CrowdSec ist kein klassisches Intrusion-Detection-System. Es ist ein kollaboratives Sicherheitsnetz: Wer es betreibt, speist Angriffsdaten in eine zentrale Community-Blocklist ein und profitiert umgekehrt von den Beobachtungen aller anderen. Das ist der Kern des Modells - und der Grund, warum der Bouncer von Anfang an Tausende IPs blockiert, noch bevor der Server auch nur einen einzigen Angriff selbst gesehen hat.
Was die Metriken bedeuten
Wenn cscli metrics zeigt, dass fast alle Bans von CAPI stammen statt von lokalen Szenarios, ist das kein Fehler - das ist das Feature. Die Community hat diese IPs bereits als bösartig identifiziert, und der eigene Bouncer profitiert davon ohne eigene Erfahrung.
Was auffallen sollte: Wenn lokale Parser wie sshd-logs installiert sind, aber null Zeilen parsen, ist etwas nicht in Ordnung. Der häufigste Grund ist ein Log-Format-Mismatch - systemd-journald schreibt Logs in einem anderen Format als klassisches Syslog, und manche Parser erwarten das ältere Format.
Parser debuggen
Der Befehl cscli parsers list zeigt, welche Parser aktiv sind. Für SSH-Logs unter systemd hilft es, den Parser explizit auf das journald-Format zu konfigurieren oder die Acquisition so einzustellen, dass sie direkt aus dem Journal liest statt aus /var/log/auth.log.
Dienste, die nicht mehr laufen, sollten aus der Acquisition-Konfiguration entfernt werden. CrowdSec liest sonst weiter alte Log-Dateien und erzeugt Overhead ohne Nutzen.
Was wirklich schützt
Die Community-Blocklist ist eine starke erste Linie. Lokale Erkennung ist die zweite Linie - sie greift bei Angriffen, die noch nicht Community-bekannt sind, und bei Mustern, die spezifisch für die eigene Infrastruktur relevant sind. Beide zusammen ergeben Schutz in der Tiefe.
Für einen Heimserver mit geschlossenen SSH-Ports nach außen ist der praktische Risikobeitrag lokaler SSH-Erkennung gering. Relevanter sind Parser für Webserver-Logs und Mailserver-Logs, da diese Dienste typischerweise nach außen exponiert sind.
Technischer Wert
CrowdSec ist einer der wenigen Security-Stacks, der mit minimalem Konfigurationsaufwand sofort wirksam ist und gleichzeitig tief erweiterbar bleibt. Der Firewall-Bouncer ist in Sekunden eingerichtet, und die Community-Blocklist liefert sofort greifbare Ergebnisse.
Kaufmännischer Wert
Wer einen Server für andere betreibt - sei es als Freelancer mit eigenem Mailserver für Kunden oder als kleine IT-Abteilung - kann mit CrowdSec eine professionelle Sicherheitsebene aufbauen, die kommerziellen Lösungen in vielen Punkten nicht nachsteht, ohne deren Lizenzkosten. Das ist ein handfester Kostenvorteil, der sich über die Zeit akkumuliert.