crowdsecを昨晩仕込んで、今朝 podman exec crowdsec cscli decisions list みてみると 28 ホストがBANされていた、実際のフィルタを確認すると8600行にもなっていて、GPTに聞くと、CAPI(CrowdSec Community Blocklist)と連動して事前にブラックリストを共有してくれているらしい😀。かなり使えるので独自ルールセットも入れていきたいので、別パッケージにしよう(以前にダークリスト、ブラックリストを自前でつくって運用していたのが自動化できそう)
作業日報
- JenkinsにBasic認証をかける
リバプロの後段に認証がある場合は nginx 側に以下のように Authnication ヘッダをリセットする必要ありauth_basic_user_file /var/www/jenkins_htpasswd;proxy_set_header Authorization "";← これが必要❗ - Crowdsecを別パッケージに分離
- iptables -> nftables 勉強 、前段はiptables を廃止
- 構成が増えてきたのでメンテ用のドキュメントまとめ始める
GPTに聞いたこと
- 入れた覚えのないホワイトリストの項目がでているが大丈夫か?
有名DNSサーバ群、検索エンジン正規クローラ、CDNプロバイダ、純粋なホワイトリスト、登録はループバック、LANアドレス、docker内Net等7件で大丈夫 - CAPIコミュへの情報 cscli console enable (disable)