ITSkillsCenter
الأمن السيبراني

تثبيت CrowdSec على VPS Debian/Ubuntu: درس كامل 2026

2 min de lecture

📍 المقالة الرئيسية: CrowdSec 2026.

عشرون دقيقة لتحويل VPS مكشوف إلى بنية تحتية محمية بـ CrowdSec. الإجراء موثق عند عدة sysadmins فرنكوفونيين. في النهاية، VPS الخاص بك يستفيد من blocklist المجتمعية 4M IPs ويحظر تلقائياً bots SSH و HTTP.

المتطلبات

VPS Debian 12 أو Ubuntu 22.04/24.04 LTS. وصول SSH root. UFW أو iptables نشط. المستوى: متوسط. الوقت: 20-30 دقيقة.

الخطوة 1 — إضافة repository CrowdSec

curl -s https://install.crowdsec.net | bash
apt install -y crowdsec

التثبيت يكتشف تلقائياً الخدمات الموجودة (SSH، Caddy، Nginx) ويُثبِّت collections المناسبة.

الخطوة 2 — التحقق من agent

cscli version
cscli metrics
systemctl status crowdsec

الخطوة 3 — تسجيل الخادم في CAPI

cscli capi register
cscli capi status

الخادم الآن يُنزِّل blocklist المجتمعية كل ساعة.

الخطوة 4 — تسجيل في Console

cscli console enroll -e context $YOUR_TOKEN_FROM_CONSOLE

الخطوة 5 — تثبيت collections حسب stack

cscli collections install crowdsecurity/caddy
cscli collections install crowdsecurity/nginx
cscli collections install crowdsecurity/wordpress
cscli collections install crowdsecurity/postfix
cscli collections install crowdsecurity/iptables
systemctl reload crowdsec

الخطوة 6 — تثبيت bouncer iptables

apt install -y crowdsec-firewall-bouncer-iptables
systemctl status crowdsec-firewall-bouncer
cscli bouncers list

الخطوة 7 — اختبار الكشف

# من محطة خارجية
for i in $(seq 1 10); do ssh -o StrictHostKeyChecking=no badpass@VOTRE_VPS; done

# على VPS
cscli alerts list
cscli decisions list

الخطوة 8 — تكوين قائمة بيضاء

# /etc/crowdsec/parsers/s02-enrich/whitelists.yaml
name: crowdsecurity/whitelists
description: "Whitelist private IPs and admins"
whitelist:
  reason: "Trusted admins"
  ip:
    - "192.168.0.0/16"
    - "10.0.0.0/8"
    - "VOTRE.IP.PUBLIQUE.FIXE"
  cidr:
    - "100.64.0.0/10"  # Tailscale

الخطوة 9 — Metrics في الوقت الفعلي

cscli metrics

الخطوة 10 — السجلات والتشخيص

journalctl -u crowdsec -f
tail -f /var/log/crowdsec.log

الأخطاء الشائعة

الخطأ الحل
CAPI register يفشل UFW outbound 443
Logs غير مُحلَّلة تخصيص parser
Bouncer لا يحظر تحقق UFW
إيجابي خاطئ Googlebot postoverflow whitelist

التكيف مع السياق

IP fixe محدودة في إفريقيا: استخدم Tailscale. 4G متذبذب: SSH key + 2FA + bastion ثابت. توقيت محلي: timezone Africa/Casablanca أو Africa/Dakar.

دروس الإخوة

الأسئلة المتكررة

الهجرة من Fail2ban؟ systemctl disable fail2ban ثم تثبيت CrowdSec.

تأثير الأداء؟ 30-80 MB RAM، 1% CPU.

للاستزادة

#audited
Besoin d'un site web ?

Confiez-nous la Création de Votre Site Web

Site vitrine, e-commerce ou application web — nous transformons votre vision en réalité digitale. Accompagnement personnalisé de A à Z.

À partir de 250.000 FCFA
Parlons de Votre Projet
Publicité