2024-09-03 by andreas

IPs von der Sperre ausnehmen (allow-listing): /etc/crowdsec/parsers/s02-enrich/mywhitelists.yaml:

name: crowdsecurity/whitelists
description: "Whitelist events from my ip addresses"
whitelist:
  reason: "RFC1918 ip ranges"
  ip:
    - "192.168.x.x/16"
    - "10.x.x.x/8"

gesperrte IPs anzeigen:

ipset list crowdsec-blacklists

IP Eintrag löschen:

ipset del crowdsec-blacklists <IP>

gesperrte IPs anzeigen:

server14:~# cscli decisions list
╭──────────┬──────────┬───────────────────┬────────────────────────────┬────────┬─────────┬────┬────────┬────────────┬──────────╮
│    ID    │  Source  │    Scope:Value    │           Reason           │ Action │ Country │ AS │ Events │ expiration │ Alert ID │
├──────────┼──────────┼───────────────────┼────────────────────────────┼────────┼─────────┼────┼────────┼────────────┼──────────┤
│ 88771471 │ crowdsec │ Ip:192.168.60.104 │ crowdsecurity/http-probing │ ban    │         │    │ 11     │ 3h48m53s   │ 10363    │
╰──────────┴──────────┴───────────────────┴────────────────────────────┴────────┴─────────┴────┴────────┴────────────┴──────────╯

gesperrte IPs freigeben:

server14:~# cscli decisions delete -i 192.168.60.104