crowdsec

<p align="center"> <img src="https://yellow-cdn.veclightyear.com/0a4dffa0/68940846-5252-4f8d-b872-5b53e513d2ac.png" alt="CrowdSec" title="CrowdSec" width="400" height="260"/> </p> </br> </br> </br> <p align="center"> <img src="https://yellow-cdn.veclightyear.com/0a4dffa0/6b84bfc2-dd58-4fb8-b1e7-4aebcb4865cb.svg"> <img src="https://yellow-cdn.veclightyear.com/0a4dffa0/34ccfc67-e729-4049-8785-d24db8b12b40.svg"> <a href="https://codecov.io/gh/crowdsecurity/crowdsec"> <img src="https://yellow-cdn.veclightyear.com/0a4dffa0/a956792a-fa3a-41bc-aeba-359d269e0233.svg?token=CQGSPNY3PT"/> </a> <img src="https://goreportcard.com/badge/github.com/crowdsecurity/crowdsec"> <a href="https://pkg.go.dev/github.com/crowdsecurity/crowdsec"><img src="https://yellow-cdn.veclightyear.com/0a4dffa0/13bfac19-f1fa-420f-84ba-2b4c6646fd8f.svg" alt="Go Reference"></a> <img src="https://img.shields.io/github/license/crowdsecurity/crowdsec"> <img src="https://img.shields.io/endpoint?url=https://gist.githubusercontent.com/AlteredCoder/ed74e50c43e3b17bdfc4d93149f23d37/raw/crowdsec_parsers_badge.json"> <img src="https://img.shields.io/endpoint?url=https://gist.githubusercontent.com/AlteredCoder/ed74e50c43e3b17bdfc4d93149f23d37/raw/crowdsec_scenarios_badge.json"> <a href="https://hub.docker.com/r/crowdsecurity/crowdsec"> <img src="https://img.shields.io/docker/pulls/crowdsecurity/crowdsec?logo=docker"> </a> <a href="https://discord.com/invite/crowdsec"> <img src="https://img.shields.io/discord/921520481163673640?label=Discord&logo=discord"> </a> </p> <p align="center"> :computer: <a href="https://app.crowdsec.net">控制台（网页应用）</a> :books: <a href="https://doc.crowdsec.net">文档</a> :diamond_shape_with_a_dot_inside: <a href="https://hub.crowdsec.net">配置中心</a> :speech_balloon: <a href="https://discourse.crowdsec.net">讨论区（论坛）</a> :speech_balloon: <a href="https://discord.gg/crowdsec">Discord（实时聊天）</a> </p>

:dancer: 这是一个社区驱动的项目，<a href="https://forms.gle/ZQBQcptG2wYGajRX8">我们需要您的反馈</a>。

<概述>

CrowdSec 是一个免费、现代且协作的行为检测引擎，结合了全球 IP 信誉网络。它基于 fail2ban 的理念，但兼容 IPV6 且速度快 60 倍（Go 语言 vs Python），它使用 Grok 模式解析日志，并使用 YAML 场景识别行为。CrowdSec 专为现代云/容器/基于虚拟机的基础设施而设计（通过解耦检测和补救）。一旦检测到威胁，您可以使用各种拦截器（防火墙阻止、nginx http 403、验证码等）来补救威胁，同时可将攻击性 IP 发送给 CrowdSec 进行审核，然后在所有用户之间共享，以进一步提高每个人的安全性。更多信息请参阅常见问题或继续阅读下文。

2分钟安装

通过您操作系统的包管理系统安装是最简单的方法。 否则，您可以从源代码安装。

通过包管理器安装（Debian）

curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.deb.sh | sudo bash
sudo apt-get update
sudo apt-get install crowdsec

通过包管理器安装（rhel/centos/amazon linux）

curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.rpm.sh | sudo bash
sudo yum install crowdsec

通过包管理器安装（FreeBSD）

sudo pkg update
sudo pkg install crowdsec

从源代码安装

wget https://github.com/crowdsecurity/crowdsec/releases/latest/download/crowdsec-release.tgz
tar xzvf crowdsec-release.tgz
cd crowdsec-v* && sudo ./wizard.sh -i

:information_source: 关于 CrowdSec 项目

Crowdsec 是一个开源、轻量级的软件，用于检测具有攻击性行为的对等节点，以防止它们访问您的系统。其用户友好的设计和辅助功能提供了较低的技术门槛，同时带来高度的安全收益。

架构如下：

<p align="center"> <img src="https://yellow-cdn.veclightyear.com/0a4dffa0/77e3acc1-a27d-4355-ba4b-5326f4a18719.png" alt="CrowdSec" title="CrowdSec"/> </p>

一旦检测到不受欢迎的行为，就通过拦截器来处理它。攻击性 IP、触发的场景和时间戳会被发送进行审核，以避免污染和误报（这可以被禁用）。如果经过验证，这个 IP 就会被重新分发给所有运行相同场景的 CrowdSec 用户。

共同对抗黑客

通过共享他们面临的威胁，所有用户都在相互保护（因此名为 Crowd-Security）。CrowdSec 专为现代基础设施设计，采用"此处检测，彼处补救"的方法，让您可以在一个地方分析来自多个源的日志，并在堆栈的各个层面（应用、系统、基础设施）阻止威胁。 CrowdSec默认提供适用于大多数场景的情景（暴力破解、端口扫描、网页扫描等），但你可以通过从**HUB**中选择更多情景来轻松扩展它。修改现有情景或创建新情景也很容易。

:point_right: 它不是什么

CrowdSec不是一个SIEM系统，不会存储你的日志（无论是本地还是远程）。你的数据只会在本地进行分析，然后被遗忘。

发送到审核平台的信号仅限于最少的必要信息：IP、情景和时间戳。这些信息仅用于帮助系统识别新的恶意IP，并排除误报或投毒尝试。

:arrow_down: 安装它！

CrowdSec可用于多个平台：

• 使用我们的debian软件源或官方debian软件包
• Docker用户可以使用镜像
• 提供预构建的发布包（适用于amd64）
• 你也可以从源代码构建

或直接查看安装文档了解其他方法和平台。

:tada: 主要优势

快速辅助安装，无技术门槛

<details open> <summary>初始配置是自动化的，提供开箱即用的功能设置</summary> <img src="https://yellow-cdn.veclightyear.com/0a4dffa0/393074b5-ba5f-44ce-95a5-f5b8108d203d.gif?raw=true"> </details>

开箱即用的检测

<details> <summary>基线检测开箱即用，无需微调（点击展开）</summary> <img src="https://yellow-cdn.veclightyear.com/0a4dffa0/21d025bc-5410-411a-8dab-cf458ab19ef2.gif?raw=true"> </details>

轻松部署拦截器

<details> <summary>添加拦截器来执行crowdsec的决策非常简单（点击展开）</summary> <img src="https://yellow-cdn.veclightyear.com/0a4dffa0/053ec029-9bf1-42fb-89c5-912ab44e063d.gif?raw=true"> </details>

轻松访问仪表板

<details> <summary>使用cscli可以轻松部署metabase界面来查看你的数据（点击展开）</summary> <img src="https://yellow-cdn.veclightyear.com/0a4dffa0/2a6fb083-d995-4e4c-888e-75a868bdf70c.gif?raw=true"> </details>

热日志和冷日志

<details> <summary>处理冷日志，用于取证、测试以及追查误报和漏报（点击展开）</summary> <img src="https://yellow-cdn.veclightyear.com/0a4dffa0/86bd49de-0b17-462b-bc3a-a177c5dd5e50.gif?raw=true"> </details>

📦 关于此仓库

这个仓库包含crowdsec的两个主要组件的代码：

• crowdsec：类似于fail2ban的守护进程，可以读取、解析、丰富日志并应用启发式算法。这个组件负责"检测"攻击。
• cscli：主要用于与crowdsec交互的命令行工具：禁止/解禁/查看当前禁止列表，启用/禁用解析器和情景。

贡献

如果你希望为crowdsec的核心做出贡献，欢迎在此仓库中提交PR。

如果你希望添加新的解析器、情景或集合，请在hub仓库中提交PR。

如果你希望为文档做出贡献，请在文档仓库中提交PR。