Wer CrowdSec produktiv im Einsatz hat, kennt das: Jeder Blick auf aktuelle Bans, jede Whitelist-Anpassung, jede Alert-Analyse läuft über docker exec crowdsec cscli .... Das funktioniert, ist aber auf Dauer mühsam, vor allem wenn man mal eben schauen will, warum eine bestimmte IP gerade gebannt ist, oder eine neue AppSec-Whitelist für einen Self-Hosted-Dienst anlegen will. Die Antwort von CrowdSec selbst auf dieses Problem heißt CrowdSec Console, welche als Web-Oberfläche mit Dashboard, Alert-Übersicht, Bouncer-Management und mehr zur Verfügung gestellt wird. Wer aber eine selbst gehostete Alternative bevorzugt, für den könnte CrowdSec Manager interessant sein. Dabei handelt es sich um Community-Projekt, das die wichtigsten Funktionen einer Web-UI komplett lokal abbildet.
| Datum | Änderungen |
|---|---|
| 07.06.2026 | Erstellung dieser Anleitung |
1. Grundvoraussetzung
- Docker & Docker Compose v2 (Debian / Ubuntu)
- Traefik ab v3.6 mit CrowdSec installieren und konfigurieren
2. Ordner anlegen
Zuerst legen wir uns passende Ordner-Strukturen an.
mkdir -p /opt/containers/crowdsec-manager/{config,logs,data,backups}
cd /opt/containers/crowdsec-managerBei diesem Inhalt handelt es sich um exklusiven Content für Community Plus Mitglieder und Supporter.
Bitte logge dich mit deinem Account ein um den Inhalt zu sehen.
5. CrowdSec Manager starten
Nun starten wir CrowdSec Manager mit folgendem Befehl:
docker compose -f /opt/containers/crowdsec-manager/docker-compose.yml up -d 6. CrowdSec Manager
Geht nun auf eure Domain und loggt euch mit den Anmeldedaten aus Schritt 4 ein. Anschließend seht ihr folgendes:
Hier könnt ihr nun auch IPs entsperren, Regeln anpassen etc.
CrowdSec Manager hat Schreibrechte auf CrowdSec. Dies sollte jedem aus dem Aspekt der Sicherheit klar sein.
Schöne Sache, hab sie mir gerade auch auf dem Server gepackt und Authentik vorgeschaltet (ist bei mir eh fester Bestandteil meines Setup).
Das handling zum nachschauen was da so gerade los ist, war mir persönlich mit dem cscli Befehl umständlich gewesen. Man hat ja nicht immer den kompletten Syntax im Kopf. 😉
So ist das aber eine schöne Sache und klasse aufbereitet.
Danke für die gute Idee!
Ich habe bei mir die Absicherung über Authelia eingerichtet, so braucht es die setup.sh und das HTTP-Passwort und basicauth (htpasswd) nicht. Dafür einfach gemäss Anleitung bei
traefik.http.routers.crowdsec-ui.middlewares=default@file, middlewares-authelia@file
die Middleware für Authelia anhängen und in Authelia in der configuration.yml den Eintrag
access_control:
default_policy: deny
rules:
– domain: crowdsec-iu.euredomain.de
policy: one_factor
hinzufügen sowie Authelia neu starten (down + up -d). Hier noch die Links zu Autelia:
https://goneuland.de/authelia-zweifaktor-authentifizierung-mittels-docker-compose-und-traefik-installieren/
https://goneuland.de/verschiedene-dienste-absichern-mittels-authelia/
Bin gespannt, ob das Dashboard dann auch erreichbar ist, wenn ich von einem Rechner/Netzwerk wegen einem Fehler gebannt werde!
ggf. darüber nachgedacht dies nicht nur mit htaccess zu machen sondern ggf. mit Authentik als forward proxy ? würde doch auch gehen 🙂
so habe ich das bei mir laufen
Vielen Dank für die Anleitung, funktioniert soweit – in der Health & Diag… Anzeige steht im Abschnitt “Connected Bouncers” der Firewall@<IP> auf stale – soll das so sein?
Vielen Dank für deine Arbeit. Sowas hab ich gesucht.😎