Crowdsec Problem

Dec 10, 2022
10
4
3
Germany
Liebe Kollegen,

gestern habe ich Crowdsec auf unseren Proxmox-Servern installiert, um sie zu härten. Bisher funktioniert Crowdsec für SSH einwandfrei.

Allerdings bin ich auf ein Problem gestoßen, das ich nicht ganz nachvollziehen kann. Ich habe den pvedaemon.service in die acquis.yaml aufgenommen und das proxmox-bf Szenario hinzugefügt. Trotzdem werden die IPs nicht richtig gesperrt. Sie tauchen zwar unter den gebannten IPs auf, können aber immer noch auf die GUI zugreifen. Hat vielleicht schon einmal jemand dasselbe Problem gehabt?

Beste Grüße!
 
Bei mir das gleiche... ich habe gestern crowdsec, den cs-firwall-bouncer sowie die proxmox collection installiert
Die acquis.yml habe ich ergänzt:
Code:
source: journalctl
journalctl_filter:
 - _SYSTEMD_UNIT=pvedaemon.service
labels:
  type: syslog
---

Zum testen habe ich mich ca. 10x bewusst falsch eingeloggt ohne gebockt zu werden. Im journalctl sieht man die fehlerhaften Loginversuche.

cscli metrics zeigt

1711728879232.png

Kann jemand helfen?

Danke im voraus!
 
labels: type: syslog
Hast du denn überhaupt syslog? Ist ja standardmäßig in Debian 12 und PVE8 nicht mehr enthalten, da es durch journald abgelöst wurde.
Da müsste man dann das rsyslog Paket manuell nachinstallieren.
 
Last edited:
Hast du denn überhaupt syslog? Ist ja standardmäßig in Debian 12 und PVE8 nicht mehr enthalten, da es durch journald abgelöst wurde.
Da müsste man dann das rsyslog Paket manuell nachinstallieren.
Ich habe mich an einer Anleitung orientiert und das snippet übernommen. Ich denke da die Quelle dort auf journalctl steht sollte das passen. Man sieht ja auch das geparsed wird... aber du hast recht ganz konsistent ist das sicher nicht. Dazu werde ich wohl mal im crowdsec discord nachfragen müssen...
 
Ich bin mittlerweile weitergekommen. Es liegt daran das der Loginvon einer privaten IP erfolgt und der whitelist parser diesen "authentication failure" ignoriert.

Nach einem fehlerhaften Loginkann das mit den folgenden Befehlen geprüft werden:
Code:
journalctl -f

cslci explain --log "your complete log line with authentication failure here"

In der Ausgabe sieht man die verschiedenen parser und am Ende:

parser success, ignored by whitelist (private ipv4/ipv6 ip/ranges)
 
Last edited:
Ich bin mittlerweile weitergekommen. Es liegt daran das der Loginvon einer privaten IP erfolgt und der whitelist parser diesen "authentication failure" ignoriert.

Nach einem fehlerhaften Loginkann das mit den folgenden Befehlen geprüft werden:
Code:
journalctl -f

cslci explain --log "your complete log line with authentication failure here"

In der Ausgabe sieht man die verschiedenen parser und am Ende:

parser success, ignored by whitelist (private ipv4/ipv6 ip/ranges)
Hallo hast du eine Lösung gefunden um Private IPs nicht zu Whitelisten?
 
In

/etc/crowdsec/parsers/s02-enrich/whitelists.yaml

die entsprechende CIDR anpassen:

YAML:
name: crowdsecurity/whitelists
description: "Whitelist events from private ipv4 addresses"
whitelist:
  reason: "private ipv4/ipv6 ip/ranges"
  ip:
    - "127.0.0.1"
    - "::1"
  cidr:
    - "192.168.0.0/16"
    - "10.0.0.0/8"
    - "172.16.0.0/12"
 
  • Like
Reactions: jack187
In order for the proxmox login block to work correctly, edit the file
/etc/crowdsec/parsers/s01-parse/proxmox-logs.yaml
Code:
PVE_AUTH_FAIL: 'authentication failure; rhost=%{IP:client_ip} user=%{USERNAME:source_user}@%{WORD:realm} msg='

replace to:

PVE_AUTH_FAIL: 'authentication failure; rhost=%{IPV6}:%{IPV4:client_ip} user=%{USERNAME:source_user}@%{WORD:realm} msg='
 
Darf ich mich hier mal kurz anhängen?

Ich habe auch Crowdsec auf Proxmox installiert, allerdings auf einem dedizierten Server der öffentliche IP Adressen hostet.
Nun ist es so, dass Crowdsec den Proxmox Mail Gateway und den Plesk Server, welche beide unter Proxmox VE als VM installiert sind moniert und in der Blockliste eingetragen hat.

Ich müsste also vermutlich alle öffentlichen IP Adressen, die der Server hostet bei Crowdsec whitelisten.
Ich vermute aber das ich das an anderer Stelle machen muss und das wie oben beschrieben nur für lokale IPs funktioniert?
 

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!