CrowdSec auf Ubuntu installieren

CrowdSec ist eine moderne Open-Source-Sicherheitslösung, die verdächtiges Verhalten in Logs erkennt und daraus automatische Sperrentscheidungen ableitet. Anders als einfache Logfilter arbeitet CrowdSec verhaltensbasiert und profitiert zusätzlich von geteilten Bedrohungsinformationen aus der Community.

In dieser Anleitung installieren wir CrowdSec auf einem Ubuntu Server, aktivieren den Security Engine-Dienst, richten einen Firewall-Bouncer ein und prüfen, wie du dein System zunächst sicher und ohne Selbstsperre in Betrieb nimmst.

1. Voraussetzungen

• Ubuntu Server 22.04 oder neuer
• Root- oder Sudo-Zugriff
• SSH-Zugang zum Server
• Im Idealfall eine bekannte, feste Admin-IP für deinen eigenen Zugriff
• NFTables oder ein modernes Ubuntu-Setup, auf dem ein Firewall-Bouncer sinnvoll ist

Wichtig: CrowdSec erkennt nur Angriffe, blockiert aber nicht von allein. Für echte Sperren brauchst du zusätzlich eine Remediation-Komponente, auch Bouncer genannt.

2. Offizielles CrowdSec-Repository hinzufügen

Für aktuelle Versionen solltest du das offizielle CrowdSec-Repository verwenden und nicht auf veraltete Distribution-Pakete vertrauen:

curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.deb.sh | sudo bash

Danach aktualisierst du die Paketlisten automatisch mit und kannst die aktuellen CrowdSec-Pakete installieren.

3. CrowdSec installieren

Installiere nun die Security Engine:

sudo apt update
sudo apt install crowdsec

Prüfe danach direkt den Dienststatus:

sudo systemctl status crowdsec

Wenn alles sauber läuft, ist CrowdSec jetzt aktiv und beginnt bereits damit, unterstützte Logs auszuwerten.

4. Hub aktualisieren und installierte Collections prüfen

CrowdSec arbeitet mit Parsers, Scenarios und Collections aus dem Hub. Aktualisiere zuerst den Hub-Index:

sudo cscli hub update

Danach kannst du dir die installierten Collections anzeigen lassen:

sudo cscli collections list

Gerade auf Ubuntu-Servern ist es sinnvoll, mindestens SSH sauber abzudecken. Falls die SSH-Collection nicht vorhanden ist, kannst du sie manuell nachziehen:

sudo cscli collections install crowdsecurity/sshd

Wenn du zusätzlich Webserver wie Nginx oder Apache betreibst, kannst du die passenden Collections später ergänzen.

5. Firewall-Bouncer installieren

Damit CrowdSec erkannte Angreifer auch wirklich blockiert, installieren wir jetzt einen Firewall-Bouncer. Auf modernen Ubuntu-Systemen ist die NFTables-Variante meist die passendere Wahl:

sudo apt install crowdsec-firewall-bouncer-nftables

Prüfe danach auch hier den Dienst:

sudo systemctl status crowdsec-firewall-bouncer

Der Bouncer spricht standardmäßig mit der lokalen LAPI von CrowdSec und übernimmt dort getroffene Entscheidungen automatisch.

6. Eigene Admin-IP nicht aussperren

Bevor du CrowdSec aggressiver nutzt, solltest du sicherstellen, dass deine eigene Admin-IP nicht versehentlich gesperrt wird. Ein einfacher und vorsichtiger Start ist, deine bekannte Management-IP zu dokumentieren und Entscheidungen zunächst eng zu beobachten.

Wenn du deine eigene öffentliche IP kennst, notiere sie dir, zum Beispiel:

203.0.113.10

Gerade bei SSH-Servern, Admin-Panels und Reverse Proxys ist das wichtig. Wer CrowdSec blind aktiviert, ohne an den eigenen Zugriff zu denken, sperrt sich schneller aus als geplant.

7. CrowdSec prüfen

Jetzt schauen wir uns an, ob CrowdSec bereits Signale verarbeitet:

sudo cscli metrics

Damit bekommst du einen schnellen Überblick über:

• eingelesene Logquellen
• aktive Parser
• erkannte Szenarien
• allgemeine Verarbeitung

Zusätzlich kannst du aktuelle Entscheidungen anzeigen:

sudo cscli decisions list

Wenn dort noch nichts erscheint, ist das am Anfang nicht ungewöhnlich. Wichtig ist zuerst, dass Logs sauber gelesen und verarbeitet werden.

8. Logs und Akquisition prüfen

Wenn CrowdSec nichts erkennt, lohnt sich ein Blick auf die Logquellen und die Akquisition:

sudo cscli acquis list
sudo journalctl -u crowdsec -n 100 --no-pager

Gerade bei minimalen Ubuntu-Installationen oder ungewöhnlichen Log-Pfaden ist das oft der schnellste Weg zur Fehleranalyse.

9. Optional: zentrale LAPI für weitere Bouncer oder Server

Wenn du später mehrere Systeme anbinden willst, kann CrowdSec auch als zentrale LAPI arbeiten. In so einem Fall wäre dein lokaler API-Endpunkt zum Beispiel:

http://10.0.0.5:8080/

Zusätzliche Bouncer oder weitere Server können dann über API-Keys an diese LAPI angebunden werden. Für den Einstieg auf einem einzelnen Server ist das aber noch nicht nötig.

10. Sinnvolle nächste Schritte

Nach der Grundinstallation bieten sich diese Erweiterungen an:

• Webserver-Collections für Nginx oder Apache installieren
• Reverse Proxy Logs an CrowdSec anbinden
• Entscheidungen und Alerts regelmäßig prüfen
• CrowdSec Console optional anbinden
• später AppSec/WAF oder spezielle Bouncer ergänzen

Für viele Setups ist schon die Kombination aus SSH-Erkennung und Firewall-Bouncer ein sehr guter erster Sicherheitsgewinn.

11. Updates einspielen

Updates laufen in der Regel ganz klassisch über APT:

sudo apt update
sudo apt upgrade crowdsec crowdsec-firewall-bouncer-nftables

Prüfe danach wieder kurz beide Dienste:

sudo systemctl status crowdsec
sudo systemctl status crowdsec-firewall-bouncer

12. Fazit

Mit CrowdSec bekommst du auf Ubuntu eine moderne, verhaltensbasierte Schutzschicht, die Angriffe nicht nur erkennt, sondern mit dem passenden Bouncer auch direkt abwehren kann. Gerade für SSH, Webserver und öffentlich erreichbare Dienste ist das ein sehr starker Baustein.

Wichtig ist dabei ein kontrollierter Einstieg: erst sauber Logs und Erkennung prüfen, dann Bouncer aktivieren und den eigenen Zugriff im Blick behalten. So profitierst du von zusätzlicher Sicherheit, ohne dir selbst unnötig Probleme zu bauen.

Tipp:
Kombiniere CrowdSec später mit deinen Reverse-Proxy-Logs oder Webserver-Collections, um nicht nur SSH, sondern auch Webangriffe und Scan-Verhalten wirksam zu erkennen.