الأمن السيبراني

تثبيت CrowdSec على VPS Debian/Ubuntu: درس كامل 2026

2 دقائق للقراءة

📍 المقالة الرئيسية: CrowdSec 2026.

عشرون دقيقة لتحويل VPS مكشوف إلى بنية تحتية محمية بـ CrowdSec. الإجراء موثق عند عدة sysadmins فرنكوفونيين. في النهاية، VPS الخاص بك يستفيد من blocklist المجتمعية 4M IPs ويحظر تلقائياً bots SSH و HTTP.

المتطلبات

VPS Debian 12 أو Ubuntu 22.04/24.04 LTS. وصول SSH root. UFW أو iptables نشط. المستوى: متوسط. الوقت: 20-30 دقيقة.

الخطوة 1 — إضافة repository CrowdSec

curl -s https://install.crowdsec.net | bash
apt install -y crowdsec

التثبيت يكتشف تلقائياً الخدمات الموجودة (SSH، Caddy، Nginx) ويُثبِّت collections المناسبة.

الخطوة 2 — التحقق من agent

cscli version
cscli metrics
systemctl status crowdsec

الخطوة 3 — تسجيل الخادم في CAPI

cscli capi register
cscli capi status

الخادم الآن يُنزِّل blocklist المجتمعية كل ساعة.

الخطوة 4 — تسجيل في Console

cscli console enroll -e context $YOUR_TOKEN_FROM_CONSOLE

الخطوة 5 — تثبيت collections حسب stack

cscli collections install crowdsecurity/caddy
cscli collections install crowdsecurity/nginx
cscli collections install crowdsecurity/wordpress
cscli collections install crowdsecurity/postfix
cscli collections install crowdsecurity/iptables
systemctl reload crowdsec

الخطوة 6 — تثبيت bouncer iptables

apt install -y crowdsec-firewall-bouncer-iptables
systemctl status crowdsec-firewall-bouncer
cscli bouncers list

الخطوة 7 — اختبار الكشف

# من محطة خارجية
for i in $(seq 1 10); do ssh -o StrictHostKeyChecking=no badpass@VOTRE_VPS; done

# على VPS
cscli alerts list
cscli decisions list

الخطوة 8 — تكوين قائمة بيضاء

# /etc/crowdsec/parsers/s02-enrich/whitelists.yaml
name: crowdsecurity/whitelists
description: "Whitelist private IPs and admins"
whitelist:
  reason: "Trusted admins"
  ip:
    - "192.168.0.0/16"
    - "10.0.0.0/8"
    - "VOTRE.IP.PUBLIQUE.FIXE"
  cidr:
    - "100.64.0.0/10"  # Tailscale

الخطوة 9 — Metrics في الوقت الفعلي

cscli metrics

الخطوة 10 — السجلات والتشخيص

journalctl -u crowdsec -f
tail -f /var/log/crowdsec.log

الأخطاء الشائعة

الخطأ الحل
CAPI register يفشل UFW outbound 443
Logs غير مُحلَّلة تخصيص parser
Bouncer لا يحظر تحقق UFW
إيجابي خاطئ Googlebot postoverflow whitelist

التكيف مع السياق

IP fixe محدودة في إفريقيا: استخدم Tailscale. 4G متذبذب: SSH key + 2FA + bastion ثابت. توقيت محلي: timezone Africa/Casablanca أو Africa/Dakar.

دروس الإخوة

الأسئلة المتكررة

الهجرة من Fail2ban؟ systemctl disable fail2ban ثم تثبيت CrowdSec.

تأثير الأداء؟ 30-80 MB RAM، 1% CPU.

للاستزادة

Où héberger votre projet web ?

Hostinger propose des plans dimensionnés pour les freelances et PME. Lien d’affiliation — pas de surcoût pour vous.

Comparer les plans →

Lien d affiliation. Si vous achetez via ce lien, le blog reçoit une petite commission sans surcoût pour vous.

مقالات ذات صلة

مشاركة

مقالات مشابهة