CrowdSec：Linux的开源协作网络安全项目

人群安全 这是一个新的安全项目 设计用于保护服务器，服务，容器或虚拟机 通过服务器端代理在Internet上公开。 受启发 Fail2Ban 它旨在成为该入侵防御框架的协作和现代化版本。

从某种意义上说，他是Fail2Ban的后代，该项目诞生于XNUMX年前。 然而， 提供更现代的协作方式 以及其自身的技术基础来应对现代环境。

CrowdSec， 用Golang编写的，它是一个安全自动化引擎，它基于IP地址的行为和信誉。

该软件可以在本地检测行为，管理威胁，还可以通过共享检测到的IP地址与您的用户网络进行全局协作。

这使每个人都可以预防性地阻止他们。 目标是建立一个庞大的IP信誉数据库，并确保参与其充实的人们免费使用它。

CrowdSec如何工作？

Crowdsec是一个模块化和可插入的框架，它包含各种著名的流行方案，用户可以从想要保护自己的方案中进行选择，还可以轻松添加新的自定义方案以更好地适应其环境。

目标是在尽可能多的环境中实施该软件。  它的快速执行，与容器的兼容性，在云环境中的易用性以及在UNIX，macOS或Windows生态系统中运行的能力：所有这些使我们能够涉足整个市场。

行为分析引擎

这是第一层保护。 使用YAML定义的方案来关联事件 它们进入泄漏的储液罐，如果储液罐溢出，则会发出信号。 然后，您可以使用保镖来应用您选择的答案。

信誉引擎

信誉引擎是一个非常简单的原理， 但很难配置。 基本上 每个CrowdSec安装都可以从IP黑名单中受益 由我们的中央API进行组织和分发。 如果您使用的是LAMP，则不需要攻击Windows等其他技术堆栈的IP地址。

该数据库由所有CrowdSec实例提供，这些实例的信号由我们的API集中过滤和处理。 黑客的误报和盗窃企图是一个真正的问题，因此需要处理来自CrowdSec设施的信号。

我们认为我们有一个很好的解决方案，我们称之为共识。 这涉及各种技术，例如检查来自其他受信任成员的信号，我们自己的诱饵网络（蜜罐），金丝雀列表（IP地址白名单）等。

我们的目标是仅分发100％可靠的列表。 同样，确定谁是危险的以及何时是危险的高度依赖于特定的环境和时间段。 例如，昨天被视为干净的IP地址今天可能会受到威胁，管理员可以在第二天对其进行清理。 SSH查找的IP地址对您的TSE来说并不危险。

显示

软件 包括基于Metabase的轻型本地显示系统。 也是CrowdSec 配备了普罗米修斯 提供可观察性和警报功能。

信誉引擎目前拥有超过103.000个“共识” IP地址 （已通过中毒和反假阳性测试）。

迄今为止，该社区的成员来自六大洲的五十多个国家。

尽管该软件目前看起来像固定的Fail2Ban， 目标是利用人群的力量来创建高度准确的IP信誉数据库。 当CrowdSec退回特定IP时，触发的方案和时间戳将发送到我们的API，以进行验证并集成到不良IP的全球共识中。

CrowdSec是免费且开源的（根据MIT许可），其源代码可在GitHub上获得。 它目前可用于Linux，并且在路线图中具有macOS和Windows的端口

数据来源： https://doc.crowdsec.net/