Erklärt und eingerichtet: Crowdsec - die bessere Fail2Ban-Alternative?
15.06.2025
Timo Wevelsiep
Unterstützung für Ihre Cloud-Infrastruktur gesucht?
WZ-IT übernimmt Beratung, Konzeption, Einrichtung, Betrieb, Support und Monitoring Ihrer Infrastruktur.
Jetzt kostenlosen Termin vereinbaren
CrowdSec ist ein kostenloses, quelloffenes Intrusion-Prevention-System (IPS), das verdächtige Aktivitäten auf Ihren Servern analysiert und Angreifer automatisch blockiert. Das Besondere: Alle Nutzer teilen anonymisierte Angriffssignaturen miteinander – so entsteht in Echtzeit eine globale Bedrohungsdatenbank, die Schutz durch Schwarmintelligenz bietet.
Warum CrowdSec und nicht Fail2Ban?
| Kriterium | CrowdSec | Fail2Ban |
|---|---|---|
| Community-Shield | Ja, geteilte Blocklisten weltweit | Nein |
| Mehrschichtig | Agent + flexible Bouncer | Nur iptables/jail |
| Web-Dashboard | Optional mit Metabase/Grafana | Nein |
| Szenarien-Sprache | YAML-basierte Patterns (einfach) | Regex-basierte Filter |
| Ökosystem | > 25 Bouncer (Nginx, Cloudflare …) | Begrenzte Actions |
Architektur auf einen Blick
CrowdSec besteht aus der Security Engine, die auf Ihren Servern läuft, und einem optionalen Web-Dashboard, das die gesammelten Daten visualisiert. Die Engine analysiert Logdateien in Echtzeit und erkennt verdächtige Muster. Bei einem Angriff wird der Angreifer automatisch blockiert und die Signatur an die CrowdSec-Community übermittelt.
Installation in 5 Minuten (Debian/Ubuntu)
# Repository hinzufügen
curl -s https://install.crowdsec.net | sudo sh
# Security Engine installieren
apt install crowdsec
# iptables Bouncer installieren
sudo apt install crowdsec-firewall-bouncer-iptables
# CrowdSec Engine neu starten
service crowdsec restart
CrowdSec Konsole einrichten
Da wir CrowdSec schon installiert haben, scrollen wir in der Konsole nach unten und kopieren den Installationsbefehl für die Konsole.
Wir fügen diesen in unser Terminal ein und führen ihn aus:
sudo cscli console enroll -e context cmbwirxts0003l508ooeg42mq
Nun müssen wir das Enrollment in der CrowdSec-Konsole bestätigen. Dazu gehen wir in die CrowdSec-Konsole und klicken auf "Enrollments". Aktualisieren wir die Seite, sehen wir folgendes:
Nun führen wir einen Neustart der CrowdSec Engine durch, damit die Konfiguration übernommen wird:
sudo service crowdsec restart
Fazit
Wir haben nun CrowdSec erfolgreich installiert und konfiguriert. Die Engine analysiert nun die Logdateien in Echtzeit und blockiert Angreifer über den iptables-Bouncer automatisch. Durch die Integration in die CrowdSec-Community profitieren wir von einer globalen Bedrohungsdatenbank, die ständig aktualisiert wird.
Eine Liste mit verfügbaren Bouncern kann hier gefunden werden.
