CrowdSec是一种自托管开源 IDS/IPS 安全解决方案,可保护服务器、服务、容器和应用程序免受恶意流量的侵害,目前已推出 1.7 版本。
最主要的新功能是一个新cscli setup命令。它不再需要手动调整,而是可以开箱即用地自动检测更多服务。这包括 Linux、BSD 和 Windows,不过目前,自动检测功能仅在 DEB 和 RPM 软件包的安装过程中运行。
用户还可以在设置过程中提供自己的检测配置,这对于自定义日志路径或非标准服务非常方便。更棒的是,如果您使用 Ansible 或其他配置管理器运行,则可以完全跳过检测。
CrowdSec 1.7 还添加了使用情况指标,以提高可见性。日志处理器现在会报告每个数据源读取和解析的行数,以及解析器统计信息,例如已解析、未解析或列入白名单的事件。这些数字将发送到 LAPI,可以使用 查看cscli machines inspect。在后续版本中,团队计划在控制台中显示这些信息,以帮助标记错误配置。
在容器方面,CrowdSec 的 Docker 数据源现在在管理器节点上部署时支持 Swarm。但是,您应该注意一个重大更改:从 1.7 版本开始,在 Docker 或 Podman 中运行 CrowdSec 需要在“ /var/lib/crowdsec/data/ ”处挂载一个卷。如果没有该卷,容器将无法启动。Kubernetes 用户不受影响。
对于 Web 应用防火墙,与 OWASP 核心规则集的集成已得到加强,并且正在努力使这些保护措施更加顺畅。此外,新的表达式助手可以计算事件之间的平均时间和中值时间。这使得能够捕获传统检测规则可能遗漏的极慢的暴力破解尝试。
最后,旧cscli dashboard命令已移除。建议仍在使用 Metabase 仪表盘的用户迁移到 CrowdSec 的在线控制台app.crowdsec.net。
有关更多信息,请参阅变更日志。
