C'EST QUOI ?
CrowdSec est un moteur de sécurité open source qui joue le rôle d'IDS/IPS et de WAF. Il analyse les logs de tes services (SSH, nginx, applicatifs…), détecte les patterns malveillants et déclenche des remédiations via des bouncers déployés sur firewall, reverse proxy ou cloud. Au-delà de la détection locale, chaque instance remonte (anonymement) les IP agressives à un réseau communautaire qui redistribue une blocklist de menaces réelles.
POURQUOI C'EST INTÉRESSANT ?
- Détection découplée de la remédiation : le moteur lit les logs sur une machine, les bouncers bloquent ailleurs. Parfait pour une archi distribuée ou un reverse proxy mutualisé.
- Hub de scénarios et parsers : bibliothèque communautaire de règles prêtes à l'emploi (bruteforce SSH, scan de ports, exploits web, scrapers agressifs) installable en une commande.
- Blocklist communautaire : tu bénéficies d'IP déjà signalées par d'autres instances avant même d'avoir été attaqué. Effet réseau réel, pas marketing.
- Bouncers partout : iptables, nftables, Traefik, nginx, Cloudflare, AWS WAF, Caddy, HAProxy, Kubernetes… plus de 30 intégrations officielles.
- Léger et scriptable : binaire Go unique, API locale, CLI
cscliclaire, configuration YAML. Tourne aussi bien sur un VPS qu'en cluster. - Console gratuite : dashboard web pour visualiser alertes, décisions et instances multi-machines, sans auto-hébergement de Grafana.
CAS D'USAGE
- Protéger un serveur SSH exposé contre les tentatives de bruteforce distribuées.
- Filtrer le trafic d'un reverse proxy (Traefik, nginx) face aux scanners et bots agressifs.
- Bloquer des IP malveillantes connues en amont d'une application web auto-hébergée.
- Centraliser la détection sur plusieurs VPS et partager les décisions via une instance LAPI commune.
- Remplacer ou compléter fail2ban avec une approche plus moderne, multi-source et partagée.