SWAG, mon reverse proxy 🚔 CrowdSec (07/XX)
Рет қаралды 9,565
Күн бұрынDécouvrez CrowdSec, un service open source et communautaire pour protéger vos services web contre des attaques en analysant le comportement des visiteurs de vos services web.
Dans cette vidéo, je vais déployer CrowdSec en tant que docker-mod pour le reverse proxy SWAG. Nous verrons également une démonstration de CrowdSec en action.
📱 Suivez moi ! 💻
►lhub.to/GuiPoM
🔗 Les liens et commandes 🔗
► www.crowdsec.net/
► www.linuxserver.io/blog/block...
► github.com/linuxserver/docker...
► github.com/linuxserver/docker...
► github.com/crowdsecurity/exam...
📃 Sommaire 📃
00:00 A la découverte de CrowdSec, un service opensource et communautaire pour protéger vos services web contre des attaques
00:52 Cette vidéo est une ultime vidéo à des séries de vidéos autour de la création d'un NAS, avec le choix matériel, l'assemblage et l'installation d'un OS, mais aussi le déploiement de services
02:40 On commence par une démo ! Bannissement et Captcha
07:04 Une vidéo certes un peu longue, mais qui vous présente le fonctionnement du service, son déploiement, et quelques informations additionnelles
08:40 CrowdSec est une startup française qui édite son logiciel en opensource sous licence MIT
11:02 On va déployer CrowdSec en tant que docker-mod pour le reverse proxy SWAG, avec quelques adaptations car les documentations ont des imprécisions
12:32 SWAG ? déployé via docker avec un docker compose
14:30 Comment fonctionne CrowdSec ?
19:10 Un docker-compose pour déployer les conteneurs SWAG et CrowdSec
23:33 On part d'un système déjà configuré avec un reverse proxy SWAG, un service Nextcloud, de l'Authelia et du Fail2Ban
24:40 On crée le security engine CrowdSec, donc un conteneur docker dédié. Vous pouvez en définir un seul pour toute votre installation chez vous, ou plusieurs, comme vous voulez !
25:40 CrowdSec hub et les collections
26:14 Les volumes du conteneur CrowdSec pour avoir accès aux fichiers de logs
30:25 On configure le réseau qui va relier le conteneur swag au conteneur crowdsec. Vous pouvez utiliser un réseau par défaut, mais c'est plus propre d'isoler les communications entre conteneurs
32:15 On est prêt à déployer, on relie une dernière fois le docker compose pour ne pas faire de bêtises. J'utilise portainer, sinon utilisez les commandes docker.
33:00 On vérifie les logs pour SWAG et pour CrowdSec, pour vérifier que tout va bien
34:10 Le principe des collections, des parsers, des scenarios et des buckets
37:11 On va maintenant modifier les fichiers de configuration: en particulier modifier le fichier acquis.yaml en spécifiant les formats des fichiers de logs à parser
40:03 Le bouncers nginx est automatiquement créé par SWAG. Ne le créez pas manuellement ! plus besoin !
41:36 On peut commencer à tester si le serveur nginx réagit aux configurations de crowdsec.
43:30 On va enregistrer le security engine sur le site de crowdsec.net et on explore ce qu'on y trouve
49:33 Si vous voulez aller plus loin, il est possible de desactiver fail2ban et d'activer des services de captcha
50:50 Mon environnement de production: mon portail crowdsec
57:27 Mon docker compose de production: avec du recaptcha de Google
01:01:00 Une base intégrée sqlite, mais des options mariadb et postgresql
01:03:00 Utilisez la console cscli metrics pour vérifier que votre CrowdSec est fonctionnel et exploite vos fichiers de logs
01:06:08 J'espère que tout est accessible et clair pour vous lancer à votre tour !
@proadoeziu623 6 ай бұрын
La série swag qui continue, génial, merci 👍
@nicolasbouyge 6 ай бұрын
Merci Guillaume! ultra complet comme d'hab!
@kristof9497 5 ай бұрын
Après installé SWAG grâce à la superbe série, je vais étudier CrowdSec. Bonnes Fêtes !
@GuiPoM 5 ай бұрын
Merci beaucoup, passe également de bonnes fêtes! 🎄
@Marv-In_Make 3 ай бұрын
franchement tu as trop la classe! tes tutos sont vraiment bien Merci
@lionux6506 6 ай бұрын
Aaahh ! Super ! La série continue : Je suis fan 😃 Merci 👍🏻
@GuiPoM 6 ай бұрын
Merci à toi 😊
@kalimasta 4 ай бұрын
Magnifique, Merci Beaucoup. Très bien expliqué.
@GuiPoM 4 ай бұрын
Avec plaisir
@duped8226 5 ай бұрын
Super, merci pour la vidéo, sujet extrêmement bien détaillé comme d'habitude. Bravo et il faut continuer comme ça.....En plus un sujet pas forcément simple mais tellement bien expliqué.
@GuiPoM 5 ай бұрын
Merci à toi 😊
@magiccyril 6 ай бұрын
Merci pour la vidéo, même si je ne suis pas forcément sur la même installation / stack, ça permet de bien découvrir un service et tes explications permettent de comprendre pour adapter. Bref, je fais pas souvent des commentaires sur tes vidéos mais elles sont chouettes, et complètes alors pour te remercier je fais ce commentaire, mais si tu as un moyen pour que je puisse t'offrir un café ou une bière n'hésite pas à partager, je le ferai de bon cœur. Passe de bonnes fêtes
@GuiPoM 6 ай бұрын
Merci beaucoup! passe de bonnes fêtes également. Concernant le café, je te déconseille les dons, même si je crois que KZfaq le permet, mais si tu es client Amazon, à l'occasion tu passes par un de mes liens sur ma page ou dans une vidéo, et ça m'en paiera un sans que ça ne te coûte plus qu'une petite redirection !
@yann5847 5 ай бұрын
Merci pour cette vidéo vraiment top. Un plaisir de te suivre.
@GuiPoM 5 ай бұрын
Merci !
@Wild-Tronco 6 ай бұрын
MERCI pour cette vidéo! En fait pour tes vidéos en général toujours aussi bien que ce soit jeedom (même si depuis 2 mois je suis passé sur Homeassistant et je sens que tu va bientôt y passer vu ta dernière vidéo NUKI...) ou la série NAS. 👍
@GuiPoM 5 ай бұрын
Salut! Non, désolé de le dire et le redire mais je n'ai aucun projet de migration vers home assistant, ce serait des centaines d'heure de travail pour tout reprogrammer et fiabiliser, je n'en ai pas la motivation. Donc je continue à faire tourner les deux.
@ericchalet1487 6 ай бұрын
Merci je vais surement y passer. encore une vidéo très ludique En fait non je te remercie pas, je vais encore passer du temps sur mon serveur :) Merci et je conseille à tous de revoir les video sur SWAG, authelia, portainer, nextcloud, ... sur ta chaine.
@GuiPoM 6 ай бұрын
Si c'est juste pour activer crowdsec, ça ne devrait pas te prendre trop de temps, l'intégration est vraiment bien faite. Par contre si tu as d'autres services a déployer ... Bon courage!
@ddfdom 6 ай бұрын
Super video comme toujours precise et détaillée un pouce largement mérité Bin par contre, j'accroche toujours ni a swag et encore moins a portainer 😅
@GuiPoM 6 ай бұрын
Merci ! Tu accroches a quoi alors?
@ddfdom 6 ай бұрын
@@GuiPoM pour le reverse j'utilises caddy et pour moi rien n'est plus efficace que la cli de docker
@GuiPoM 6 ай бұрын
Caddy est sympa et moderne mais je le trouve pénible a configurer des que les sous domaines se multiplient et avec eux les spécificités. Et il a moins de mods, donc plus de temps passe a le configurer et maintenir. Mais ça fait partie des solutions que j'avais étudiées avec npm et traefik. Je lui ai préfère swag, et pour l'instant je ne regrette pas un instant. L'essentiel c'est de trouver un truc avec lequel on est a l'aise ! 😉
@bartounet16 6 ай бұрын
Merci Guipom pour cette vidéo. Aurais tu un équivalent avec NPM ?
@GuiPoM 6 ай бұрын
Je l'ai indiqué dans la vidéo: github.com/crowdsecurity/example-docker-compose/tree/main/npm Mais je ne suis pas un grand fan de ce projet!
@bartounet16 6 ай бұрын
@@GuiPoM super merci C'est bizzare moi je trouve ce projet génial J'adore la simplicité de npm et sa puissance
@GuiPoM 6 ай бұрын
@bartounet16 c'est une image qui n'a pas le sérieux du suivi des images linuxserver, qui a souffert de cve très critiques avec des grosses lacunes dans leur traitement. Personnellement je préfère de très loin swag, avec caddy et traefik en alternative.
@illegalmexicain Ай бұрын
Le bouncer swap-crowdsec semble être brisé en ce moment à cause du http2. J'ai désacitvé le mod pour le moment jespere que dans un future proche il y aura un fix. Est-ce que tu as trouvé un "workaround" ?
@GuiPoM Ай бұрын
Il y a plusieurs issues sur le sujet, dont une sur laquelle j'ai participé suite à cette vidéo puisque le challenge captcha nécessite le support http et non http2, en place dans nginx/swag. Mais en essayant d'ajouter le support http2, il faut faire des retroportages qui ne sont pas encore faits, et la communication entre projets semble assez laborieuse pour que tout rentre vite dans l'ordre. Mais c'est pris en compte depuis un moment.
@Username-vf3om 4 ай бұрын
Salut ! Dans ta stack Swag + Authelia, à quoi sert la variable "extra_hosts" stp ?
@GuiPoM 4 ай бұрын
C'est pour injecter l'information dans le /etc/hosts du container, en plus des entrées déduites des réseaux docker.
@ludo9743 5 ай бұрын
Pour ma part, j'ai dû ajouter le service authelia dans le même network pour que ça fonctionne. Autrement j'avais le message "authelia could not be resolved (3: Host not found)". J'ai par contre une question @GuiPoM! Je suis configuré comme ton lab, c'est à dire que j'ai Proxmox installé sur la machine et je virtualise OMV. Je constate que lorsque je test un ban ip, je n'ai pas d'erreur mais par contre j'accède toujours à mes services. Je pense que le ban ip n'est pas effectif car il n'écrit pas la règle dans le iptable du Host. As-tu une idée pour résoudre cela ? Un grand merci pour tes vidéos.
@tototata6735 5 ай бұрын
Bonjour, je me trouve dans le même cas que toi. Deplus lors de la commande "cscli metrics" dans le tableau "acquisition Metrics" seulement mes sources nginx s'y trouve. Alors que dans les logs crowdsec les valeurs : level=info msg="Adding file /var/log/nginx/access.log to datasources" type=file level=info msg="Adding file /var/log/nginx/error.log to datasources" type=file level=info msg="Adding file /var/log/authelia.log to datasources" type=file level=info msg="Adding file /var/www/nextcloud/data/nextcloud.log to datasources" type=file" sont bien presentes. Je n'ai fait qu'un test de ban sur mon ip local et sur mon ip fixe mais je n'ai pas recommencer de peur de me faire bannir mon ip. Si quelqu'un à une idées.. Merci d'avance et gg pour les vidéos.
@GuiPoM 5 ай бұрын
Alors tu mélanges un peu tout dans ta question dans c'est très compliqué d'y répondre. Le ban ip, on parle bien de crowdsec ici ? Si c'est le cas, il n'y a aucun lien entre crowdsec et iptable, c'est ce que j'explique dans la vidéo. Seul fail2ban inscrit des informations dans iptable ou équivalent. Crowdsec maintient des listes d'ip bannies dans son moteur de sécurité. Si quand tu bannies une IP depuis ce moteur, ton bouncer, ici swag, ne réagit pas en refusant l'accès, c'est très probablement qu'il n'a pas accès à l'API cli de crowdsec pour vérifier les adresses bannies. Et donc qu'il y a un problème de configuration.
@Username-vf3om 4 ай бұрын
Et Re-Salut ! Aurais-tu une piste (lien tutoriel par exemple) afin de configurer en toute sécurité, pour que Swag, Fail2Ban et Authelia reconnaissent quand je suis sur mon réseau local stp ? C'est lourd de se faire banir sa propre ip par nginx unauthorized, et aussi de devoir appliquer le 2FA en local. Je ne vois pas comment aller plus loin que de mettre swag sur le même réseau que mes containers. La documentation Authelia (section X-Forwarded-For) est trop légère. Merci par avance.
@Username-vf3om 4 ай бұрын
Je répond moi-même a mon commentaire. J'ai eu la solution. Pour ceux qui se demandent comment faire: jetter un oeil sur comment mettre en place un dns de type split. Virtualize point link (domaine) split-dns (subfolder). Et une petite chose en plus si vous le mettez en place et que vous avez des soucis avec votre dns interne (Pi-hole, AdGuard & co) mettez le sous un macvlan (ne pas oublier d'utiliser le même parent que votre machine qui héberge ce service).
@GuiPoM 4 ай бұрын
J'utilise adguard home (en vidéo) qui propose un service DHCP et DNS et qui permet de redéfinir le nom de domaine sur une IP locale. Et comme ça, plus de soucis !
@Username-vf3om 4 ай бұрын
Je l’ai vu bien après effectivement. Maintenant tout tourne correctement . Un vrai luxe de pouvoir profiter de son réseau domicile à l’extérieure quand on est sous iOS (customization réseau limitée…) via wg 🤤
@amazighi5948 24 күн бұрын
Est-ce facile a mettre en place avec nginx proxy manager ?
@GuiPoM 23 күн бұрын
J'ai déconseillé nginx proxy manager dans une précédente vidéo. Et à ma connaissance non, ce serait assez complexe à mettre en place, à moins d'utiliser un fork, avec les conséquences que ça a en terme de suivi : www.crowdsec.net/blog/crowdsec-with-nginx-proxy-manager
@amazighi5948 23 күн бұрын
@@GuiPoM Merci bien pour l'info, du coup je vais t'écouter et supprimer npm et installer swag, un gros bravo pour tes vidéos de qualité.
@kristof9497 5 ай бұрын
Merci !
@GuiPoM 5 ай бұрын
Merci 🤑👍
@jlnbte5000 5 ай бұрын
Super série de vidéo, cela te demande beaucoup de travail et on t'en remercie ;) J'avais juste une question, je suis bloqué lorsque je regarde les logs du conteneur crowdsec, il ne trouve pas authelia ("No matching files for pattern /var/log/authelia.log").
@GuiPoM 5 ай бұрын
Très probablement pas de fichier de logs généré par authelia. Vérifie a la fois dans le conteneur authelia et si le volume est monté dans le conteneur crowdsec. Mais si le fichier n'existe pas, l'erreur est normale. Essaye de mot de passe erroné dans authelia, voir si tu as bien des erreurs qui sont créés.
GuiPoM - G. testé !
Рет қаралды 4,8 М.
GuiPoM - G. testé !
Рет қаралды 20 М.
Techno Tim
Рет қаралды 83 М.
GuiPoM - G. testé !
Рет қаралды 41 М.
Parlons Crypto - L'émission
Рет қаралды 313 М.
GuiPoM - G. testé !
Рет қаралды 16 М.
GuiPoM - G. testé !
Рет қаралды 25 М.
GiaoHeo
Рет қаралды 2,5 МЛН
FISPECKT
Рет қаралды 179 М.