🔄 Update-Anleitung: CrowdSec AppSec – Web Application Firewall
Diese Anleitung richtet sich an alle, die den Artikel bereits umgesetzt haben. Stand: 20.03.2026.
🔍 Musst du etwas tun?
Die Anleitung wurde primär aufgeräumt, um Redundanzen mit der Traefik-Hauptanleitung zu vermeiden. Zusätzlich wurde ein allgemeines Beispiel durch eine konkrete Whitelist für die Anwendung Tandoor (eine Rezept-Verwaltung) ersetzt. Alle Änderungen sind rein optional und betreffen bestehende, funktionierende Installationen nicht direkt.
Dein Setup ist betroffen, wenn du Folgendes umgesetzt hast:
- Du möchtest deine Profil-Benennung (aus kosmetischen Gründen) an die neue Struktur unserer Traefik-Hauptanleitung angleichen.
✅ Nicht betroffen? Du musst nichts tun. Wenn deine Firewall läuft, ignoriere dieses Update.
⚠️ Betroffen? Lies weiter 👇
📋 Übersicht der Änderungen
| # | Was hat sich geändert | Dringlichkeit | Kapitel |
|---|---|---|---|
| 1 | Neues Whitelist-Beispiel für “Tandoor” hinzugefügt | 🟢 Optional | Kapitel 6: WAF Whitelists erstellen |
| 2 | Profilname an Hauptanleitung angeglichen (mrks-config) | 🟢 Optional | Kapitel 5: CrowdSec Einstellungen überprüfen |
🔴 Notwendig = ohne Update funktioniert etwas nicht mehr
🟡 Empfohlen = Verbesserung, kein Zwang
🟢 Optional = nice to have
🛠️ Was musst du anpassen?
Schritt 1: Tandoor Whitelist anlegen
📖 Kapitel im Artikel: Kapitel 6: WAF Whitelists erstellen
⏱️ Aufwand: ca. 5 Minuten
🎯 Dringlichkeit: 🟢 Optional
Was hat sich geändert?
Das alte pauschale pre_eval Beispiel in der Konfiguration wurde entfernt. Stattdessen haben wir ein konkretes, sichereres Praxisbeispiel eingefügt, wie man gezielt Fehlalarme für die Rezept-App Tandoor abschaltet.
Warum ist das wichtig?
Wenn du Tandoor betreibst, blockiert die WAF ohne diese Regeln unter Umständen reguläre API-Aufrufe der App. Die neue Whitelist behebt dies sauber.
So gehst du vor:
- Erstelle die neue Whitelist-Datei:
nano /opt/containers/traefik-crowdsec-stack/data/crowdsec/config/appsec-rules/tandoor-whitelist.yamlFüge folgenden Inhalt ein, um bestimmte CrowdSec-Prüfungen für Tandoor-API-Aufrufe zu ignorieren:
name: custom/tandoor-whitelist
seclang_rules:
- "SecRule REQUEST_URI \"@beginsWith /api/\" \"id:10001,phase:1,pass,nolog,noauditlog,ctl:ruleRemoveById=911100,ctl:ruleRemoveById=949110,ctl:ruleRemoveById=980170,msg:'Whitelist Tandoor API P1'\""
- "SecRule REQUEST_URI \"@beginsWith /api/\" \"id:10002,phase:2,pass,nolog,noauditlog,ctl:ruleRemoveById=911100,ctl:ruleRemoveById=949110,ctl:ruleRemoveById=980170,msg:'Whitelist Tandoor API P2'\""Code-Sprache: JavaScript (javascript)Öffne deine Profil-Konfiguration (früher appsec-secure.yaml, jetzt mrks-config.yaml):
nano /opt/containers/traefik-crowdsec-stack/data/crowdsec/config/appsec-configs/mrks-config.yamlFüge die Tandoor-Regel unter den inband_rules hinzu:
inband_rules:
- custom/tandoor-whitelist
- crowdsecurity/base-config
- crowdsecurity/crs
✅ Prüfe ob es geklappt hat: Starte CrowdSec neu.
cd /opt/containers/traefik-crowdsec-stack/
docker compose restart crowdsecDu solltest Folgendes sehen: Keine Fehlermeldungen beim Neustart, und Tandoor sollte wieder reibungslos laden.
Schritt 2: Profilnamen angleichen (Nur zur Info)
📖 Kapitel im Artikel: Kapitel 5: CrowdSec Einstellungen überprüfen
⏱️ Aufwand: 0 Minuten
🎯 Dringlichkeit: 🟢 Optional
Was hat sich geändert?
In der Anleitung nutzen wir jetzt den Profilnamen mrks-config.yaml anstelle von appsec-secure.yaml, um 100% konsistent mit der Traefik-Basis-Anleitung zu sein. Die Einrichtung wurde in die Traefik-Anleitung verschoben.
Warum ist das wichtig?
Wenn deine Firewall auf Basis der alten Namen (appsec-secure.yaml) bereits läuft, musst du nichts tun. Es ändert sich technisch absolut nichts an der Sicherheit deines Systems.
✅ Abschluss-Check
Nach allen Schritten bitte prüfen:
- ☐ CrowdSec Container ist nach dem Neustart “Up” (läuft).
- ☐ Tandoor (falls genutzt) verursacht keine 403 / Forbidden Fehler mehr bei API-Anfragen.
🎉 Alles erledigt? Dein Setup ist auf dem neuesten Stand.
❓ Häufige Fragen
Muss ich mein Setup komplett neu aufsetzen?
Nein. Die Änderungen aus diesem Update sind primär redaktioneller Natur oder optional für spezielle Apps wie Tandoor. Dein bestehendes Setup ist davon nicht negativ betroffen.
Was passiert, wenn ich die Änderungen nicht vornehme?
Deine Firewall funktioniert exakt so gut weiter wie bisher. Lediglich bei der Nutzung von Tandoor kann es weiterhin zu Fehlalarmen (Blockierungen) kommen.
