Принцип работы CrowdSec

Мы уже рассказывали о назначении и основных возможностях такого инструмента, как CrowdSec. Теперь давайте рассмотрим принцип работы этого open source-решения.

Описываемая система включает в себя 3 основных компонента:

• агент CrowdSec — это служба мониторинга, отслеживающая логи системных сервисов, указанных в настройке, к примеру, Apache2, nginx, WordPress, netfilter. Цель отслеживания -- определить атаки и потенциально опасные/нежелательные действия;
• утилита управления службой из командной строки cscli;
• баунсеры (bouncers) — отдельные программные части, которые отвечают за выполнение решений, принятые CrowdSec-агентом. О чем идет речь? Например, о блокировке IP, вводе капчи, применении MFA и т. д.

На картинке ниже -- архитектура CrowdSec:

Здесь вы можете найти модули интеграции (bouncers):

К примеру, модуль для Nginx осуществляет сверку каждого нового IP-адреса в логе с базой данных, причем он делает это до того, как web-сервер предоставит ответ на запрос либо выдаст ошибку 403. А вот что касается, допустим, модуля firewall, то он просто добавляет вредоносные IP-адреса в черный список nftables/ipset. И так далее. Количество модулей постоянно увеличивается.

По материалам https://tproger.ru/.