本文参加「自力更生」征文活动

目标读者

1. 有一定运维经验，了解docker的使用和管理
2. 不是手把手教，也能顺藤摸瓜

背景

自托管(self-hosting)服务其中一个重要的问题就是安全性，一般来说，这类服务都要暴露在公共网络上，比如，媒体中心、密码管理器、相册中心等等。个人维护根本没有这个安全意识，伺服器可能不设防，这么多重要的资料如果被偷窃了，后果不堪设想，这个时候就要考虑到网络上面的安全措拖，避免受到DDos攻击、ssh爆破和漏洞攻击等。先来整理一下整个流程。

其中反向代理(reverse proxy)和隧道(tunnel)可能会因不同的使用方法可能不一样或不需要，比如使用反向代理之后可以更加灵活的配置服务和https，如果没有公网可以用Tunnel来暴露服务出来，比如frp和cloudflare tunnel等。不过这些不是本文的重点。焦点落在上图的红线部分，所有的流量如果能在这里通过组件审查过滤掉有问题请求就好了，而我希望这个组件是开源的，非入侵式，不影响原来架构，配置简单。而CrowdSec 就很符合我的要求了。

CrowdSec

工作原理

这个是一个开源的安全防护引擎，工作的原理就是读取和分析日志，然后采集请求头和伺服器系统日志等多个维度的数据，和一些社区维护的黑名单，CVE行为进行匹配，如果发现有问题的请求，就通过不同的修复组件(Remediation Components)，去做相应的操作，比如使用了 Firewall的组件就可以 ban对应的ip。有兴趣可看官方的说明，非常详细而且简单明了，这里放一张官方图片:

部署使用

我目前使用的是用nginx proxy manager(简称npm，下文都用这个代称)来作为反向代理，主要是可以直接用GUI来配置nginx，同时支持自动更新 SSL证书，不过这不在本文的讨论内容中。目前我的服务架构装完CrowdSec之后会变成下图:

如图所示，Component是负责执行操作，比如封锁请求，返回状态码之类，而CrowdSec就是采集和分析日志，管理下发指今等等。

因为npm官方并未有完整的支持CrowdSec(更多内容可查看这个 PR)，即没有集成Component，所以用社区成员LePresidente所构造的集成CrowdSec Component的npm docker镜像来部署。详细样例代码在gist上面，核心部分是将 npm 的日志目录让CrowdSec可以访问到，代码部分就在这个位置，运行的步骤要先在CrowdSec容器内的bash执行下这个命令cscli bouncers add npm-bouncer生成CROWDSEC_BOUNCER_APIKEY，给npm的Component使用。

如无意外，你原先的服务正常运行了，网站也可以正常访问，你就已经完成了 80% 的工作了。这个时候你在CrowdSec容器bash中运行sudo cscli collections install crowdsecurity/nginx-proxy-manager，之后重启一下CrowdSec容器。

至此，防护的部分就已经完成了，你可以在CrowdSec容器中使用cscli hub list 可以看目前各种规则配置。更多的命令可以查询官方文档。

简单测试

在CrowdSec容器中运行cscli decisions add --ip <你局域网的ip>，这个时候你通过你设备再访问反向代理下的服务，应该是全部无法访问了，这证明了防护是有效的，要取消这个decision，使用cscli decisions delete --ip <你局域网的ip> 即可。接下来就到可视化行为数据了。

可观测的安全审计

展示一下目标，可以在dashboard上面看到拦截情况：

可以直观地看出那个是主要的攻击者使用的vps，攻击方式。该方式是官方提供的，而有个cscli dashboard 的配置我没有研究过，因为我评估这些数据也不需要自己开个服务展示，就直接使用了官方的方法。只需三步：

• 在官网注册个帐号
• 点击Add Security Engine

• 在CrowdSec容器中执行上一步生成的命令

稍等几秒钟，你刷新一下CrowdSec的管理页面，你就看到有想应的CrowdSec Security Engine添加成功了🎉。

警报推送

目前CrowdSec支持的推送方式有很多种，有http，Email，Slack等等，而我用http的方式来讲解一下大致流程。修改配置文件 ${EXTERNAL_DATA_PATH}/crowdsec/conf/notifications/http.yaml里面的url为你要通知的地址，其他的根据你的需求修改一下，比如可以通过group_threshold设置收到多少条警报，才向http发送讯息。另外，${EXTERNAL_DATA_PATH} 表示读取环境变量EXTERNAL_DATA_PATH ，主要看你在上面docker-compose.yml配置的是什么地址。

在配置文件${EXTERNAL_DATA_PATH}/crowdsec/conf/profiles.yaml上将被注释掉代码反注释：

#notifications:
# - http_default 

重启CrowdSec容器，即可生效。简单用cscli notifications test测试是否可用，推送的内容大概是这个样子的：

结语

本文将整个防护的工作流程稍微整理了一下，再附上精简的部署教程，主要希望起到抛砖引玉的效果，所以文中有大量省略的但也颇为重要的部分，比如，封禁ip的策略配置，人机验证配置，社区分享的collections使用等。望体谅。

参考

1. 官方blog Protect Your Websites with CrowdSec and Nginx Proxy Manager
2. 官方CrowdSec Engine文档
3. 官方cscli命令文档