惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
L
LINUX DO - 最新话题
Recorded Future
Recorded Future
月光博客
月光博客
博客园 - 【当耐特】
博客园 - 叶小钗
宝玉的分享
宝玉的分享
量子位
雷峰网
雷峰网
博客园 - 三生石上(FineUI控件)
The Cloudflare Blog
Vercel News
Vercel News
L
LangChain Blog
B
Blog
Y
Y Combinator Blog
爱范儿
爱范儿
GbyAI
GbyAI
S
Security @ Cisco Blogs
T
The Blog of Author Tim Ferriss
A
About on SuperTechFans
博客园 - Franky
P
Palo Alto Networks Blog
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
云风的 BLOG
云风的 BLOG
C
Cisco Blogs
Scott Helme
Scott Helme
I
Intezer
T
The Exploit Database - CXSecurity.com
MyScale Blog
MyScale Blog
T
Tor Project blog
D
Darknet – Hacking Tools, Hacker News & Cyber Security
T
Troy Hunt's Blog
N
News and Events Feed by Topic
大猫的无限游戏
大猫的无限游戏
F
Fortinet All Blogs
www.infosecurity-magazine.com
www.infosecurity-magazine.com
Application and Cybersecurity Blog
Application and Cybersecurity Blog
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
S
Security Affairs
Cyberwarzone
Cyberwarzone
PCI Perspectives
PCI Perspectives
小众软件
小众软件
D
DataBreaches.Net
Exploit-DB.com RSS Feed
Exploit-DB.com RSS Feed
Know Your Adversary
Know Your Adversary
Forbes - Security
Forbes - Security
S
Securelist
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
C
Cyber Attacks, Cyber Crime and Cyber Security
The Last Watchdog
The Last Watchdog

少数派

派早报:Google 发布 Fitbit Air 等 - 少数派 「新人报到」確認需求,再開始 - 少数派 从 SOLO 独立开发者社区,我看到了越来越多开发者开始做自己的产品 - 少数派 我怎么管理那些"不常做,但总会忘"的生活事项 - 少数派 人形机器人量产元年,数据才是具身智能的“生死线” - 少数派 BuhoLaunchpad 高度还原 Mac 启动台:开发历程与思考 - 少数派 五年陪伴依然不舍,DIY 换壳后让罗技 MX Master 3 继续服役 - 少数派 新玩意 240|少数派的编辑们最近买了啥? - 少数派 一日一技|为什么你应该关闭 iOS 的键盘声音 - 少数派 我做了个插件和 Skills,一键提取任何网站的设计规范 Design.md - 少数派 住在三四线城市的你,该开始录播客了 - 少数派 甘南秘境,大白高国 - 少数派 AI的审美:谁让把我变成川内倫子 - 少数派 返工怎能不烦恼,打工人片单总有一部是你的「嘴替」 - 少数派 为了让「上厕所」更健康,我做了一个小工具 - 少数派 AI + Skill,能够让生成的文章去除 AI 味吗? - 少数派 新玩意|韶音OpenDots ONE 耳夹式耳机 - 少数派 《美满》| 在每一个春天的晚上相爱(362) - 少数派 新玩意|优篮子 PS01 MagSnap 磁吸支架 - 少数派 自我整合手记 | 我开始早睡了:用稳定规则,为自由托底 - 少数派 用龙虾(OpenClaw)两个多月,我最深的12个体会 - 少数派 听歌时间到,12 张你可能错过的 2025 华语乐坛好专辑 - 少数派 承诺能追吗 - 少数派 macOS 26启动台没了? 我做了个不一样的App启动器 - Keboard - 少数派 《四海为家的人》| INTJ对话INTJ(361) - 少数派 你发过的那些黑历史,是时候一次清干净了 - 少数派 新玩意:安安静静玩,越玩越专注:计客密码机 - 少数派 iPad 用户首次体验 Android 平板:vivo Pad6 Pro - 少数派 数据逻辑强 - 少数派 极北行+ | 一路向北,探访日本至北之地 | 001 - 少数派 万字剖析:千问App深度体验报告(2026) - 少数派 在2026年,如何真正防止别人抄袭你的作品 - 少数派 怎么用 50 块搭个 AI 语音助手?我踩了 3 天坑 - 少数派 YeeroAI:让 AI 对话真正成为知识管理的一部分 - 少数派 爬泰山 - 少数派 「旅图显影」 App 更新:这次,我们补上了一点「手感」 - 少数派 假期出门太折磨?我的 23 条经验帮你规划惬意旅行 - 少数派 工作流会变吗 - 少数派 Claude Opus 4.6 怎么用最省钱?我测了 5 种方案 - 少数派 GPT Image 2 让图文并茂不再稀罕 - 少数派 用户侧出发——什么是AI,我要不要学习? - 少数派 找片、转存、整理、播放一条龙!让你的付费网盘值回票价 - 少数派 欢迎试用!日课一问2.0插件 - 少数派 自己做的MDeditor,原本想购买 Typora 试了两次支付不成功,干脆自己做一个 - 少数派 vibe coding了一个 3MB 的小工具,让 ~/Downloads 彻底告别混乱 - 少数派 因为受不了 Mac 的风扇策略,我做了一个风扇控制工具 - 少数派 别只怪模型 - 少数派 Warp 终端的 AI 功能怎么用?我测了一周的体验 - 少数派 AI 写代码老是出 bug?这 5 个配置我后悔没早知道 - 少数派 「新玩意」苹果出相机可能就这样:Sigma BF + 45mm F2.8 DG Contemporary - 少数派 一个面向2030年的AI操作系统是什么样子的:浅谈cola这款有灵魂的Agent - 少数派 别只看写代码 - 少数派 每天解决10个问题,还是一口气攻坚解决400个? - 少数派 AI 交易机器人怎么搭?我用 Claude 跑了一周实盘 - 少数派 Maptoposter Online:把你爱的城市画成艺术海报 - 少数派 Function Calling 怎么用?我测了 3 个模型发现差距真大 - 少数派 Legend Talk:我做了个 AI 圆桌,让 160 位思想家围着你的问题转 - 少数派 如何找到自己的蓝方?在小县城寻找压力测试 - 少数派 语音输入与软件接口|2026年聊AI时,我们都聊些什么(上) - 少数派 混动已经卖爆,纯电又来补刀——钛7闪充版简直“不讲武德” - 少数派 本月玩什么|朋友收藏、识质存在、沙罗周期 - 少数派 为什么要每天坚持输出? - 少数派 Claude API 挂了好几个小时,你的项目有备用方案吗? - 少数派 Function Calling 没你想的复杂——我用它做了个有点用的工具 - 少数派 登录系统立即播放视频或者图片音乐的软件 - 少数派 我为什么创建 FlipHTML5 下载工具 - 少数派 残局没电?多品牌外设电量统一管理软件EasyBluetooth已支持RTSS游戏内显示以及AIDA64 - 少数派 前往通义路的路 - 少数派 太好看了,媲美Sun的个人导航页,NAS部署星云门户 - 少数派 乌黑嘴唇“一键检测”上线了 - 少数派 派早报:Claude AI 接入多个创意软件生态、FILCO 生产方接手品牌等 - 少数派 【更新】BearCLI、Claude 连接器与 MCP 服务器 - 少数派 记了上千条流水,还是看不懂财务?我做了一个让 AI 读懂账本的工作台 - 少数派 MINI R56 升级原厂 Sport 模式 - 少数派 新玩意 | 一棵柠檬树(仿真版) - 少数派 Momenta的“物理AI”野望,需迈过“含摩量”这道关 - 少数派 网页直接投屏控制手机!NAS一键部署PandaScrcpy,流畅丝滑可远程。 - 少数派 众测|邀你一同探索随身 AI 硬件入口 YoooClaw C·ONE - 少数派 2050大会:分享时间是真诚 参会记 - 少数派 iPad 赋能电影创作:国内首部宣纸手绘长片《燃比娃》的幕后故事 - 少数派 AI的审美:我用 8 个大模型给 100 张旅行照片打分 - 少数派 普通人如何破圈?去参加一个本地协会 - 少数派 把极空间的图标全换了,主题DIY全攻略打造你的专属NAS桌面 - 少数派 电子便签墙,帮你实现便签自由 - 少数派 我如何用三个 CLI 工具取代文档创建需求 - 少数派 原来真的有人可以玩一辈子 - 少数派 社区速递 139 | 派友热议三月买了啥、复古单反尼康 Df 体验 - 少数派 06 作品的赏析与评价 - 少数派 TDS REVIEW|索尼 WF-1000XM6 降噪真无线耳机体验 - 少数派 35.98万起售的第二代腾势D9,我看重的不是堆料,而是不凑合 - 少数派 鼠须管 Squirrel 皮肤配置指北 - 少数派 从watch ultra2换到redmi watch6 - 少数派 派早报:阿里巴巴发布视频生成模型 HappyHorse 1.0 等 - 少数派 别迷信1M - 少数派 家人们天塌了!网盘“大封杀”,多个渠道多条路,NAS部署PanHub - 少数派 AI与人勾心斗角!NAS一键部署AI狼人杀,假日休闲必备。 - 少数派 电商必备!Comfyui工作流批量生图插件,一次生成12张!支持Nano banana pro模型 - 少数派 Comfyui工作流配置Gpt-image-2模型教程,0.03/张 - 少数派 OpenClaw第三方APi怎么配置?可使用Gpt-image-2模型 - 少数派 会员社区话题精选 Ep. 103 - 少数派
浅谈如何提高自建服务的安全性 - 少数派
2024-05-19 · via 少数派

本文参加「自力更生」征文活动

目标读者

  1. 有一定运维经验,了解docker的使用和管理
  2. 不是手把手教,也能顺藤摸瓜

背景

自托管(self-hosting)服务其中一个重要的问题就是安全性,一般来说,这类服务都要暴露在公共网络上,比如,媒体中心、密码管理器、相册中心等等。个人维护根本没有这个安全意识,伺服器可能不设防,这么多重要的资料如果被偷窃了,后果不堪设想,这个时候就要考虑到网络上面的安全措拖,避免受到DDos攻击ssh爆破漏洞攻击等。先来整理一下整个流程。


其中反向代理(reverse proxy)隧道(tunnel)可能会因不同的使用方法可能不一样或不需要,比如使用反向代理之后可以更加灵活的配置服务和https,如果没有公网可以用Tunnel来暴露服务出来,比如frpcloudflare tunnel等。不过这些不是本文的重点。焦点落在上图的红线部分,所有的流量如果能在这里通过组件审查过滤掉有问题请求就好了,而我希望这个组件是开源的非入侵式不影响原来架构配置简单。而CrowdSec 就很符合我的要求了。

CrowdSec

工作原理

这个是一个开源的安全防护引擎,工作的原理就是读取和分析日志,然后采集请求头伺服器系统日志等多个维度的数据,和一些社区维护的黑名单,CVE行为进行匹配,如果发现有问题的请求,就通过不同的修复组件(Remediation Components),去做相应的操作,比如使用了 Firewall的组件就可以 ban对应的ip。有兴趣可看官方的说明,非常详细而且简单明了,这里放一张官方图片:

官方架构图

部署使用

我目前使用的是用nginx proxy manager(简称npm,下文都用这个代称)来作为反向代理,主要是可以直接用GUI来配置nginx,同时支持自动更新 SSL证书,不过这不在本文的讨论内容中。目前我的服务架构装完CrowdSec之后会变成下图:


如图所示,Component是负责执行操作,比如封锁请求,返回状态码之类,而CrowdSec就是采集和分析日志,管理下发指今等等。

因为npm官方并未有完整的支持CrowdSec(更多内容可查看这个 PR),即没有集成Component,所以用社区成员LePresidente所构造的集成CrowdSec Component的npm docker镜像来部署。详细样例代码在gist上面,核心部分是将 npm 的日志目录让CrowdSec可以访问到,代码部分就在这个位置,运行的步骤要先在CrowdSec容器内的bash执行下这个命令cscli bouncers add npm-bouncer生成CROWDSEC_BOUNCER_APIKEY,给npmComponent使用

如无意外,你原先的服务正常运行了,网站也可以正常访问,你就已经完成了 80% 的工作了。这个时候你在CrowdSec容器bash中运行sudo cscli collections install crowdsecurity/nginx-proxy-manager,之后重启一下CrowdSec容器。

至此,防护的部分就已经完成了,你可以在CrowdSec容器中使用cscli hub list 可以看目前各种规则配置。更多的命令可以查询官方文档

简单测试

CrowdSec容器中运行cscli decisions add --ip <你局域网的ip>,这个时候你通过你设备再访问反向代理下的服务,应该是全部无法访问了,这证明了防护是有效的,要取消这个decision,使用cscli decisions delete --ip <你局域网的ip> 即可。接下来就到可视化行为数据了。

可观测的安全审计

展示一下目标,可以在dashboard上面看到拦截情况:


可以直观地看出那个是主要的攻击者使用的vps,攻击方式。该方式是官方提供的,而有个cscli dashboard 的配置我没有研究过,因为我评估这些数据也不需要自己开个服务展示,就直接使用了官方的方法。只需三步:

  • CrowdSec容器中执行上一步生成的命令

稍等几秒钟,你刷新一下CrowdSec的管理页面,你就看到有想应的CrowdSec Security Engine添加成功了🎉。

警报推送

目前CrowdSec支持的推送方式有很多种,有httpEmailSlack等等,而我用http的方式来讲解一下大致流程。修改配置文件 ${EXTERNAL_DATA_PATH}/crowdsec/conf/notifications/http.yaml里面的url为你要通知的地址,其他的根据你的需求修改一下,比如可以通过group_threshold设置收到多少条警报,才向http发送讯息。另外,${EXTERNAL_DATA_PATH} 表示读取环境变量EXTERNAL_DATA_PATH ,主要看你在上面docker-compose.yml配置的是什么地址。

在配置文件${EXTERNAL_DATA_PATH}/crowdsec/conf/profiles.yaml上将被注释掉代码反注释:

#notifications:
# - http_default 

重启CrowdSec容器,即可生效。简单用cscli notifications test测试是否可用,推送的内容大概是这个样子的:

结语

本文将整个防护的工作流程稍微整理了一下,再附上精简的部署教程,主要希望起到抛砖引玉的效果,所以文中有大量省略的但也颇为重要的部分,比如,封禁ip的策略配置,人机验证配置,社区分享的collections使用等。望体谅。

参考

  1. 官方blog Protect Your Websites with CrowdSec and Nginx Proxy Manager
  2. 官方CrowdSec Engine文档
  3. 官方cscli命令文档