Configuration d'une installation de moteur de sécurité multi-serveur

Ce guide montre comment configurer un moteur de sécurité Crowdsec multi-serveur, améliorant la sécurité collective de votre réseau. Un serveur agit en tant que parent (serveur-1), recevant des alertes des processeurs de journal des enfants (Server-2 et Server-3). Cette architecture permet la détection et la correction des menaces distribuées.

Server-1, le parent, héberge l'API HTTP REST (LAPI) et gère le stockage et la distribution des signaux. Server-2 et Server-3, les enfants, sont des alertes orientées sur Internet sur le serveur-1. L'assainissement, géré par les composants de remédiation, est indépendant de la détection et repose sur LAPI de Server-1. Les processeurs de journaux d'enfants ont leur lapi désactivé pour conserver les ressources.

Considérations clés:

• Un backend PostgreSQL est recommandé pour le LAPI de Server-1 pour une stabilité améliorée (bien que Sqlite avec WAL soit une alternative viable).
• nécessite trois serveurs Ubuntu 22.04: un parent et deux enfants, connectés via un réseau local.

Étapes de configuration:

1. Parent Lapi Server (Server-1):

• Installez Crowdecsec: Suivez le guide d'installation et utilisez les commandes fournies:

  curl -s https:/packagecloud.io/install/repositories/crowdsec/crowdsec/script.deb.sh | sudo bash
  sudo apt install crowdsec

• (facultatif) Configuration postgreSQL: Si vous utilisez PostgreSQL, installez-le (sudo apt install postgresql), créez la base de données crowdsec et l'utilisateur, les privilèges de subvention et la section /etc/crowdsec/config.yaml db_config en conséquence. Régénérer les informations d'identification et redémarrer la crowdec.

  sudo -i -u postgres
  psql
  # ... PostgreSQL commands ...
  sudo cscli machines add -a –force
  sudo systemctl restart crowdsec

• Exposer le port LAPI: Modifier /etc/crowdsec/config.yaml pour exposer le port Lapi (par exemple, 10.0.0.1:8080).

  api:
    server:
      listen_uri: 10.0.0.1:8080

2. Processeurs de journaux enfants (server-2 et serveur-3):

• Installer Crowdec: Utilisez les mêmes commandes d'installation que le serveur-1.

• Inscrivez-vous avec Lapi: Enregistrez chaque enfant avec Lapi de Server-1:

  sudo cscli lapi register -u http://10.0.0.1:8080

• Désactiver l'enfant Lapi: Désactiver l'API local dans /etc/crowdsec/config.yaml:

  api:
    server:
      enable: false

• Valider l'enregistrement: sur le serveur-1, validez chaque enfant en utilisant cscli machines list et cscli machines validate <machine_id></machine_id>.

• Redémarrer Crowdecsec: Redémarrer Crowdsec sur chaque enfant.

3. Remédiation (serveur-2 et serveur-3):

• Générer la touche API: Sur serveur-1, générez une clé API pour chaque enfant en utilisant cscli bouncers add <bouncer_name></bouncer_name>.

• Installez le composant de remédiation: Installez le composant cs-firewall-bouncer-iptables.

• Configurer le composant de remédiation: Configurez /etc/crowdsec/bouncers/crowdsec-firewall-bouncer.yaml avec l'URL et la clé de l'API.

• Redémarrer le composant de remédiation: redémarrer le service crowdsec-firewall-bouncer.

Remarques importantes:

• La communication entre les serveurs n'est actuellement pas cryptée HTTP (considérez les HTTP pour la production).
• Cette configuration manque de surveillance et d'alerte (reportez-vous à la documentation Crowdsec pour plus de détails).
• Server-1 est un seul point de défaillance.

Cette configuration améliorée fournit une posture de sécurité plus robuste et évolutive. Les futurs articles couvriront les configurations à haute disponibilité. Engagez-vous avec la communauté Crowdsec pour le soutien et les commentaires.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!