2. CrowdSec → Cloudflare Sync (crowdsec-cf-sync.py)

Emplacement : /usr/local/bin/crowdsec-cf-sync.py Service : crowdsec-cf-sync.service Logs : /var/log/crowdsec/cf-sync.log

Emplacement : /usr/local/bin/crowdsec-cf-sync.py Service systemd : crowdsec-cf-sync.service Logs : /var/log/crowdsec/cf-sync.log

Installation

cp crowdsec-cf-sync.py /usr/local/bin/
chmod +x /usr/local/bin/crowdsec-cf-sync.py
systemctl enable crowdsec-cf-sync
systemctl start crowdsec-cf-sync

Fonctionnalités

• Synchronise les bans CrowdSec actifs → Cloudflare IP Access Rules (tag crowdsec-local-ban)
• Reporte les IPs bannies → AbuseIPDB (fenêtre 48h, dédupliqué)
• Escalade récidivistes : 1er ban CrowdSec gère | 2ème → 24h | 3ème+ → 7j (fenêtre 7j)
• ModSecurity score ≥ 5 → ban CF immédiat 2h (tag modsec-ban) + report AbuseIPDB
• Ban /24 automatique : 2+ IPs du même bloc en 7j → ban CF + CrowdSec 24h (tag crowdsec-cidr-ban)

Bugs corrigés (avril 2026)

• cs_origin vs origin dans get_recent_local_bans() — le champ JSON s’appelle cs_origin
• Pagination API REST /v1/decisions?limit=1000 rate les bans cscli → remplacé par cscli decisions list --origin
• Items → items (minuscule) dans le parsing JSON de la allowlist CrowdSec

⚠️ Important : les vrais tokens (CF_API_TOKEN, CF_ZONE_ID, CS_API_KEY, ABUSEIPDB_KEY) doivent être stockés dans /etc/secrets/ avec chmod 600 et chargés via variables d’environnement, pas hardcodés dans le script. Les valeurs VOTRE_* ci-dessous sont des placeholders.

]]>