Megjelent a CrowdSec 1.7.0-s kiadása, amely jelentős változtatásokat hozott a szolgáltatások automatikus felismerésében és a naplófeldolgozók által a központi API felé küldött metrikák kezelésében. A CrowdSec egy nyílt forráskódú, közösségi alapon működő biztonsági eszköz, amelyet elsősorban a szerverek, szolgáltatások és hálózatok védelmére fejlesztettek ki. Lényege, hogy valós időben elemzi a naplófájlokat és a hálózati forgalmat, észleli a rosszindulatú viselkedést – például brute force támadásokat, portszkennelést, túl sok hibás bejelentkezési kísérletet vagy gyanús bot-tevékenységet – majd képes automatikusan reagálni rá, például tiltással vagy riasztással.
Tartalomjegyzék
Szolgáltatásfelismerés és naplófeldolgozás új szinten
Az új cscli setup sokkal rugalmasabb és erősebb, támogatja a Linux, BSD és Windows platformokat, bár az automatikus felismerés jelenleg csak a deb és RPM csomagok telepítésekor működik. Alapértelmezés szerint több szolgáltatás is felismerhető, de a telepítés során egyéni konfiguráció is megadható, így a nem szokványos logfájlok vagy testreszabott környezetek is kezelhetők. Ha a konfigurációt például Ansible menedzseli, a szolgáltatásfelismerés átugorható. Ez a megközelítés a jövőben alapvetővé válhat, hiszen egyszerre könnyíti meg az üzembe helyezést és biztosít pontosabb környezetfelismerést.
A naplófeldolgozók mostantól metrikákat küldenek a feldolgozásról, így a LAPI pontos adatokat kap arról, hogy egy adatforrásból hány sor lett feldolgozva, valamint arról, hogy az események közül mennyi került elemzésre, kihagyásra vagy whitelistre. Ezek az információk a cscli machines inspect paranccsal azonnal elérhetők, és a későbbiekben a konzolban is megjelennek, elősegítve a rosszul konfigurált telepítések felismerését.
Az új verzió további újításai közé tartozik a Docker forrásoknál a swarm támogatása, a webalkalmazás-tűzfalban (WAF) javított CRS integráció, valamint új kifejezéskezelők bevezetése, amelyek képesek az események közötti átlag- és mediánidőt kiszámítani. A kiadás egyik fontos változása, hogy Docker és Podman környezetben mostantól kötelező a /var/lib/crowdsec/data/ kötet biztosítása, különben a konténer nem indul el, míg Kubernetes környezetben ez a korlátozás nem érvényes.
Eltávolított elemek és javítások
A kiadásban eltávolításra került a cscli dashboard parancs, amelynek helyét a crowdsec.net alapú webes felület veszi át. Számos hibát kijavítottak, köztük a detect.yaml konfigurációs állományhoz kapcsolódó problémákat, a Dovecot felismerésének hibáit és a telepítési szkriptek egyensúlytalanságait. A szoftver stabilitását erősíti a letöltési időkorlátok megnövelése, a csomagok pontosabb validációja és a szinkronizálási folyamatok javítása. A kiadás emellett széleskörű függőségfrissítéseket is tartalmaz, beleértve a Go 1.24.6-os verziójára való váltást és több harmadik féltől származó komponens naprakésszé tételét.
Az új Crowdsec kiadással kapcsolatos kiadási megjegyzéseket a projekt Github oldalán tekinthetitek meg.
