Dans ce nouveau billet, nous allons voir comment centraliser les logs avec Rsyslog afin de les faire parser par un seul agent Crowdsec. Seul les bouncers tourneront sur les machines à protéger. Nous verrons aussi comment configurer Crowdsec afin de lui passer les chemins personnalisés vers les fichiers de logs.
Les bouncers (les "videurs" comme en boite de nuit) appliquent les décisions récupérés depuis l'API de Crowdsec. Dans notre cas, notre bouncer installé sur le serveur Nginx va récupérer les décisions (communautaires et locales) sur le serveur Crowdsec Local API et bloquer les IP des attaquants.
Maintenant que notre serveur CS Local API est monté et son API sécurisée, nous allons connecter un agent (qui permettra de remonter les alertes et les décisions).
Dans ce premier article, nous allons monter le serveur Crowdsec Local API et sécuriser l'accès à l'API.
Ayant découvert et mis en place récemment Crowdsec, j'ai décidé d'alimenter mon blog en commençant par une série d'articles pratiques sur cette formidable solution.
Mon dernier blog sur l'informatique (réellement maintenu) remonte à 10 ans au moins. Tous mes blogs ont été auto-hébergés sauf un que j'avais réalisé en 2005 sur over-blog.com. D'ailleurs il existe toujours. En fait j'en ai fait pas mal. Il faut dire que je n'avais pas d'enfants et que j'avais du te...