CrowdSec — это современная открытая IPS (Intrusion Prevention System), которая работает как улучшенная замена fail2ban. Ключевое отличие: все пользователи CrowdSec делятся информацией об атакующих IP, формируя коллективную базу угроз из миллионов источников.
CrowdSec vs fail2ban
| Функция | fail2ban | CrowdSec |
|---|---|---|
| Архитектура | Монолитная | Agent + Bouncer |
| Threat Intelligence | Только локальные логи | Глобальная shared DB |
| Проактивная блокировка | Нет | Да (известные атакующие) |
| Веб-дашборд | Нет | Да (app.crowdsec.net) |
| Коллекции сценариев | Только regex | YAML-сценарии, Hub |
| Лицензия | GPL | MIT (Community) |
Установка CrowdSec
curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.deb.sh | bash
apt install crowdsec -y
# Установить Nginx Bouncer (блокировщик)
apt install crowdsec-nginx-bouncer -y
# Или firewall bouncer
apt install crowdsec-firewall-bouncer-nftables -yУстановка коллекций сценариев
cscli collections list
cscli collections install crowdsecurity/nginx
cscli collections install crowdsecurity/wordpress
cscli collections install crowdsecurity/ssh-bf
cscli collections install crowdsecurity/linux-lpe
systemctl reload crowdsecУправление блокировками
cscli decisions list
cscli decisions add --ip 1.2.3.4 --duration 24h --reason "manual ban"
cscli decisions delete --ip 1.2.3.4
cscli alerts list --limit 20Мониторинг метрик
cscli metrics
cscli bouncers list
cscli machines list
CrowdSec Hub: На app.crowdsec.net доступен бесплатный дашборд с графиками атак, картой источников угроз и управлением вашими агентами.
CrowdSec не заменяет настройку firewall и SSH hardening — это дополнительный слой. Используйте его в связке с ufw/nftables и правилами sshd_config.