Crowdsec：一款面向Linux的现代化协作式大型多人防火墙

在网络威胁日益严峻的今天，为你的服务器和网站提供智能、主动的防护至关重要。CrowdSec，作为一款免费且开源的协作式安全自动化引擎，正是我们寻找的理想解决方案。它能智能检测恶意行为，并通过全球IP信誉网络实现先发制人的防御。今天就为大家带来一份清晰的CrowdSec安装教程，只需简单三步，即可为你的服务器和网站构建强大的安全防线！

CrowdSec工作原理简述

CrowdSec的核心是其安全引擎。它通过分析服务器日志（如Web服务器访问日志、SSH登录日志等），根据预设的“场景”（scenarios）识别出恶意行为。一旦检测到恶意行为，CrowdSec引擎就会生成一个“决策”（decision），例如“封禁此IP地址”。

要让这些决策真正生效，就需要部署阻断器（Remediation Component）。阻断器是CrowdSec引擎与你的实际应用（如Web服务器、WordPress网站、防火墙）之间的桥梁。它会从CrowdSec引擎获取决策，并根据决策在相应的层面执行阻断操作，从而实现对恶意流量的拦截。

开源地址：https://github.com/crowdsecurity/crowdsec

CrowdSec的这种引擎+阻断器的分离设计，使其非常灵活，可以根据你的具体基础设施（如Nginx、Apache、Cloudflare、WordPress等）选择最合适的阻断方式，实现多层次、全方位的防护。

CrowdSec安装与配置：三步走战略

第一步：安装CrowdSec安全引擎（Detect attacks with Security Engine）

CrowdSec引擎是整个安全防护体系的核心。它负责日志分析、威胁检测和决策生成。

1. 准备工作：检查端口
   在安装之前，你可能需要检查CrowdSec将使用的端口，以确保没有冲突。CrowdSec默认使用 8080 端口作为其本地API。

2. 下载并执行安装脚本（Linux）
   CrowdSec提供了一个便捷的安装脚本，适用于多种Linux发行版。

   • 打开你的服务器SSH终端。

   • 执行以下命令下载并运行安装脚本：
     bash curl -s https://install.crowdsec.net | sudo sh
     这条命令会检测你的Linux发行版，并自动为你安装适合的CrowdSec包。

   • 对于Debian/Ubuntu系统：
     如果 curl 命令未能自动完成安装，你可以尝试使用以下命令：
     bash sudo apt install crowdsec

   • 其他Linux发行版：
     针对EL/CentOS7、EL/CentOS8、Amazon Linux 2、OpenWRT等系统，安装方法可能略有不同。主题铺建议查阅CrowdSec的官方文档（https://docs.crowdsec.net/）获取更详细的安装指南。

　　3.通过docker-compose部署CrowdSec

安装完成后，CrowdSec服务通常会自动启动。你可以通过 sudo systemctl status crowdsec 命令来检查其运行状态。

第二步：安装阻断器（Block attacks with Remediation Component）

安全引擎检测到攻击后，需要阻断器来实际执行封禁操作。CrowdSec提供了多种阻断器，你可以根据你的服务器和应用选择最适合的。

以下是几种常见的阻断器类型，你可以点击相应的链接查看详细的安装指南：

• 防火墙阻断器 (Firewall)：

  • 用途：直接在服务器的防火墙（如 iptables 或 nftables）层面阻断恶意IP。这是最底层、最有效的阻断方式，适用于所有基于IP的攻击。

• Nginx阻断器 (Nginx)：

  • 用途：保护你的Nginx Web服务器。它通过Nginx的模块或配置，在HTTP请求到达你的网站应用之前就进行拦截。

• Apache阻断器 (Apache)：

  • 用途：保护你的Apache Web服务器。与Nginx阻断器类似，它在Apache层面进行拦截。

• WordPress插件 (WordPress)：

  • 用途：作为WordPress网站的应用层防护。它是一个WordPress插件，直接在WordPress内部检查并阻断恶意IP。

• Cloudflare阻断器 (Cloudflare)：

  • 用途：将CrowdSec的封禁决策同步到Cloudflare的防火墙规则中，利用Cloudflare的全球网络进行边缘阻断。

• AWS WAF阻断器 (AWS WAF)：

  • 用途：自动将CrowdSec的规则添加到AWS WAF ACL中，管理IPSet。

• HAProxy阻断器 (HAProxy)：

  • 用途：利用HAProxy的Lua API，在负载均衡器层面检查IP地址并进行阻断。

• PHP阻断器 (PHP)：

  • 用途：在PHP应用层面保护，检查IP地址是否被CrowdSec标记。

建议： 对于大多数WordPress网站，推荐至少安装防火墙阻断器和你的Web服务器（Nginx/Apache）阻断器。如果你使用了Cloudflare，其阻断器也非常强大。WordPress插件则提供了额外的应用层防护。

第三步：连接到CrowdSec控制台（Connect with the Console）

CrowdSec控制台是一个强大的管理平台，可以让你集中管理所有的CrowdSec引擎，接收警报，并查看全球共享的IP信誉数据。

1. 创建CrowdSec账户：

   • 访问CrowdSec官方网站，点击【Start using the Console】（或搜索“CrowdSec Console”）。

   • 创建一个CrowdSec控制台账户。

2. 注册你的安全引擎：

   • 登录控制台后，你需要将你的CrowdSec安全引擎注册到控制台。

   • 控制台会提供一个简单的命令，你需要在服务器SSH中执行该命令，将引擎与你的账户关联。

   • 例如：sudo cscli console enroll [YOUR_ENROLL_KEY]

3. 开始接收警报和管理安全：

   • 一旦引擎成功注册，你就可以在CrowdSec控制台中实时查看你的服务器生成的安全警报、被封禁的IP列表，并管理你的安全策略。