Mir kamen mal paar Fragen in den Kopf, daher wollt ich mal horchen was Ihr davon so benutzt.
Eigentlich hab ich zu den jeweiligen Programmen noch zusätzliche Fragen, aber das würde in einem ganzen Fragebogen ausarten 
Wer Zeit und Lust hat der Möge doch bitte seine Stimme da lassen 
Umfrage geht bis Samstag dem 12.01.25
Setzt man crowdsec ein, wird man das wahrscheinlich in der Datenschutzerklärung angeben müssen, oder? (Die Ips die anklopfen werden ja weitergegeben)
Setzt man crowdsec ein, wird man das wahrscheinlich in der Datenschutzerklärung angeben müssen, oder? (Die Ips die anklopfen werden ja weitergegeben)
Es gibt ja Spezialisten, die bezweifeln, dass man IPs überhaupt ohne Zustimmung speichern darf, außer im RAM während der notwendigen Verarbeitung. Da frage ich mich dann, ob ich überhaupt noch fail2ban verwenden darf. Oder auch Swap, die IP könnte ja aus irgendwelchen Gründen ins Swapfile ausgelagert werden 
. Man kann es auch echt übertreiben. Angeblich sollte man dann IPs nur als Hashwerte speichern. Soll ich dann echt den Hashwert melden bei einer Abuse-Meldung? Oder den Hashwert der Staatsanwaltschaft übergeben? Na die werden sich freuen! Vielleicht könnte man ja auch Hashwerte eintragen in die DNS-Blocklists anstatt IPs. Schwierig, schwierig.
Setzt man crowdsec ein, wird man das wahrscheinlich in der Datenschutzerklärung angeben müssen, oder? (Die Ips die anklopfen werden ja weitergegeben)
Afaik nicht. Die IPs werden nur weitergegeben, wenn Crowdsec mit der Crowdsec Console verbunden ist. Und auch dann werden nur die IPs übermittelt, die Bockmist machen. Crowdsec kann auch komplett ohne Verbindung in die Cloud genutzt werden.
In die Runde:
Wie würden das grosse Firmen/Konzerne regeln? (da werden Feeds, Logs etc Stichwort SIEM aggregiert und blocklists genauso eingesetzt).
Was ich damit sagen will, jeder ist für den Schutz seiner Infrastruktur verantwortlich und damit ist es auch gesagt.
Ich hole diesen Thread nochmal hoch.
Wer von euch nutzt denn crowdsec oder ist von fail2ban auf crowdsec umgestiegen?
Lohnt es sich, in Crowdsec einzuarbeiten und es als Alternative, statt fail2ban zu nutzen?
Ich habe neben fail2ban u.a. auch noch eine WAF (modsecurity) und geoblocking am Start. Bringt mir crowdsec da überhaupt einen signifikanten Mehrwert?
Crowdsec hatte ich vor rund einem Jahr für mehrere Monate im Free-Tarif
auf mehreren Servern im Einsatz und war am Ende einfach nur genervt
davon.
Wenn das System lief, war die „Schutzwirkung“ aus meiner Sicht ungenügend. Auf
stark frequentierten Servern wurden nicht erwünschte Zugriffe im allerbesten
Fall um 30 - 40 % reduziert. Nicht erkannte IPs hatten darüber hinaus
weiter Zugriff, bis diese dann eventuell durch Standard-Szenarien erkannt und blockiert wurden. Das funktionierte meistens aber nur dann, wenn ein Angreifer mit 10 Verbindungen in der Sekunde auf den SSH-Port geballert hat. Bei allen anderen Zugriffsversuchen war die Erkennungsrate in der Standardkonfiguration absolut schlecht. Slow-Brutforce wurden sehr häufig gar nicht erkannt.
Crowdsec
ist darüber hinaus schwer zu konfigurieren. Meine Anpassungsversuche (Leakspeed,
Blackhole, etc.) haben immer dazu geführt, dass die Module als
"tainted" markiert wurden. Man muss eigene Szenarien anlegen und
einbinden, was aber ohne tiefergehende Einarbeitung nicht so einfach
möglich ist. Es ist aber überhaupt kein Vergleich zu Fail2Ban,
bei dem im einfachsten Fall drei Parameter konfiguriert werden müssen,
damit das System zuverlässig und dauerhaft unerwünschte Zugriffe blockiert.
Das Schlimmste war aber, dass nach Serverneustarts
die einzelnen Module von Crowdsec nicht immer zuverlässig gestartet wurden. Wenn irgendwas hängen blieb, funktionierte Crowdsec einfach gar nicht
mehr. Es gibt mehrere Logfiles, die man alle überprüfen muss, um
sicherzugehen, dass Crowdsec überhaupt läuft. Das Verhalten
konnte ich auf unterschiedlichen Servern unter Debian und Ubuntu
feststellen. Am Ende habe ich mir ein Script gebaut, um den Zustand der
einzelnen Deamons abzurufen und diese dann gegebenenfalls neu zu
starten. Super nervig und aus meiner Sicht das absolute K.-o.-Kriterium
gegen Crowdsec.
Am Ende bin ich bei Fail2Ban geblieben und habe
zusätzlich ein Geo-IP-Blocking auf dem SSH-Port aktiv. Damit bin ich
sehr zufrieden, die gesperrten Zugriffe kann ich an einer Hand abzählen.
OK. Danke für die Einschätzung.
Das ist schade. Ich dachte crowdsec wäre eine echte Alternative. 
EDIT:
Ich habe jetzt trotzdem mal auf einem Server fail2ban durch crowdsec ersetzt und bis jetzt gefällt es mir eigentlich recht gut und scheint auch das zu machen, was es soll.
Ich werde das nun mal beobachten...
