stabil, leider für normalsterbliche unbezahlbar.

#OPNsense #Firewall #Sicherheit

#QFeeds schwächelt wieder rum. Ich weis nicht was ich davon halten soll, aber Werbung für Premium ist solch eine Leistung nicht! #Crowdsec ist stabil, leider für normalsterbliche unbezahlbar.

#OPNsense #Firewall #Sicherheit

#QFeeds schwächelt wieder rum. Ich weis nicht was ich davon halten soll, aber Werbung für Premium ist solch eine Leistung nicht! #Crowdsec ist stabil, leider für normalsterbliche unbezahlbar.

#OPNsense #Firewall #Sicherheit

On second thought, maybe I shouldn't abbreviate "CrowdSec Manager" in my self-hosting setup...

#SelfHosting #CrowdSec

Is @CrowdSec now sending Hub Data to Cloudflare? 🤦

This changes everything...

#cloudflareIsTheMalware #Crowdsec #WAF

Installation de CrowdSec

Sur mon serveur Yunohost, j’ai décidé d’installer CrowdSec comme sécurité supplémentaire. L’objectif était d’abord de profiter d’une liste d’IP crowdsourcée pour protéger un peu plus le serveur, et en plus de profiter des capacités de CrowdSec en analyse d’attaque.

On m’a demandé comment l’installer, et vu que la documentation est un bazar sans nom, j’en fais cet article.

Je précise que j’installe le blocage pare-feu, mais pas le blocage WAF. Le WAF, c’est l’analyse des requêtes web (au niveau du reverse proxy, nginx sur Yunohost). Apparemment, il permet d’analyser et repérer beaucoup plus finement les attaques, notamment celles basées sur des vulnérabilités de vos applis web.

Tout d’abord, j’ai suivi les consignes sur cette page pour l’installation. Je n’ai pas utilisé le script auto, mais j’ai fait l’installation manuelle des dépôts pour Debian. On peut sauter les premières étapes, Yunohost installe déjà les outils nécessaires pour l’ajout de dépôts vu qu’il utilise des dépôts tiers.

(Je suis passé en root pour faire tout ça, sinon n’oubliez pas d’utiliser sudo)

Il faut commencer à l’ajout de la clé GPG (remplacer les actions suivantes par celle de la page de doc si elles sont plus à jour) :

curl -fsSL https://packagecloud.io/crowdsec/crowdsec/gpgkey | gpg --dearmor > /etc/apt/keyrings/crowdsec_crowdsec-archive-keyring.gpg

nano /etc/apt/sources.list.d/crowdsec_crowdsec.list
---------------------------------------------------
deb [signed-by=/etc/apt/keyrings/crowdsec_crowdsec-archive-keyring.gpg] https://packagecloud.io/crowdsec/crowdsec/any any main
deb-src [signed-by=/etc/apt/keyrings/crowdsec_crowdsec-archive-keyring.gpg] https://packagecloud.io/crowdsec/crowdsec/any any main

Ensuite, on va recharger la liste des paquets, et installer les paquets nécessaires :

apt update
apt install crowdsec crowdsec-firewall-bouncer-nftables

Je ne comprends pas pourquoi la doc propose encore iptables par défaut, alors que tout le monde est passé à nftables.

La suite se passe dans le dossier de configuration de crowdsec :

cd /etc/crowdsec
sudo -l

Je vous invite à regarder les permissions sur les fichiers. Vous verrez qu’une bonne partie est configurée pour que seul l’utilisateur root puisse lire les fichiers, et c’est important pour qu’aucun utilisateur n’ait accès à des tokens d’accès.

On va créer le fichier config.yaml.local qui permet de surcharger des valeurs de config.yaml. Il sera peut-être déjà créé avec une valeur à propos de db_config.

nano config.yaml.local
-----------------------
# Cette partie était créée à l’installation
# Optimization for sqlite, see README.Debian:
db_config:
  use_wal: true

# Cette partie, je l’ai rajoutée
# Default port is already used, changing:
api:
  server:
    listen_uri: 127.0.0.1:8081

Ici, je change le port d’écoute du moteur d’analyse de CrowdSec. J’avais besoin de le faire parce que j’avais déjà un service qui écoutait sur le port par défaut, le port 8080 (je ne sais plus lequel… peut-être Prosody). Je vous conseille de le changer, pour éviter d’avoir un soucis si jamais vous installez le même service même plus tard. Pensez à changer les droits de ce fichier si besoin.

Maintenant, on va passer à l’enregistrement du service de blocage au niveau du pare-feu :

cscli bouncers add firewall
---------------------------
API key for 'firewall':

   ZgmOJ3wmp8Nv2G+CEB6w1I6DZgeS6460gGuQe0VTkbw

Please keep this key since you will not be able to retrieve it!

cscli est la commande qui permet de manipuler le moteur de CrowdSec. Elle donne plein d’infos sur les commandes disponibles. Cette commande enregistre un bouncer dans le moteur de CrowdSec, et là je l’ai nommé firewall. Elle sort un token qui permet au bouncer de s’authentifier auprès du moteur. On enregistre maintenant cette information pour le bouncer :

nano bouncers/crowdsec-firewall-bouncer.yaml.local
--------------------------------------------------
api_url: http://127.0.0.1:8081/
api_key: ZgmOJ3wmp8Nv2G+CEB6w1I6DZgeS6460gGuQe0VTkbw

Comme vous pouvez le constater, on en profite également pour indiquer au bouncer que l’on a changé le port d’accès au moteur. Bien sûr, remplacer la valeur de la clé par celle que la commande vous a sortie. On peut maintenant relancer :

systemctl restart crowdsec
systemctl restart crowdsec-firewall-bouncer
# Si tout se passe bien :
systemctl enable crowdsec-firewall-bouncer

Je vous conseille de réaliser les tests de la documentation pour vérifier que tout fonctionne.

Maintenant, on va ajouter deux whitelist :

cscli allowlists create utilisateurs -d 'IP résidentielles des utilisateurs'
cscli allowlists create yunohost -d 'IP de YunoHost'

Elles ne sont pas obligatoires, je vous les recommande juste. La deuxième, notamment, me permet d’éviter que les IP de YunoHost ne soient bannies pendant le diagnostic (ce qui casse le diagnostic). Vous pouvez donner les noms que vous souhaitez à la place de utilisateurs et yunohost, ainsi que le commentaire dans l’option -d.

Ensuite, on ajoute les IP :

cscli allowlists add yunohost 80.67.164.12
cscli allowlists add yunohost 2001:910:1400:115::12
cscli allowlists add utilisateurs votre IP -d 'Mon IP'

Et voilà ! Vous pouvez également ajouter vos autres utilisateurs sur la liste blanche utilisateurs.

À noter : si vous avez un Yunohost en local chez vous, ça ne sert à rien de le faire pour vos IP locales. CrowdSec les whiteliste déjà par défaut.

Maintenant, si vous le souhaitez, vous pouvez connecter votre CrowdSec à la Console CrowdSec. Cela permet de gérer certaines fonctionnalités depuis le web ou de recevoir un petit récap mail chaque semaine. La fonction la plus intéressante, c’est rajouter des blocklists d’IP.

Il y a plein de fonctions premium, aussi, dont je ne peux pas vous parler, comme je reste sur du gratuit.

Dernière chose, CrowdSec configure automatique la lecture d’un certain nombre de logs. Si vous voulez vérifier qu’il en a configuré le plus possible automatiquement, vous pouvez lancer cette commande :

cscli setup

Installation de CrowdSec

Sur mon serveur Yunohost, j’ai décidé d’installer CrowdSec comme sécurité supplémentaire. L’objectif était d’abord de profiter d’une liste d’IP crowdsourcée pour protéger un peu plus le serveur, et en plus de profiter des capacités de CrowdSec en analyse d’attaque.

On m’a demandé comment l’installer, et vu que la documentation est un bazar sans nom, j’en fais cet article.

Je précise que j’installe le blocage pare-feu, mais pas le blocage WAF. Le WAF, c’est l’analyse des requêtes web (au niveau du reverse proxy, nginx sur Yunohost). Apparemment, il permet d’analyser et repérer beaucoup plus finement les attaques, notamment celles basées sur des vulnérabilités de vos applis web.

Tout d’abord, j’ai suivi les consignes sur cette page pour l’installation. Je n’ai pas utilisé le script auto, mais j’ai fait l’installation manuelle des dépôts pour Debian. On peut sauter les premières étapes, Yunohost installe déjà les outils nécessaires pour l’ajout de dépôts vu qu’il utilise des dépôts tiers.

(Je suis passé en root pour faire tout ça, sinon n’oubliez pas d’utiliser sudo)

Il faut commencer à l’ajout de la clé GPG (remplacer les actions suivantes par celle de la page de doc si elles sont plus à jour) :

curl -fsSL https://packagecloud.io/crowdsec/crowdsec/gpgkey | gpg --dearmor > /etc/apt/keyrings/crowdsec_crowdsec-archive-keyring.gpg

nano /etc/apt/sources.list.d/crowdsec_crowdsec.list
---------------------------------------------------
deb [signed-by=/etc/apt/keyrings/crowdsec_crowdsec-archive-keyring.gpg] https://packagecloud.io/crowdsec/crowdsec/any any main
deb-src [signed-by=/etc/apt/keyrings/crowdsec_crowdsec-archive-keyring.gpg] https://packagecloud.io/crowdsec/crowdsec/any any main

Ensuite, on va recharger la liste des paquets, et installer les paquets nécessaires :

apt update
apt install crowdsec crowdsec-firewall-bouncer-nftables

Je ne comprends pas pourquoi la doc propose encore iptables par défaut, alors que tout le monde est passé à nftables.

La suite se passe dans le dossier de configuration de crowdsec :

cd /etc/crowdsec
sudo -l

Je vous invite à regarder les permissions sur les fichiers. Vous verrez qu’une bonne partie est configurée pour que seul l’utilisateur root puisse lire les fichiers, et c’est important pour qu’aucun utilisateur n’ait accès à des tokens d’accès.

On va créer le fichier config.yaml.local qui permet de surcharger des valeurs de config.yaml. Il sera peut-être déjà créé avec une valeur à propos de db_config.

nano config.yaml.local
-----------------------
# Cette partie était créée à l’installation
# Optimization for sqlite, see README.Debian:
db_config:
  use_wal: true

# Cette partie, je l’ai rajoutée
# Default port is already used, changing:
api:
  server:
    listen_uri: 127.0.0.1:8081

Ici, je change le port d’écoute du moteur d’analyse de CrowdSec. J’avais besoin de le faire parce que j’avais déjà un service qui écoutait sur ce port (je ne sais plus lequel… peut-être Prosody). Je vous conseille de le changer, pour éviter d’avoir un soucis si jamais vous installez le même service même plus tard. Pensez à changer les droits de ce fichier si besoin.

Maintenant, on va passer à l’enregistrement du service de blocage au niveau du pare-feu :

cscli bouncers add firewall
---------------------------
API key for 'firewall':

   ZgmOJ3wmp8Nv2G+CEB6w1I6DZgeS6460gGuQe0VTkbw

Please keep this key since you will not be able to retrieve it!

cscli est la commande qui permet de manipuler le moteur de CrowdSec. Elle donne plein d’infos sur les commandes disponibles. Cette commande enregistre un bouncer dans le moteur de CrowdSec, et là je l’ai nommé firewall. Elle sort un token qui permet au bouncer de s’authentifier auprès du moteur. On enregistre maintenant cette information pour le bouncer :

nano bouncers/crowdsec-firewall-bouncer.yaml.local
--------------------------------------------------
api_url: http://127.0.0.1:8081/
api_key: ZgmOJ3wmp8Nv2G+CEB6w1I6DZgeS6460gGuQe0VTkbw

Comme vous pouvez le constater, on en profite également pour indiquer au bouncer que l’on a changé le port d’accès au moteur. Bien sûr, remplacer la valeur de la clé par celle que la commande vous a sortie. On peut maintenant relancer :

systemctl restart crowdsec
systemctl restart crowdsec-firewall-bouncer
# Si tout se passe bien :
systemctl enable crowdsec-firewall-bouncer

Je vous conseille de réaliser les tests de la documentation pour vérifier que tout fonctionne.

Maintenant, on va ajouter deux whitelist :

cscli allowlists create utilisateurs -d 'IP résidentielles des utilisateurs'
cscli allowlists create yunohost -d 'IP de YunoHost'

Elles ne sont pas obligatoires, je vous les recommande juste. La deuxième, notamment, me permet d’éviter que les IP de YunoHost ne soient bannies pendant le diagnostic (ce qui casse le diagnostic). Vous pouvez donner les noms que vous souhaitez à la place de utilisateurs et yunohost, ainsi que le commentaire dans l’option -d.

Ensuite, on ajoute les IP :

cscli allowlists add yunohost 80.67.164.12
cscli allowlists add yunohost 2001:910:1400:115::12
cscli allowlists add utilisateurs votre IP -d 'IP de machin'

Et voilà !

Maintenant, si vous le souhaitez, vous pouvez connecter votre CrowdSec à la Console CrowdSec. Cela permet de gérer certaines fonctionnalités depuis le web ou de recevoir un petit récap mail chaque semaine. La fonction la plus intéressante, c’est rajouter des blocklists d’IP.

Il y a plein de fonctions premium, aussi, dont je ne peux pas vous parler, comme je reste sur du gratuit.

Dernière chose, CrowdSec configure automatique la lecture d’un certain nombre de logs. Si vous voulez vérifier qu’il en a configuré le plus possible automatiquement, vous pouvez lancer cette commande :

cscli setup

Wenn man einmal anfängt ...
Nach Feierabend "bloss" mal eben #crowdsec auf der outpost vps aufsetzen. Ok, geht. Oh, da sieht man ja die ganzen ssh-bruteforces ... Prometheus draussen im Web aufmachen keine so gute Idee, aber will adminp0rn, gibt so schöne Dashboards.

Zwischendrin @oli nmap Terror machen geschickt, um die alerts zu testen 🤖

Bis halb 12 #headscale aufgesetzt mit ein paar Stolperern und jetzt ist besser mal Schluss für heute.

Up next: #tailscale IM docker

Wenn man einmal anfängt ...
Nach Feierabend "bloss" mal eben #crowdsec auf der outpost vps aufsetzen. Ok, geht. Oh, da sieht man ja die ganzen ssh-bruteforces ... Prometheus draussen im Web aufmachen keine so gute Idee, aber will adminp0rn, gibt so schöne Dashboards.

Zwischendrin @oli nmap Terror machen geschickt, um die alerts zu testen 🤖

Bis halb 12 #headscale aufgesetzt mit ein paar Stolperern und jetzt ist besser mal Schluss für heute.

Up next: #tailscale IM docker

Wenn man einmal anfängt ...
Nach Feierabend "bloss" mal eben #crowdsec auf der outpost vps aufsetzen. Ok, geht. Oh, da sieht man ja die ganzen ssh-bruteforces ... Prometheus draussen im Web aufmachen keine so gute Idee, aber will adminp0rn, gibt so schöne Dashboards.

Zwischendrin @oli nmap Terror machen geschickt, um die alerts zu testen 🤖

Bis halb 12 #headscale aufgesetzt mit ein paar Stolperern und jetzt ist besser mal Schluss für heute.

Up next: #tailscale IM docker

Wenn man einmal anfängt ...
Nach Feierabend "bloss" mal eben #crowdsec auf der outpost vps aufsetzen. Ok, geht. Oh, da sieht man ja die ganzen ssh-bruteforces ... Prometheus draussen im Web aufmachen keine so gute Idee, aber will adminp0rn, gibt so schöne Dashboards.

Zwischendrin @oli nmap Terror machen geschickt, um die alerts zu testen 🤖

Bis halb 12 #headscale aufgesetzt mit ein paar Stolperern und jetzt ist besser mal Schluss für heute.

Up next: #tailscale IM docker

Wenn man einmal anfängt ...
Nach Feierabend "bloss" mal eben #crowdsec auf der outpost vps aufsetzen. Ok, geht. Oh, da sieht man ja die ganzen ssh-bruteforces ... Prometheus draussen im Web aufmachen keine so gute Idee, aber will adminp0rn, gibt so schöne Dashboards.

Zwischendrin @oli nmap Terror machen geschickt, um die alerts zu testen 🤖

Bis halb 12 #headscale aufgesetzt mit ein paar Stolperern und jetzt ist besser mal Schluss für heute.

Up next: #tailscale IM docker

Bueno, parece que los ataques de scraping estan cesando o por lo menos el bloqueo del firewall está siendo exitoso y permite más o menos respirar al servidor. Como últimas novedades, ayer terminé de migrar las listas de bloque de Alias y reglas manuales, a listas dinámicas automáticas, aparte de que agregué algunas más que estaban faltando. Las listas dinámicas corren en bajo nivel en el firewall y aprovechan el motor pf packet filter que hace famoso a pf-Sense. Eso quedó lujo y los tests que corrí muestran que el firewall ni se despeina filtrando unas 50k IPs. También en el proxy Nginx dejé corriendo CrowdSec junto con Fail2ban y ahora ambos alimentan de IPs maliciosas que detectan, al pf-Sense que las bloquea para toda la red. CrowdSec fue sugerencia de @j3j5 y luego de @ElenaMusk y valió la pena porque solo lo conocía de nombre, nunca lo había probado, muchas gracias por el apoyo y la ayuda. Pensé que era similar a Fail2ban pero se nota que es mucho más moderno y agarra IPs que Fail2ban no agarra, justamente por el análisis decomportamiento. Yo creo que estamos bastante bien ahora, con pfBlocker-NG, Suricata y DNSBL corriendo en pf-Sense y Fail2ban y CrowdSec corriendo en el proxy que a su vez retroalimenta a pf-Sense. #pfsense #crowdsec #dnsbl #suricata #seguridad #undernet #mastodon

Bueno, parece que los ataques de scraping estan cesando o por lo menos el bloqueo del firewall está siendo exitoso y permite más o menos respirar al servidor. Como últimas novedades, ayer terminé de migrar las listas de bloque de Alias y reglas manuales, a listas dinámicas automáticas, aparte de que agregué algunas más que estaban faltando. Las listas dinámicas corren en bajo nivel en el firewall y aprovechan el motor pf packet filter que hace famoso a pf-Sense. Eso quedó lujo y los tests que corrí muestran que el firewall ni se despeina filtrando unas 50k IPs. También en el proxy Nginx dejé corriendo CrowdSec junto con Fail2ban y ahora ambos alimentan de IPs maliciosas que detectan, al pf-Sense que las bloquea para toda la red. CrowdSec fue sugerencia de @j3j5 y luego de @ElenaMusk y valió la pena porque solo lo conocía de nombre, nunca lo había probado, muchas gracias por el apoyo y la ayuda. Pensé que era similar a Fail2ban pero se nota que es mucho más moderno y agarra IPs que Fail2ban no agarra, justamente por el análisis decomportamiento. Yo creo que estamos bastante bien ahora, con pfBlocker-NG, Suricata y DNSBL corriendo en pf-Sense y Fail2ban y CrowdSec corriendo en el proxy que a su vez retroalimenta a pf-Sense. #pfsense #crowdsec #dnsbl #suricata #seguridad #undernet #mastodon

Bueno, parece que los ataques de scraping estan cesando o por lo menos el bloqueo del firewall está siendo exitoso y permite más o menos respirar al servidor. Como últimas novedades, ayer terminé de migrar las listas de bloque de Alias y reglas manuales, a listas dinámicas automáticas, aparte de que agregué algunas más que estaban faltando. Las listas dinámicas corren en bajo nivel en el firewall y aprovechan el motor pf packet filter que hace famoso a pf-Sense. Eso quedó lujo y los tests que corrí muestran que el firewall ni se despeina filtrando unas 50k IPs. También en el proxy Nginx dejé corriendo CrowdSec junto con Fail2ban y ahora ambos alimentan de IPs maliciosas que detectan, al pf-Sense que las bloquea para toda la red. CrowdSec fue sugerencia de @j3j5 y luego de @ElenaMusk y valió la pena porque solo lo conocía de nombre, nunca lo había probado, muchas gracias por el apoyo y la ayuda. Pensé que era similar a Fail2ban pero se nota que es mucho más moderno y agarra IPs que Fail2ban no agarra, justamente por el análisis decomportamiento. Yo creo que estamos bastante bien ahora, con pfBlocker-NG, Suricata y DNSBL corriendo en pf-Sense y Fail2ban y CrowdSec corriendo en el proxy que a su vez retroalimenta a pf-Sense. #pfsense #crowdsec #dnsbl #suricata #seguridad #undernet #mastodon

Bueno, parece que los ataques de scraping estan cesando o por lo menos el bloqueo del firewall está siendo exitoso y permite más o menos respirar al servidor. Como últimas novedades, ayer terminé de migrar las listas de bloque de Alias y reglas manuales, a listas dinámicas automáticas, aparte de que agregué algunas más que estaban faltando. Las listas dinámicas corren en bajo nivel en el firewall y aprovechan el motor pf packet filter que hace famoso a pf-Sense. Eso quedó lujo y los tests que corrí muestran que el firewall ni se despeina filtrando unas 50k IPs. También en el proxy Nginx dejé corriendo CrowdSec junto con Fail2ban y ahora ambos alimentan de IPs maliciosas que detectan, al pf-Sense que las bloquea para toda la red. CrowdSec fue sugerencia de @j3j5 y luego de @ElenaMusk y valió la pena porque solo lo conocía de nombre, nunca lo había probado, muchas gracias por el apoyo y la ayuda. Pensé que era similar a Fail2ban pero se nota que es mucho más moderno y agarra IPs que Fail2ban no agarra, justamente por el análisis decomportamiento. Yo creo que estamos bastante bien ahora, con pfBlocker-NG, Suricata y DNSBL corriendo en pf-Sense y Fail2ban y CrowdSec corriendo en el proxy que a su vez retroalimenta a pf-Sense. #pfsense #crowdsec #dnsbl #suricata #seguridad #undernet #mastodon

Bueno, parece que los ataques de scraping estan cesando o por lo menos el bloqueo del firewall está siendo exitoso y permite más o menos respirar al servidor. Como últimas novedades, ayer terminé de migrar las listas de bloque de Alias y reglas manuales, a listas dinámicas automáticas, aparte de que agregué algunas más que estaban faltando. Las listas dinámicas corren en bajo nivel en el firewall y aprovechan el motor pf packet filter que hace famoso a pf-Sense. Eso quedó lujo y los tests que corrí muestran que el firewall ni se despeina filtrando unas 50k IPs. También en el proxy Nginx dejé corriendo CrowdSec junto con Fail2ban y ahora ambos alimentan de IPs maliciosas que detectan, al pf-Sense que las bloquea para toda la red. CrowdSec fue sugerencia de @j3j5 y luego de @ElenaMusk y valió la pena porque solo lo conocía de nombre, nunca lo había probado, muchas gracias por el apoyo y la ayuda. Pensé que era similar a Fail2ban pero se nota que es mucho más moderno y agarra IPs que Fail2ban no agarra, justamente por el análisis decomportamiento. Yo creo que estamos bastante bien ahora, con pfBlocker-NG, Suricata y DNSBL corriendo en pf-Sense y Fail2ban y CrowdSec corriendo en el proxy que a su vez retroalimenta a pf-Sense. #pfsense #crowdsec #dnsbl #suricata #seguridad #undernet #mastodon

:nextcloud: #Nextcloud Installationsanleitung für Ubuntu 26 :nextcloud:
Die Nextcloud-Installationsanleitung wurde nach ersten erfolgreichen Tests für Ubuntu 26.04 LTS veröffentlicht:
- #Ubuntu2604
- #Nextcloud latest (oder 32.x)
- #nginx
- #PHP 8.5
- #MariaDB 11.8
- #Redis - Server
- #fail2ban
- #crowdsec
- #ufw
- #hpb

👉 https://www.c-rieger.de/nextcloud-installationsanleitung-fuer-ubuntu-26-04-lts/

Wir freuen uns auf Eure Rückmeldungen.
Viel Spaß!

:nextcloud: #Nextcloud Installationsanleitung für Ubuntu 26 :nextcloud:
Die Nextcloud-Installationsanleitung wurde nach ersten erfolgreichen Tests für Ubuntu 26.04 LTS veröffentlicht:
- #Ubuntu2604
- #Nextcloud latest (oder 32.x)
- #nginx
- #PHP 8.5
- #MariaDB 11.8
- #Redis - Server
- #fail2ban
- #crowdsec
- #ufw
- #hpb

👉 https://www.c-rieger.de/nextcloud-installationsanleitung-fuer-ubuntu-26-04-lts/

Wir freuen uns auf Eure Rückmeldungen.
Viel Spaß!

:nextcloud: #Nextcloud Installationsanleitung für Ubuntu 26 :nextcloud:
Die Nextcloud-Installationsanleitung wurde nach ersten erfolgreichen Tests für Ubuntu 26.04 LTS veröffentlicht:
- #Ubuntu2604
- #Nextcloud latest (oder 32.x)
- #nginx
- #PHP 8.5
- #MariaDB 11.8
- #Redis - Server
- #fail2ban
- #crowdsec
- #ufw
- #hpb

👉 https://www.c-rieger.de/nextcloud-installationsanleitung-fuer-ubuntu-26-04-lts/

Wir freuen uns auf Eure Rückmeldungen.
Viel Spaß!

:nextcloud: #Nextcloud Installationsanleitung für Ubuntu 26 :nextcloud:
Die Nextcloud-Installationsanleitung wurde nach ersten erfolgreichen Tests für Ubuntu 26.04 LTS veröffentlicht:
- #Ubuntu2604
- #Nextcloud latest (oder 32.x)
- #nginx
- #PHP 8.5
- #MariaDB 11.8
- #Redis - Server
- #fail2ban
- #crowdsec
- #ufw
- #hpb

👉 https://www.c-rieger.de/nextcloud-installationsanleitung-fuer-ubuntu-26-04-lts/

Wir freuen uns auf Eure Rückmeldungen.
Viel Spaß!

:nextcloud: #Nextcloud Installationsanleitung für Ubuntu 26 :nextcloud:
Die Nextcloud-Installationsanleitung wurde nach ersten erfolgreichen Tests für Ubuntu 26.04 LTS veröffentlicht:
- #Ubuntu2604
- #Nextcloud latest (oder 32.x)
- #nginx
- #PHP 8.5
- #MariaDB 11.8
- #Redis - Server
- #fail2ban
- #crowdsec
- #ufw
- #hpb

👉 https://www.c-rieger.de/nextcloud-installationsanleitung-fuer-ubuntu-26-04-lts/

Wir freuen uns auf Eure Rückmeldungen.
Viel Spaß!

Gestern spät #crowdsec Agent ins #docker deployed und mit der #opnsense verkabelt ...
Leider fehlt mir noch Visualisierung und insight, aber die raw metrics im #prometheus über Nacht ...

:nextcloud: #Nextcloud Installationsskript / Ubuntu 26 :nextcloud:
Das Nextcloud-Installationsskript wurde nach ersten erfolgreichen Tests für Ubuntu 26.04 LTS veröffentlicht:
- #Ubuntu2604
- #Nextcloud latest (oder 32.x)
- #nginx
- #PHP 8.5
- #MariaDB 11.8
- #Redis - Server
- #fail2ban
- #crowdsec

👉 https://www.c-rieger.de/nextcloud-installationsskript/#v_ubuntu26

Wir empfehlen Ubuntu 26 derzeit noch *nicht* für den produktiven Einsatz für Nextcloud-Systeme - bitte verwendet vorerst noch Ubuntu 24.

Wir freuen uns auf Eure Rückmeldungen.
Viel Spaß!

:nextcloud: #Nextcloud Installationsskript / Ubuntu 26 :nextcloud:
Das Nextcloud-Installationsskript wurde nach ersten erfolgreichen Tests für Ubuntu 26.04 LTS veröffentlicht:
- #Ubuntu2604
- #Nextcloud latest (oder 32.x)
- #nginx
- #PHP 8.5
- #MariaDB 11.8
- #Redis - Server
- #fail2ban
- #crowdsec

👉 https://www.c-rieger.de/nextcloud-installationsskript/#v_ubuntu26

Wir empfehlen Ubuntu 26 derzeit noch *nicht* für den produktiven Einsatz für Nextcloud-Systeme - bitte verwendet vorerst noch Ubuntu 24.

Wir freuen uns auf Eure Rückmeldungen.
Viel Spaß!

#nerdgasms diesen Sonntag:

- #cachyOS ist das coolste, was meiner ghetto Battlestation und mir i.d. letzten 10 Jahren passiert ist. ausprobieren!

- #crowdsec hab ich irgendwie verpasst. Gibt nen plugin für die #opnsense, #prometheus exporter und ready made #grafana dashboards, ALTER!!

- Wer hat eigentlich "green" ethernet verbrochen? Habe damit an versch. Clients Probleme, ausschalten ist wohl die einzige Option

- "znb" *husthust* "dav" 🥸 gibts auf github, hab ich gehört

Три слоя защиты сервера: ipset, auto-block и CrowdSec

Ваши логи забиты попытками входа в .env , .git и wp-login.php ? Пока бот стучится в Nginx, ваш сервер уже тратит драгоценные ресурсы. Я решил перенести фильтрацию в ядро Linux и делюсь рабочим кейсом эшелонированной обороны на базе ipset и CrowdSec .

https://habr.com/ru/articles/1019778/

#WAF #ipset #iptables #CrowdSec #Битрикс #защита_сервера #безопасность #Linux #bashскрипты #информационная_безопасность

Wasted an hour debugging #Crowdsec and #nftables issues this morning only to realize it was me who added "debug_log: true" to the config and then didn't enable NFT_LOG in the kernel.

Oopsies

#linux

Etwas widersprüchlich: Einerseits ein hervorragendes Produkt für Netzwerksicherheit, andererseits werden auf der Website viele unschöne Online-Tools eingebunden.

#Tracker #Crowdsec #Ads #uberwachung #Firewall #ThreatIntelligence #uBlockOrigin #uBO #uBlock_Origin

https://www.crowdsec.net/

Etwas widersprüchlich: Einerseits ein hervorragendes Produkt für Netzwerksicherheit, andererseits werden auf der Website viele unschöne Online-Tools eingebunden.

#Tracker #Crowdsec #Ads #uberwachung #Firewall #ThreatIntelligence #uBlockOrigin #uBO #uBlock_Origin

https://www.crowdsec.net/

Etwas widersprüchlich: Einerseits ein hervorragendes Produkt für Netzwerksicherheit, andererseits werden auf der Website viele unschöne Online-Tools eingebunden.

#Tracker #Crowdsec #Ads #uberwachung #Firewall #ThreatIntelligence #uBlockOrigin #uBO #uBlock_Origin

https://www.crowdsec.net/

Still trying to determine if #Crowdsec is useful for me or not. I thought it was "plug and play" as a selling point, but I seem to have to do a lot of farting around with log parsers and such to get basic things like #exim logs looked at.

#gentoo

Still trying to determine if #Crowdsec is useful for me or not. I thought it was "plug and play" as a selling point, but I seem to have to do a lot of farting around with log parsers and such to get basic things like #exim logs looked at.

#gentoo

Still trying to determine if #Crowdsec is useful for me or not. I thought it was "plug and play" as a selling point, but I seem to have to do a lot of farting around with log parsers and such to get basic things like #exim logs looked at.

#gentoo

Still trying to determine if #Crowdsec is useful for me or not. I thought it was "plug and play" as a selling point, but I seem to have to do a lot of farting around with log parsers and such to get basic things like #exim logs looked at.

#gentoo

Still trying to determine if #Crowdsec is useful for me or not. I thought it was "plug and play" as a selling point, but I seem to have to do a lot of farting around with log parsers and such to get basic things like #exim logs looked at.

#gentoo

Who do you think you are?

47.128.32.0 - - [18/Mar/2026:00:48:01 +0100] "GET /robots.txt HTTP/1.1" 403 239 "-" "-" 1650 4269

#Amazon #AWS Singapore.

Good on you that #CrowdSec won't immediately block on a missing user-agent, but my httpd-ACL does.

#DarkVisitors #AI #Crawler #GenAI #SocialPermissionToBurnEnergy

🎉 cs-routeros-bouncer ya está en el CrowdSec Hub!

Bouncer que conecta CrowdSec con MikroTik: IPs maliciosas detectadas → bloqueadas en tu router en ms.

⚡ ~25k IPs en <3 min
🔧 Zero config manual en el router
🔄 Reconciliación al reiniciar
📊 Prometheus + Grafana dashboard
🐳 Docker / systemd / binario
🧪 >90% cobertura + tests en HW real

Escrito en Go desde cero.

📦 https://app.crowdsec.net/hub/author/jmrplens/remediation-components/cs-routeros-bouncer
💻 Repo: https://github.com/jmrplens/cs-routeros-bouncer

#CrowdSec #MikroTik #OpenSource #InfoSec #HomeLab #Golang

#HomeAssistant, #Vikunja todo list, and #Tandoor recipe manager are now migrated from my old webhost, to my new webhost.
Which is also secured by #CrowdSec.

@tux Bei mir rockt Q-Feeds und von der trefferquote erheblich mehr als bei crowdsec. Ich habe auch den Filfer vor Crowdsec eingestellt und bin für den Anfang sehr zufrieden. crodwsec lasse ich aber weiterhin am start. Vielleicht buche ich bei qfeeds auch den Plus Tarif, aber vorher muss bei mir noch Netzwerkbaustellen behoben sein.

Siehe auch mein Beitrag https://mastodon.social/@Hexangon/116177849491560245

#qfeeds #crowdsec

@tux Bei mir rockt Q-Feeds und von der trefferquote erheblich mehr als bei crowdsec. Ich habe auch den Filfer vor Crowdsec eingestellt und bin für den Anfang sehr zufrieden. crodwsec lasse ich aber weiterhin am start. Vielleicht buche ich bei qfeeds auch den Plus Tarif, aber vorher muss bei mir noch Netzwerkbaustellen behoben sein.

Siehe auch mein Beitrag https://mastodon.social/@Hexangon/116177849491560245

#qfeeds #crowdsec

@tux Bei mir rockt Q-Feeds und von der trefferquote erheblich mehr als bei crowdsec. Ich habe auch den Filfer vor Crowdsec eingestellt und bin für den Anfang sehr zufrieden. crodwsec lasse ich aber weiterhin am start. Vielleicht buche ich bei qfeeds auch den Plus Tarif, aber vorher muss bei mir noch Netzwerkbaustellen behoben sein.

Siehe auch mein Beitrag https://mastodon.social/@Hexangon/116177849491560245

#qfeeds #crowdsec

Nutzt jemand bereits Q-Feed? Gibt glaube ich seit 2025 und soll mittels Thread Inteligence alles besser machen und sich in bestehende Infrastruktur ergänzen. In meiner Live Übersicht unter #OPNsense Blockt es alles ab und lässt #Crowdsec richtig alt aussehen. Wenn man sich die Aliases anschaut dann sind viel mehr IP Adressen erfasst als bei Crowdsec. bringt Q-feed jetzt mehr an Sicherheit?

#QFeed #Firewall #QFeeds

https://qfeeds.com/

Nutzt jemand bereits Q-Feed? Gibt glaube ich seit 2025 und soll mittels Thread Inteligence alles besser machen und sich in bestehende Infrastruktur ergänzen. In meiner Live Übersicht unter #OPNsense Blockt es alles ab und lässt #Crowdsec richtig alt aussehen. Wenn man sich die Aliases anschaut dann sind viel mehr IP Adressen erfasst als bei Crowdsec. bringt Q-feed jetzt mehr an Sicherheit?

#QFeed #Firewall #QFeeds

https://qfeeds.com/

Nutzt jemand bereits Q-Feed? Gibt glaube ich seit 2025 und soll mittels Thread Inteligence alles besser machen und sich in bestehende Infrastruktur ergänzen. In meiner Live Übersicht unter #OPNsense Blockt es alles ab und lässt #Crowdsec richtig alt aussehen. Wenn man sich die Aliases anschaut dann sind viel mehr IP Adressen erfasst als bei Crowdsec. bringt Q-feed jetzt mehr an Sicherheit?

#QFeed #Firewall #QFeeds

https://qfeeds.com/

@marzlberger

Ich hatte mir tatsächlich das Video von #IPv64 seinerzeit angeschaut. Ist zwar etwas Älter aber im Grunde passt es. Der Eintrag im Video ist z.B nicht mehr nötig weil in der neuer Version vorhanden.

Plugin installieren und loslegen :-)

#Crowdsec #OPNsense #Plugin

https://www.youtube.com/watch?v=89-hkHrKGBI