Inizio questo 2022 testando CrowdSec in vista di rifare un server importante up da anni ed ormai non più coperto da aggiornamenti LTS. Attualmente ci uso csf/lfd e prima di scegliere se riusarlo nel nuovo volevo provare qualcosa di più fresco, che non fosse fail2ban.
La configurazione in formato yaml è molto intuitiva e semplice, durante l’installazione da repository si autoconfigura in base ai log che trova e funziona out-of-the-box subito, tranne il bouncer che di default non è attivato… motivo per cui scrivo questo post, ovvero appuntarmi che il bouncer va attivato come servizio, sennò non blocca nessuno:
systemctl enable crowdsec-firewall-bouncer
E se durante i test vi fate bloccare bisogna sapere che utilizza ipset (che non conoscevo ancora) e per sbloccarvi dovete lanciare:
ipset del crowdsec-blacklists IP.xxx.yyy.xxx
la cui lista troverete già popolata da un bel po’ di IP mascarati, che non siciliano non vuol dire nattati col masquerade ma bensì poco raccomandabili.
Mi piace il concept implementativo di questa applicazione, anche se out-of-the-box non ha notifiche email per le azioni (anche se ha svariati plugin) ed a differenza di csf non imposta alcuna impalcatura firewall atta a rilevare e bannare i port scanners (che per alcuni server rompono i coglioni più che i brute force login): la policy di firewall dovete integrarla voi.
Non so ancora se userò di nuovo csf o CrowdSec, manca qualche feature a cui ero abituato ma comunque mi sta piacendo, lo seguo e se continuerò a smanettarci scriverò cosa sono riuscito a farci!