CrowdSec 1.2: изменения, дополнения, улучшения / Комментарии / Хабр

David_Osipov 25 окт 2021 в 18:12

Пользуюсь и благодарен!! Ещё и панель недавно прикрутили - так вообще шик. Хочется, правда, без лишних заморочек тестировать свои парсеры, но это на будущее. И отправку уведомлений в Телеграм.

CrowdSec 27 окт 2021 в 12:01

Cпасибо! Такая функция уже есть:

Вот конфигурация

type: http

name: http_default # this must match with the registered plugin in the profile log_level: info # Options include: trace, debug, info, warn, error, off

format: |   {"chat_id": "YOUR_CHAT_ID", "text": "{{- range . -}}   {{- range .Decisions -}} 🏴☠️ {{.Value}} wird für {{.Duration}} geblockt aufgrund von {{.Scenario}}.   {{end -}}   {{end -}}"}'

url: "https://api.telegram.org/YOUR_BOT_TOKEN/sendMessage" # plugin will make requests to this url. Eg value https://www.example.com/

method: POST # eg either of "POST", "GET", "PUT" and other http verbs is valid value.

headers:     Content-Type: application/json

Подробнее здесь: https://docs.crowdsec.net/docs/notification_plugins/http

altervision 27 окт 2021 в 14:27

Подскажите, у вас сейчас есть возможность выгрузки базы заблокированных IP и подсетей? По сути, требуется только список нежелательных адресов - пост-фактум визиты проверять и помечать "опасные".

SignFinder 31 окт 2021 в 11:48

Удачно я наткнулся на эту статью.

Хотел бы дать свои комментарии (в большей степени конечно это вопросы) после часа использования на тестовом сервере.

Интуитивно было не понятно - что в процессе установки автоматически запустился wizard, нашел ssh\nginx и скачал необходимые коллекции для них.
Oracle Linux 8 определился - но пакетов в yum репозитории для него нет - пришлось руками в файле конфигурации yum поменять ol8 на el8 в путях.
Не понятно - что происходит с поисковыми ботами по умолчанию. Прикрутил новую веб консоль и в ней сразу же появились в алертах Google и Mail.ru - вот сейчас сижу и пытаюсь понять - это шальные атаки с их облаков проскочили или crowdsec потихоньку поисковых ботов пристрелил.

P.S. В сценарии "http-bad-user-agent" есть список известных bad user-agents и там как минимум есть официальный поисковый бот Mail.ru - "Mail.RU_Bot"

Планируете ли добавлять возможность каких-либо уведомлений из новой веб консоли? Чтобы не на каждом сервере это настраивать, а чтобы сама консоль присылала уведомления по всем добавленным серверам.
Почитал описание конфигураций и коллекций, связанных с web серверами - и не нашел информации - есть ли какой-то механизм борьбы с парсерами веб сайтов в них.