这份教程基于我们刚才的实际对话整理,针对 OpenCloudOS 9(基于 RHEL 9)、2GB 小内存、宝塔面板/Nginx 环境量身定制。
OpenCloudOS 9 部署 CrowdSec 全流程实战方案
环境说明:
- 操作系统:OpenCloudOS 9
- 内存配置:2GB(需优化 Swap 及服务资源限制)
- Web 环境:宝塔面板 + Nginx
- 目标:部署 CrowdSec 主程序 + Nginx 日志采集 + 防火墙封禁
第一阶段:系统基础优化(Swap 扩容)
由于机器内存较小(2G),建议先将 Swap 从默认配置调整为 2G,防止后续服务崩溃。
- 查看当前 Swap 状态
swapon -s free -h - 关闭现有 Swap
swapoff /www/swap # 或者关闭所有 swapoff -a - 重建 2G Swap 文件
注意:此处以 /www/swap 为例,请根据实际路径调整rm -f /www/swap dd if=/dev/zero of=/www/swap bs=1M count=2048 status=progress chmod 600 /www/swap mkswap /www/swap swapon /www/swap - 验证结果
注:/etc/fstab 若已正确配置free -h # 此时 Swap Total 应显示为 2.0G/www/swap则无需修改。
第二阶段:CrowdSec 仓库配置(绕过安装脚本限制)
由于 OpenCloudOS 9 尚未被 CrowdSec 官方自动脚本完全支持,需手动配置 RPM 仓库。
- 手动创建仓库文件
写入以下内容:vi /etc/yum.repos.d/crowdsec_crowdsec.repo[crowdsec_crowdsec] name=crowdsec_crowdsec baseurl=https://packagecloud.io/crowdsec/crowdsec/rpm_any/rpm_any/$basearch repo_gpgcheck=1 gpgcheck=1 enabled=1 gpgkey=https://packagecloud.io/crowdsec/crowdsec/gpgkeyhttps://packagecloud.io/crowdsec/crowdsec/gpgkey/crowdsec-crowdsec-EDE2C695EC9A5A5C.pub.gpghttps://packagecloud.io/crowdsec/crowdsec/gpgkey/crowdsec-crowdsec-C822EDD6B39954A1.pub.gpghttps://packagecloud.io/crowdsec/crowdsec/gpgkey/crowdsec-crowdsec-FED78314A2468CCF.pub.gpg sslverify=1 sslcacert=/etc/pki/tls/certs/ca-bundle.crt metadata_expire=3600 - 刷新缓存并检查包
dnf makecache --enablerepo='crowdsec_crowdsec' dnf list crowdsec*
第三阶段:安装 CrowdSec 主程序与场景
- 安装 CrowdSec
dnf install -y crowdsec systemctl enable --now crowdsec - 安装 Nginx 和 ModSecurity 场景集合
注意:在 RHEL 系中,不需要安装crowdsec-nginx包,而是通过命令安装集合并配置日志。cscli collections install crowdsecurity/nginx cscli collections install crowdsecurity/modsecurity
第四阶段:配置 Nginx 日志采集(宝塔适配)
OpenCloudOS 9 版本通常使用 /etc/crowdsec/acquis.d/ 目录进行分片配置,而不是单一的 acquis.yaml。
- 创建采集配置文件
vi /etc/crowdsec/acquis.d/bt_nginx.yaml - 填入配置内容
解释:指定宝塔默认日志路径,并标记类型为 nginx。--- filenames:- /www/wwwlogs/*.log labels:type: nginx - 重载服务
systemctl reload crowdsec - 验证采集状态
查看cscli metricsAcquisition部分的Lines read是否大于 0,如果数值在增加,说明日志读取成功。
第五阶段:安装并配置防火墙 Bouncer
由于是小内存机器,推荐使用 Firewall Bouncer(直接封 IP),而不是 Nginx Bouncer(消耗内存)。
- 查找可用的 Bouncer 包
包名通常带后缀,需区分iptables或nftables。dnf list crowdsec* | grep firewall - 安装对应包(二选一)
- 推荐(nftables 版本):
dnf install -y crowdsec-firewall-bouncer-nftables - 备选(iptables 版本):
dnf install -y crowdsec-firewall-bouncer-iptables
- 推荐(nftables 版本):
- 修改 Bouncer 配置
修改vi /etc/crowdsec/bouncers/crowdsec-firewall-bouncer.yamlmode参数以匹配你安装的版本:mode: nftables # 如果装的是 iptables 版本,这里改为 iptables update_frequency: 10s deny_action: DROP - 启动 Bouncer
systemctl enable --now crowdsec-firewall-bouncer
第六阶段:资源限制优化(防 OOM)
为防止 CrowdSec 在 2G 内存机器上占用过高,建议添加内存限制。
- 限制 CrowdSec 主程序
输入以下内容:systemctl edit crowdsec[Service] MemoryLimit=512M CPUQuota=50%systemctl daemon-reload systemctl restart crowdsec - 限制 Firewall Bouncer
输入以下内容:systemctl edit crowdsec-firewall-bouncer[Service] MemoryLimit=128Msystemctl daemon-reload systemctl restart crowdsec-firewall-bouncer
第七阶段:功能测试与验证
- 检查服务状态
systemctl status crowdsec systemctl status crowdsec-firewall-bouncer - 模拟攻击测试
添加一个测试 IP,观察是否被封禁:cscli decisions add --ip 1.2.3.4 --duration 1m --reason "test" - 验证封禁结果
- 查看 CrowdSec 决策列表:
cscli decisions list - 查看防火墙规则(根据你选择的模式):
# nftables 模式: nft list table inet crowdsec# iptables 模式: iptables -L -n | grep crowdsec
- 查看 CrowdSec 决策列表:
常见问题排查
- Q:
yum install crowdsec-nginx提示找不到包?- A: RHEL 系不需要此包,请使用
cscli collections install crowdsecurity/nginx并配置acquis.d即可。
- A: RHEL 系不需要此包,请使用
- Q: 报错
This system is not supported?- A: 请使用第二阶段的“手动创建仓库文件”方法绕过脚本检测。
- Q:
cscli metrics显示Lines read为 0?- A: 检查
/etc/crowdsec/acquis.d/下的路径是否正确(宝塔通常是/www/wwwlogs/*.log),并检查 YAML 缩进是否正确(不要用 Tab 键)。
- A: 检查