Crowdsec plutôt que Fail2Ban

Bonjour à toute l’équipe,

Avez-vous connaissance du projet CrowdSec (sources : https://crowdsec.net/the-solution/github/) ?
Et serait-il possible d’envisager le remplacement de Fail2Ban par cet outils plus performant ?
Sans aucun caractère d’urgence, bien sûr, mais cela pourrait être bien, si tel est le cas, de le mentionner sur la feuille de route, non ?
Fail2ban n’est pas simplement en “perte de vitesse” : les attaques sont de plus en plus nombreuses, et l’emploi d’ou outillage (comme Fail2Ban) en secours du FW n’est plus à démontrer …

L’installation sur mon Yunohost personnel s’est tellement bien passé (j’ai eu de la chance ?)
et la plus value si grande que j’aimerai que le plus grand nombre puisse en profiter …

C’est un système qui compte sur ses utilisateurs : il est plus performant si le nombre de participants est élevé (à la Waze, en fait …).

Merci d’avoir lu jusque là, et pardon si j’ai froissé quelqu’un !

1 Like

Si on veut parler de sécurité un peu sérieusement, ce serait cool d’avoir des références pour ettayer les propos car sinon c’est aussi sérieux que “j’ai un pote qui m’a dit que”.

En l’état, le projet a l’air d’avoir 6 mois, ce qui est vraiment pas ouf. Fail2ban a surement ses problèmes, mais a minima c’est un logiciel qui est là depuis longtemps et qui est bien connu. Sur le README du projet cité, c’est littéralement marqué “en beta” partout.

En outre, je vois du champ lexical de business partout sur le site, alors ça inspire pas spécialement confiance … tant mieux si ça permet d’établir une solution pérenne et plus performante que fail2ban sur le long terme, mais ça peut aussi dire que le projet peut se péter la gueule dans 3 mois par manque d’investissements et compagnie. Ça pose aussi la question du business-model sur le long terme et de à quel point le projet va réellement rester libre/éthique.

Donc si d’ici quelques années le bouzin devient un peu l’état de l’art et vraiment “le nouveau fail2ban”, stable et idéalement inclu dans Debian, oui. En attendant nope.

3 Likes

Ok!
Pas de débat !
Cependant, on parle de cet OVNI encore en béta dans pas mal de publications (Korben, Le Courrier du hacker, etc …) et ne souhaitais que porter à la connaissance de la communauté que ça marchait bien pour moi.

Merci pour ta réponse

Bonjour,

Je suis Philippe du projet CrowdSec.
Merci de votre intérêt dans la solution.

Quelques réponses pour vous :

  • “j’ai un pote qui m’a dit que” : la solution est jeune, certes, mais l’équipe a entre 10 et 20 de pentests, secops, devops ou admin dans les pattes selon les profils. Thibault, mon co fondateur était avec moi chez NBS, où nous faisons de l’hébergement sécurisé et du pentest. Il a aussi déjà écrit qq soft open source, dont NAXSI, Snuffleu Paggus, PHP Malware Finder, etc.

  • “Beta” : En effet nous somme plutôt plus prudent que moins. Mais la version 1.0 est sortie depuis, cependant durant l’alpha et la beta, nous n’avons pas eu de crash, de memory leak ou de pb de sécurité. c’était plus des erreurs de parsing, de conf, des choses normales pour un projet jeune, mais réglé depuis.

  • “Business” : Si Fail2ban ne bénéficie plus que du support d’une personne (Sergey), c’est en bonne partie car Cyril (l’auteur original) l’a conçu comme un TP pour apprendre le Python et que justement, ce n’est pas suivi par une boite. Oui, nos devsecops sont payés, bien payés et on assume. Par contre, la communauté n’a rien à craindre coté license (c’est du MIT), coté monétisation (on ne fait payer que ceux qui ne participent pas au moteur d’élaboration de la réputation d’IP) ou encore durabilité (on a des fonds, jusqu’en décembre 2021 et on lève notre tour de seeding en ce moment). Vu que c’est du MIT, si nous trahissions notre parole n’importe qui pourra le forker et utiliser le temps et le savoir faire que nous avons mis dedans, sans que nous ayons mot à y dire.

  • “Debian”: le package devrait arriver en testing fin janvier (Debian Go Packaging Team / packages / crowdsec · GitLab) et on espère être intégré à la Bullseye en Juillet.

En espérant avoir répondu à certaines de vos questions,
l’équipe de CrowdSec.

Bonsoir à tous,

C’est chouette ce topic, car j’ai écouté l’épisode de No Limit Secu (un podcast) sur Crowsec et je me disais que ça pourrait être une idée à creuser de l’intégrer à Yunohost. Mais @EricHemmy m’a devancé :clap: :wink:

Sinon, j’allais répondre à tes bonnes intérogations @Aleks en faisant référence au-dit podcast, mais l’invité de cet épisode s’est aussi invité ici. C’est plutôt sympa je trouve*. Bienvenue Philippe @CrowdSec !!

Lien : CrowdSec - NoLimitSecu

*Ben oui, j’imagine que Philippe ne vient pas lever des millions de sous-sous en prenant la peine de poster un message sur le forum de Yunohost :grin:

@Aleks Je te suis sur l’avis de prudence.

Merci pour le welcome @nath5394.

On a une roadmap chargée, avec pas mal de packages a faire pour plein de distro, mais l’équipe essaye de se rendre disponible pour aider les personnes qui souhaitent contribuer/porter/packager/etc. Sur Gitter ou sur Discourse.

Je me rend moi aussi disponible, autant que je le peux, pour chaque communauté. Si on a une marque d’intérêt, alors le minimum, tant que cela est humainement possible, c’est la réciprocité.

Coté millions, on y est pas encore mais on lève des fonds, car il faut fueler la bête en attendant que des business viennent acheter nos offres premium, et surtout en attendant que celles-ci soient développées :slight_smile: On a commencé par le libre, le reste viendra en son temps. Déjà, faisons un bon soft. Pas de stress cependant, on a des ronds pour tenir tranquillement jusqu’à fin 2021 et on aura levé bien avant ca.

Quand à la prudence, c’est une vertue cardinale en matière de sécurité.

Au plaisir la Yuno team.

2 Likes

Bonjour, je n’avais point vu que ce projet avait été déjà mentionné sur le forum.
Donc désolé du topic que j’ai créé et effacé.

@Aleks je comprends ton point de vue. Après étant plus volontaire sur ce genre de question, je ne serais pas parti du principe crowdsec plutôt que fail2ban comme l’initiateur du topic l’a fait. Cependant, ils ont une API. Il y a manifestement de la bonne volonté derrière car le gars s’est quand même déplacé jusqu’ici, on pourrait par exemple faire profiter notre infra sur base volontaire de chacun à travers une app qui fournirait les ips blackliste par fail2ban ou un autre moyen vers leurs API… le but étant quand même de former une base de données mondiale libre d’accès (idée que j’appelle de mes vœux depuis longtemps). Ne fut ce que ça je pense que ce serait relativement cool à mettre en place et déjà une implication à minima non?

Ensuite je n’ai pas regardé comment fonctionne le projet pour la partie réellement firewall, mais avant de penser à un transitional package avec un pur et simple replacement de fail2ban, potentiellement il y a peut-être moyen de combiner les deux tu ne penses pas ?
Même si oui je sais ça ajoute de la lourdeur mais je vais répéter ce qu’on ne cesse d’enseigner en cybersec, toujours mettre deux pare-feu en série plutôt qu’un seul. L’exemple récent de breach d’ubiquiti avec unifi en est un bon à ce niveau-là. Mais on pourrait tout autant parler de solarwinds aussi, même si c’est un exemple plus complexe.

Et l’on sait tous ici que fail2ban a toujours un léger délai de réactivité ou même fait parfois, même si très rarement, des erreurs d’interprétations de logs.

Que dis-tu de ce compromis ? Peut-on se pencher dessus ensemble ou bien cela ne t’intéresse absolument pas ?
D’ailleurs qui est intéressé par évaluer l’incorporation de différentes fonctionnalités de crowdsec au sein d’app ou de package a yunohost ?

@CrowdSec et bienvenu en retard évidemment. Moi je suis très intéressé par votre projet. Je regarderai votre doc dans la semaine et voir ce qu’il est possible de faire sur base de mes propositions que j’ai fait précédemment