CrowdSec est un IPS open-source qui a une approche collaborative : il analyse les logs, détecte les comportements malveillants, bloque les IPs, et partage ces décisions avec la communauté. En retour tu profites des blocages remontés par des milliers d'autres installations.
Logs Nginx / SSH
â
[Agent CrowdSec] â parse + dĂ©tecte via scĂ©narios
â
[DB locale] â dĂ©cisions (ban/captcha)
â
[Bouncer NPM] â applique les dĂ©cisions (HTTP 403)
â
[Push CTI] â partage avec la communautĂ©
| Scénario | Ce qu'il détecte |
|---|---|
crowdsecurity/nginx-req-limit-exceeded |
Rate limit Nginx |
crowdsecurity/http-crawl-non_statics |
Crawlers/scrapers |
crowdsecurity/http-bad-user-agent |
User-agents de scanners connus |
crowdsecurity/ssh-bf |
Brute-force SSH |
# voir les IPs bannies
docker exec crowdsec cscli decisions list
# derniĂšres alertes
docker exec crowdsec cscli alerts list --limit 20
# bannir une IP manuellement
docker exec crowdsec cscli decisions add --ip 1.2.3.4 --duration 24h
# débannir (si faux positif)
docker exec crowdsec cscli decisions delete --ip 1.2.3.4
Les faux positifs arrivent assez rarement mais ça arrive, notamment quand je fais des tests depuis mon propre réseau.