CrowdSec
La Sentinelle qui protège tous les accès exposés — WAF avec détection comportementale et blocage DDoS.
Fonctionnement
Section intitulée « Fonctionnement »CrowdSec analyse les logs Traefik (/srv/docker/traefik/logs/traefik.log)
et alimente une liste de décisions (bans, captcha). Le plugin Traefik
crowdsec-bouncer-traefik-plugin consulte CrowdSec en temps réel pour bloquer les IPs.
crowdsec-manager fournit une UI web de gestion accessible sur le port 3000 (interne).
Health Check
Section intitulée « Health Check »curl -s http://localhost:8080/health# oudocker exec crowdsec wget -q -O /dev/null http://localhost:8080/healthCommandes cscli Utiles
Section intitulée « Commandes cscli Utiles »# Entrer dans le container CrowdSecdocker exec -it crowdsec sh
# Lister les décisions actives (bans)cscli decisions list
# Bannir manuellement une IPcscli decisions add --ip 1.2.3.4 --duration 24h --reason "test manuel"
# Lever un bancscli decisions delete --ip 1.2.3.4
# Voir les alertes récentescscli alerts list
# Statut des collections installéescscli collections listDonnées Persistantes
Section intitulée « Données Persistantes »/srv/docker/crowdsec.clochette.friloux.me/├── data/ # Base de données SQLite, GeoIP└── etc/ # Configuration, parseurs, scénarios, décisionsCes répertoires sont inclus dans le backup Borg.
Dépendance avec Traefik
Section intitulée « Dépendance avec Traefik »Traefik requiert CrowdSec au démarrage :
systemd.services.traefik = { after = ["crowdsec.service"]; requires = ["crowdsec.service"];};Si CrowdSec ne démarre pas, arrêter cette dépendance temporairement pour diagnostiquer sans bloquer Traefik :
systemctl edit docker-traefik# Ajouter [Unit] et supprimer After/Requires liés à crowdsec# Attention : temporaire seulement, revenir à la config Nix ensuite