• [^] # Re: crowdsec

    Posté par . En réponse à la dépêche reaction, remplaçant de fail2ban. Évalué à 5.

    Sur le point de l'algorithme de consensus, il est débattu et partagé, et vous pouvez y participer notamment sur notre discorde. Le principe est simple, une IP est ajoutée dans la blockliste quand elle est reportée par assez de membres du réseau, qui ont passé leur période de quarantaine, offrant assez de diversité en terme d'AS source et que cette IP n'est pas dans une whiteliste (genre m$ update, google bot, 8.8.8.8, etc.).

    C'est du stream donc quand la pression mise par la communauté est suffisante, l'IP entre dans la blockliste et quand elle diminue et passe sous un certain niveau, elle est retirée.

    l'agent est en MIT license, ce qui je pense reste de l'open source, mais libre à chacun de le décider. Le partage de signaux est optionel et désactivable.

    Enfin en ce qui concerne la facon dont les signaux sont traités, c'est effectivement une API et pas local. Le code n'est pas publié pour trois raisons principales: 1/ c'est pas mal d'infra as code, car ca tourne sur des micro services donc c'est difficile à installer en local pour des utilisateurs et 2/ c'est en permanente évolution donc itérations rapides, donc ca serait complexe à open sourcer et maintenir avec le bon niveau de documentation à jour, de commentaires, etc. 3/ le faire tourner à échelle local ne fait pas énormément de sens par rapport au fait de le faire à l'échelle de plusieurs milliers de machines. Mais vous pouvez le faire avec la partie LAPI du soft en local, elle aussi open source et documentée.

    Ceci dit, l'équipe est ravie d'échanger avec qui veut pour ces aspects d'algo, on est plus intelligents à plusieurs en la matière.