--- title: CrowdSec created: 2026-06-07 updated: 2026-06-07 type: app tags: [catalogue, networking, security, ids, ips, bouncer, go, collaborative] confidence: high contested: false sources: [https://selfh.st/apps/?tag=networking, https://github.com/crowdsecurity/crowdsec] --- # đŸ›Ąïž CrowdSec > **Moteur de sĂ©curitĂ© comportementale et collaborative** : analyse logs, dĂ©tecte les attaques, bloque via bouncer, et partage les IOC avec la communautĂ©. Le successeur moderne et open source de Fail2Ban, avec une dimension crowd-sourced. | MĂ©tadonnĂ©e | Valeur | | :--- | :--- | | **Site web** | [crowdsec.net](https://crowdsec.net) | | **GitHub** | [crowdsecurity/crowdsec](https://github.com/crowdsecurity/crowdsec) | | **License** | MIT | | **Langage** | Go | | **Étoiles** | 9 800 ⭐ | | **DerniĂšre MAJ** | 2026-05-28 | | **CatĂ©gorie** | [[cat-networking\|Networking]] | ## Description CrowdSec est un **security engine** Ă©crit en Go qui reprend la philosophie de [[app-fail2ban]] (parser les logs, dĂ©tecter des patterns, bloquer) mais y ajoute trois innovations majeures : (1) une **logique de dĂ©cision** plus fine via un DSL de scĂ©narios, (2) un **bouncer** qui applique la dĂ©cision (ban iptables, nginx, Cloudflare
), et (3) un **partage d'IOC anonymisĂ©** avec la communautĂ©. Quand votre instance bannit une IP qui scanne votre SSH, cette IP est signalĂ©e Ă  l'API centrale et protĂ©gĂ©e sur des milliers d'autres instances en quelques secondes. L'architecture est modulaire : un **agent** lit les logs et dĂ©clenche des alertes, des **scĂ©narios** (collections YAML) dĂ©crivent les comportements suspects, un **bouncer** (plugin) applique la remĂ©diation. Plus de 400 scĂ©narios couvrent SSH, HTTP, WordPress, nginx, Traefik, Linux, Kubernetes, etc. La console web [[app-crowdsec-manager]] offre un dashboard de visualisation, alertes et gestion multi-instances. Le modĂšle Ă©conomique est **open core** : le moteur est MIT, certains bouncers avancĂ©s (API premium, blocklists gĂ©ographiques, console SaaS) sont payants. Pour un homelab, l'**Ă©dition community** est largement suffisante. ## Installation ### Docker Compose (recommandĂ©) ```yaml # docker-compose.yml services: crowdsec: image: crowdsecurity/crowdsec:latest container_name: crowdsec restart: unless-stopped environment: - COLLECTIONS=crowdsecurity/sshd crowdsecurity/nginx crowdsecurity/linux crowdsecurity/wordpress - PARSE_ACQUIS_TIMEOUT=2s volumes: - cs-config:/etc/crowdsec - cs-data:/var/lib/crowdsec/data - /var/log:/var/log:ro - /var/run/docker.sock:/var/run/docker.sock:ro networks: - monitoring # Bouncer qui bloque au niveau pare-feu bouncer-traefik: image: fbonalair/crowdsec-traefik-bouncer:latest container_name: crowdsec-bouncer restart: unless-stopped environment: - CROWDSEC_BOUNCER_API_KEY=${CROWDSEC_BOUNCER_API_KEY} - CROWDSEC_AGENT_HOST=crowdsec:8080 networks: - monitoring volumes: cs-config: cs-data: networks: monitoring: driver: bridge ``` ### Installation manuelle (Debian) ```bash curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.deb.sh | sudo bash sudo apt install crowdsec sudo cscli collections install crowdsecurity/sshd crowdsecurity/nginx sudo systemctl enable --now crowdsec ``` ## Configuration Fichier principal : `/etc/crowdsec/config.yaml`. Acquisition des logs (exemple) : ```yaml source: journalctl journalctl_filter: - _SYSTEMD_UNIT=sshd.service labels: type: syslog --- source: file filenames: - /var/log/nginx/access.log - /var/log/nginx/error.log labels: type: nginx ``` Commandes CLI (`cscli`) : ```bash cscli decisions list # bannissements actifs cscli decisions delete --id 42 # dĂ©bannir cscli alerts list # alertes brutes cscli hub list # scĂ©narios disponibles cscli hub install crowdsecurity/wordpress ``` API exposĂ©e sur `localhost:8080`, Ă  ne pas exposer publiquement. ## Alternatives ### Open Source - [[app-fail2ban]] — AncĂȘtre, plus simple, pas collaboratif, Python - [[app-crowdsec-manager]] — Console web officielle (visualisation) - **Wazuh** (fork OSS d'OSSEC) — SIEM complet, plus lourd - **Suricata / Zeek** — NIDS rĂ©seau, niveau paquet - **OSSEC** — HIDS historique (C, plus de dĂ©veloppement) ### PropriĂ©taire (ce que CrowdSec remplace) - **Cloudflare Bot Management** — WAF commercial, pay-as-you-go - **AWS GuardDuty** — IDS managĂ©, facturation au Go - **Datadog Security Monitoring** — SaaS d'observabilitĂ© sĂ©curitĂ© - **Fail2ban Cloud (Cognito)** — Fork commercial de Fail2Ban ## SĂ©curitĂ© - **Inscrire son instance** sur crowdsec.net (compte gratuit) pour bĂ©nĂ©ficier du partage d'IOC mondial. - **Ne pas exposer l'API 8080** sur Internet : la clĂ© API sert Ă  authentifier les bouncers. - **Choisir ses collections avec soin** : trop de scĂ©narios = faux positifs et charge CPU. - **Whitelist** vos IP de monitoring/administration dans `postoverflows/s02-enrich/whitelist.yaml`. - **Surveiller la latence API** : si crowdsec.net est down, la dĂ©cision locale continue mais l'enrichissement IOC est KO. - **Bouncer Traefik** : protĂšge tous les services derriĂšre Traefik sans config par service. - **Consulter le dashboard** : la console [[app-crowdsec-manager]] expose le top des attaques, l'efficacitĂ© des scĂ©narios et les faux positifs. ## Ressources - [Site officiel](https://crowdsec.net) - [Documentation](https://docs.crowdsec.net) - [Hub de scĂ©narios](https://hub.crowdsec.net) - [GitHub](https://github.com/crowdsecurity/crowdsec) - [Forum communautaire](https://discourse.crowdsec.net) ## Pages LiĂ©es - [[cat-networking|Networking]] — CatĂ©gorie parente - [[cat-security|SĂ©curitĂ©]] — CatĂ©gorie transversale - [[app-fail2ban]] — Comparaison directe avec CrowdSec - [[app-crowdsec-manager]] — Console web d'administration - [[app-traefik]] — Reverse-proxy pair avec le bouncer - [[recettes-docker-compose|Recettes Docker Compose]] - [[securisation-home-lab]] — StratĂ©gie dĂ©fense en profondeur