CrowdSec Ban aufheben: IP mit cscli entsperren

|

1. Einleitung

CrowdSec schuetzt Server effektiv vor Angriffen, kann jedoch bei aggressiven Regeln oder Fehlkonfigurationen auch legitime IP-Adressen, wie die eigene, sperren. Wenn der Zugriff auf den Server ploetzlich verweigert wird, liegt oft eine aktive Entscheidung («Decision») in CrowdSec vor.

Ziel dieses Tutorials ist es, eine gesperrte IP-Adresse zu identifizieren und manuell ueber die Kommandozeile wieder freizugeben.

Voraussetzungen:

  • SSH-Zugriff auf den Server (ggf. ueber eine andere IP oder Konsole)
  • Installiertes und laufendes CrowdSec
  • Sudo-Rechte

[BILD 1: Terminal-Fenster mit einer «Access Denied» Meldung]

2. Ueberblick

Nach Abschluss dieses Tutorials ist der Zugriff von der betroffenen IP-Adresse wieder moeglich. Wir nutzen dazu das CrowdSec-Command-Line-Interface (cscli).

  • Pruefen der aktiven Sperren
  • Manuelles Loeschen der Entscheidung

3. Schritt-fuer-Schritt Anleitung

  1. Aktive Bans auflisten
    Zunaechst muss geprueft werden, ob und warum die IP gesperrt wurde. Der folgende Befehl listet alle Entscheidungen auf, die vom lokalen CrowdSec-Agenten getroffen wurden.
sudo cscli decisions list --origin crowdsec

Dieser Befehl filtert die Liste, sodass nur lokale Sperren angezeigt werden. Suchen Sie in der Ausgabe nach Ihrer IP-Adresse.

[BILD 2: Screenshot der Tabellenausgabe von cscli decisions list]

  1. IP-Adresse entsperren
    Sobald die IP identifiziert ist, kann die Sperre mit dem delete Befehl entfernt werden. Ersetzen Sie <deine_IP> durch die tatsaechliche IP-Adresse (z. B. 192.168.1.50).
sudo cscli decisions delete --ip <deine_IP>

Bei Erfolg meldet das System, dass die Entscheidung(en) fuer diese IP geloescht wurden.

4. Wichtige Hinweise & Stolperfallen

Hinweis zur eigenen IP: Wenn Sie sich regelmaessig selbst aussperren, sollten Sie Ihre statische IP-Adresse dauerhaft in die Whitelist (Allowlist) von CrowdSec aufnehmen. Dies verhindert zukuenftige Bans.

Ban-Typen: Achten Sie darauf, ob der Ban lokal (origin: crowdsec) oder ueber eine Community-Blocklist (CAPI) kam. Community-Bans lassen sich nicht immer permanent lokal loeschen, wenn die IP weltweit als bösartig eingestuft ist.

5. Ergebnis & Fazit

Die IP-Adresse ist nun wieder freigegeben und der Zugriff auf die Dienste ist wiederhergestellt. CrowdSec arbeitet weiter im Hintergrund, ignoriert aber nun die zuvor getroffene Sperr-Entscheidung fuer diesen spezifischen Client.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert