Installazione e Configurazione Base di CrowdSec su Ubuntu Server 26.04

da | Lug 16, 2026 | 0 commenti

 

CrowdSec si è ormai affermato come alternativa moderna e collaborativa a Fail2ban: non si limita a bloccare IP sospetti in base ai log locali, ma sfrutta un modello di intelligence condivisa costruita dalla community quando un IP viene segnalato come malevolo su una macchina, l’informazione (in forma anonimizzata) arriva a tutti gli altri utenti del network CrowdSec, permettendo un blocco preventivo ancora prima che l’attacco arrivi sui propri sistemi.

L’architettura si basa su un motore che analizza i log in tempo reale tramite scenari e parser configurabili, un sistema di bouncer che applica il blocco effettivo (a livello di firewall, reverse proxy, o altro), e una console centralizzata opzionale per la gestione multi-macchina.

In questo articolo vedremo come installare CrowdSec su una macchina Ubuntu Server 26.04 pulita, quali collection attivare per un primo hardening (SSH, log di sistema, eventuali servizi web esposti), come configurare il bouncer firewall di base, e alcuni accorgimenti pratici per verificare che tutto funzioni correttamente prima di portarlo in produzione su un ambiente multi-sito come il mio.

 

PREREQUISITI

  • Ubuntu Server 26.04 LTS
  • Accesso root o sudo
  • Connessione internet attiva
  • Minimo 1 GB RAM, 10 GB storage

 

AGGIORNAMENTO DEL SISTEMA

Prima di tutto aggiornare i pacchetti con il comando:

 

AGGIUNTA DEL REPOSITORY UFFICIALE DI CROWDSEC

CrowdSec distribuisce i pacchetti tramite il proprio repository APT. Aggiungilo con lo script ufficiale:

Lo script importa la chiave GPG, registra il repository e aggiorna la cache APT.

Dovremmo visualizzare il seguente output:

 

NOTA BENE: se preferisci non fare pipe di curl direttamente in bash, puoi scaricare lo script, esaminarlo e poi eseguirlo manualmente.

ATTENZIONE: Per Ubuntu Pro/ESM, se hai i repository universe abilitati, il sistema potrebbe proporre CrowdSec 1.4.6 (versione obsoleta). Crea un pinning per forzare il repo ufficiale:

 

INSTALLAZIONE DELL’AGENT

Installare l’agent con il seguente comando:

Durante l’installazione CrowdSec rileva automaticamente i servizi in esecuzione (sshd, nginx, ecc.) e scarica le relative collection di default dal CrowdSec Hub.

Al termine dovremmo visualizzare il seguente output:

Verificare cosa è stato installato con il comando:

Dovremmo visualizzare il seguente output:

 

INSTALLAZIONE DEL FIREWALL BOUNCER

Il bouncer è il componente che applica concretamente i blocchi. Scegli la versione corretta in base al tuo stack firewall:

Se si utilizza iptables (default su Ubuntu):

Se si utilizza nftables nativo:

ATTENZIONE: se il tuo sistema usa nftables nativo e installi il bouncer iptables, sembrerà funzionare ma non bloccherà nulla.

Verificare con il comando:

Se il comando restituisce output, stai usando nftables.

Il bouncer si registra automaticamente con l’agent locale e inizia subito ad applicare blocchi, inclusa la community blocklist sincronizzata dal cloud CrowdSec.

 

VERIFICA DEL FUNZIONAMENTO

Abilita il servizio all’avvio e verifica lo stato con i comandi:

Se è tutto OK dovremmo visualizzre il seguente output:

Controllare le metriche di acquisizione log con il comando:

Dovremmo visualizzare il seguente output:

Se i contatori di acquisizione crescono mentre i log si riempiono, l’agent sta leggendo correttamente.

Se rimangono a zero, il problema è quasi sempre un percorso log non standard: controllare e correggere /etc/crowdsec/acquis.yaml.

 

CONFIGURAZIONE DELLE COLLECTION

Le collection sono bundle di parser e scenari per uno specifico servizio. Installare solo quelle relative ai servizi realmente in esecuzione sulla macchina.

Collection base (consigliate per tutti i server)

bash# Rilevamento pattern SSH brute-force (già inclusa di default)

# Pattern HTTP per exploit CVE generici (/.env, /wp-config.php.bak, ecc.)

# Pattern privilege escalation locale da auth.log

Collection aggiuntive (in base ai servizi installati)

bash# Solo se usi Nginx

# Solo se usi Apache

# Solo se usi WordPress

# Solo se MariaDB/MySQL è esposto in rete (non localhost)

# Solo se usi il tarpit SSH endlessh

Regola pratica: non installare collection per servizi che non hai. Ogni parser aggiunge overhead e rumore nel log delle decisioni. Tratta le collection come le regole firewall: minima superficie, intento esplicito.

Dopo l’installazione di nuove collection, riavvia l’agent con il comando:

Verificare gli scenari attivi con i seguenti comandi:

 

CONFIGURAZIONE DELLE SORGENTI LOG (ACQUIS.YAML)

Se hai percorsi log non standard o vuoi aggiungere manualmente delle sorgenti, modificare /etc/crowdsec/acquis.yaml con il comando:

Esempio di configurazione per SSH e Nginx:

Dopo le modifiche eseguire il comando:

 

COLLEGAMENTO ALLA CROWDSEC CONSOLE (OPZIONALE MA CONSIGLIATO)

La console web gratuita su app.crowdsec.net offre un dashboard centralizzato con alert, decisioni, statistiche e mappa geografica degli attacchi.

La procedura di enrollment prevede i seguenti passaggi:

Creare un account su app.crowdsec.net

Andare su Security Engines → Add → copiare il comando di enrollment

Eseguilo sul server:

Approvare l’istanza dalla Console web

Riavviare l’agent (passaggio obbligatorio):

ATTENZIONE: senza il riavvio, l’istanza risulta enrollata ma non trasmette dati alla Console.

Se è tutto OK dovremmo visualizzare la Dashboard di Crowdsec come mostrato nell’immagine sovrastante

 

COMANDI UTILI PER LA GESTIONE QUOTIDIANA

bash# Visualizza le decisioni attive (IP bannati)

# Visualizza gli alert recenti

# Aggiungi manualmente un ban

# Rimuovi un ban

# Whitelist permanente di un IP

# Aggiorna hub (parser, scenari, collection)

# Stato dei bouncer registrati

# Metriche dettagliate

 

Articoli Recenti

Veeam Backup

Monitoring

Friends

  • My English Lab  English School
  • ChrSystem   Servizi ICT
  • Since 01  Kreative Graphics

Database

Networking

Autori

  • Raffaele Chiatto  Amministratore
  • Marco Valle  Autore
  • Angelo Lauria  Autore
  • Edoardo Prot  Autore
  • Davide D’Urso  Autore
Raffaele Chiatto

Raffaele Chiatto

Sono Raffaele Chiatto, un appassionato di informatica a 360 gradi. Tutto è iniziato nel 1996, quando ho scoperto il mondo dell'informatica grazie a Windows 95, e da quel momento non ho più smesso di esplorare e imparare. Ogni giorno mi dedico con curiosità e passione a scoprire le nuove frontiere di questo settore in continua evoluzione.
Categorie: CrowdSec | Ubuntu

Related Post

0 commenti

Invia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Virtualizzazione

Linux

Microsoft

Apple

Backup

Database

Security

Automazione