38aaadbfb1
Обновлена документация под новые аддоны (gitlab, redis, mongodb, kafka, kafka-ui, rabbitmq) и новую модель явного выбора зависимостей. Добавлены и унифицированы описания переключателей *_database_mode и *_redis_mode, обновлена таблица зависимостей аддонов, примеры конфигурации и список vault-секретов.
3.0 KiB
3.0 KiB
CrowdSec
Система обнаружения и блокировки вторжений (IDS/IPS). Анализирует логи ingress-nginx и системные логи, блокирует вредоносные IP через bouncer. Поддерживает интеграцию с CrowdSec Central API для использования глобальной базы угроз.
Быстрый старт
# group_vars/all/addons.yml
addon_crowdsec: true
make addon-crowdsec
Параметры
| Переменная | Умолч. | Описание |
|---|---|---|
crowdsec_instance_name |
k3s-cluster |
Имя инстанса в Central API |
crowdsec_collections |
linux nginx kubernetes |
Набор правил обнаружения |
crowdsec_nginx_bouncer_enabled |
false |
Включить блокировку через nginx |
crowdsec_enroll_key |
vault_crowdsec_enroll_key |
Ключ энролмента (опционально) |
Энролмент в CrowdSec Central API (опционально)
Позволяет использовать глобальную базу угроз и видеть свой инстанс на app.crowdsec.net.
- Зарегистрируйся на https://app.crowdsec.net
- My Instances → Add Instance → скопируй ключ
- Задай в
vault.yml:
vault_crowdsec_enroll_key: "твой-ключ"
Nginx Bouncer
Блокирует вредоносные IP прямо в ingress-nginx. Требует addon_ingress_nginx: true.
crowdsec_nginx_bouncer_enabled: true
После установки в ingress-nginx автоматически добавляются аннотации для проверки IP через CrowdSec LAPI.
Мониторинг решений
kubectl exec -n crowdsec deployment/crowdsec-lapi -- cscli decisions list
kubectl exec -n crowdsec deployment/crowdsec-lapi -- cscli alerts list
kubectl exec -n crowdsec deployment/crowdsec-lapi -- cscli metrics
Добавить IP в whitelist
kubectl exec -n crowdsec deployment/crowdsec-lapi -- \
cscli decisions add --type whitelist --value "192.168.1.0/24" --reason "local network"
Добавить коллекции парсеров
crowdsec_collections: "crowdsecurity/linux crowdsecurity/nginx crowdsecurity/kubernetes crowdsecurity/sshd"
Настройка acquisition (какие логи читать)
crowdsec_acquisition:
- namespace: ingress-nginx
podName: "ingress-nginx-controller-*"
program: nginx
- namespace: gitea
podName: "gitea-*"
program: gitea
Официальные ресурсы
- Официальный сайт: https://www.crowdsec.net/
- Официальная документация: https://docs.crowdsec.net/
- Версии Helm chart / ПО: https://artifacthub.io/packages/helm/crowdsec/crowdsec