Einrichten einer Multi-Server-Sicherheitsmotoreninstallation

Dieser Handbuch zeigt, wie Sie eine Multi-Server-Crowdec-Sicherheits-Engine konfigurieren und die kollektive Sicherheit Ihres Netzwerks verbessern. Ein Server fungiert als Elternteil (Server-1) und empfängt Warnungen von untergeordneten Protokollprozessoren (Server-2 und Server-3). Diese Architektur ermöglicht die Erkennung und Sanierung der verteilten Bedrohung.

Server-1, der übergeordnete, hostet die HTTP-REST-API (LAPI) und verwaltet die Signalspeicherung und -verteilung. Server-2 und Server-3, die Kinder, sind im Internet ausgerichtet und leiten Warnungen an Server-1 weiter. Die von Sanierungskomponenten verwaltete Sanierung ist unabhängig von der Erkennung und stützt sich auf den Lapi von Server-1. Kinderprotokollprozessoren haben ihre Lapi deaktiviert, um Ressourcen zu erhalten.

Schlüsselüberlegungen:

• Ein Postgresql-Backend wird für die LAPI von Server-1 für eine erweiterte Stabilität empfohlen (obwohl SQLite mit Wal eine praktikable Alternative ist).
• erfordert drei Ubuntu 22.04 Server: ein übergeordnetes und zwei Kinder, die über ein lokales Netzwerk verbunden sind.

Setup -Schritte:

1. Parent Lapi Server (Server-1):

• Installieren Sie Crowdsec: Befolgen Sie die Installationshandbuch und verwenden Sie die angegebenen Befehle:

  curl -s https:/packagecloud.io/install/repositories/crowdsec/crowdsec/script.deb.sh | sudo bash
  sudo apt install crowdsec

• (optional) PostgreSQL -Setup: Wenn Sie PostgreSQL verwenden, installieren Sie es (sudo apt install postgresql), erstellen Sie die crowdsec -Datenbank und den Benutzer, Gewährung von Berechtigungen und aktualisieren /etc/crowdsec/config.yaml s db_config entsprechend. Regeneration von Anmeldeinformationen regenerieren und Crowdsec neu starten.

  sudo -i -u postgres
  psql
  # ... PostgreSQL commands ...
  sudo cscli machines add -a –force
  sudo systemctl restart crowdsec

• LAPI -Port enthüllen: modifizieren Sie /etc/crowdsec/config.yaml, um den LAPI -Anschluss freizulegen (z. B. 10.0.0.1:8080).

  api:
    server:
      listen_uri: 10.0.0.1:8080

2. Kinderprotokollprozessoren (Server-2 & Server-3):

• Installieren Sie Crowdsec: Verwenden Sie dieselben Installationsbefehle wie Server-1.

• Registrieren Sie sich bei LAPI: Registrieren Sie jedes Kind mit dem LAPI von Server-1:

  sudo cscli lapi register -u http://10.0.0.1:8080

• Deaktivieren Sie die untergeordnete Lapi: Deaktivieren Sie die lokale API in /etc/crowdsec/config.yaml:

  api:
    server:
      enable: false

• Validieren Sie die Registrierung: auf Server-1 validieren Sie jedes Kind mit cscli machines list und cscli machines validate <machine_id></machine_id>.

• starten Sie Crowdsec neu: starten Sie Crowdsec bei jedem Kind neu.

3. Sanierung (Server-2 & Server-3):

• generieren Sie den API-Schlüssel: auf Server-1, generieren Sie für jedes Kind einen API-Schlüssel mit cscli bouncers add <bouncer_name></bouncer_name>.

• Sanierungskomponente installieren: Die cs-firewall-bouncer-iptables -Komponente installieren.

• Konfigurieren Sie die Sanierungskomponente: Konfigurieren Sie /etc/crowdsec/bouncers/crowdsec-firewall-bouncer.yaml mit der API -URL und dem Schlüssel.

• Neustart die Sanierungskomponente: starten Sie den crowdsec-firewall-bouncer Service neu.

Wichtige Hinweise:

• Kommunikation zwischen den Servern ist derzeit unverschlüsselt HTTP (betrachten Sie HTTPS für die Produktion).
• Dieses Setup fehlt die Überwachung und Alarmierung (finden Sie in der Crowdec -Dokumentation für Einzelheiten).
• Server-1 ist ein einzelner Fehlerpunkt.

Dieses erweiterte Setup bietet eine robustere und skalierbare Sicherheitsposition. Zukünftige Artikel behandeln Konfigurationen mit hohen verfügbaren Konfigurationen. Engagieren Sie sich mit der Crowdec -Community für Unterstützung und Feedback.

Das obige ist der detaillierte Inhalt vonEinrichten einer Multi-Server-Sicherheitsmotoreninstallation. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!