如何在Docker容器里开启fail2ban防止SSH暴力破解

最新推荐文章于 2023-09-15 15:03:19 发布
最新推荐文章于 2023-09-15 15:03:19 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: 技术分享 文章标签: ssh 容器 docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shangyexin/article/details/120987231
版权

一、前提介绍

Docker容器里开启了SSH服务,但是发现有大量的暴力破解进程,需要使用fail2ban防止SSH暴力破解,将攻击的IP拉黑。

二、原因分析

但是直接安装fail2ban,和没有使用容器的主机一样配置时,发现并不会生效。

因为在使用docker容器时,开启了SSH服务,但是因为容器里没有开启rsyslog,所以fail2ban依赖的/var/log/auth.log日志文件无法生成。

同时因为容器没有增加特权,也无法访问一些内核功能,无法使用iptables,比如输入iptables -nL,会报下面的错误:

can't initialize iptables table `filter': Permission denied (you must be root)
Perhaps iptables or your kernel needs to be upgraded.

三、解决方案

(一)为容器增加特权

下面是我自己创造的一个容器示列,添加privileged

version: '3.1'

services:
  ubuntu:
    image: registry.cn-hangzhou.aliyuncs.com/yasin/dev-env-ubuntu:20.04
    container_name: ubuntu
    privileged: true
    restart: always
    ports:
      - "10022:22"
    volumes:
      - ./root:/root
    entrypoint:
      - /run.sh

(二)安装并启动rsyslog

apt update
apt install rsyslog -y
rsyslogd

启动完成后,可以发现已经生成了/var/log/auth.log日志文件。

(三)安装fail2ban

apt install fail2ban -y

(四)配置SSH规则

这里请自行搜索fail2ban配置规则,下面是一个SSH的规则示列:

[sshd]               
enabled = true
port = 22
filter = sshd
logpath = /var/log/auth.log
maxretry = 5
findtime = 86400
bantime = 86400
action = iptables[name=SSH, port=ssh, protocol=tcp]

将上面的内容保存为文件jail.local,复制到/etc/fail2ban/jail.d/目录。

(五)启动fail2ban

service fail2ban start

启动完成后,如果还有暴力破解的进程,可以使用fail2ban-client status sshd,查看策略是否生效:

Status for the jail: sshd
|- Filter
|  |- Currently failed:	1
|  |- Total failed:	226
|  `- File list:	/var/log/auth.log
`- Actions
   |- Currently banned:	1
   |- Total banned:	1
   `- Banned IP list:	137.184.42.119

fail2ban实际上是自动为我们创建了iptables的规则,这时候使用iptables -nL,可以看到该IP已经被我们自动拉黑,拒绝所有连接:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
f2b-SSH    tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:22

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain f2b-SSH (1 references)
target     prot opt source               destination         
REJECT     all  --  137.184.42.119       0.0.0.0/0            reject-with icmp-port-unreachable
RETURN     all  --  0.0.0.0/0            0.0.0.0/0

四、设置开机启动

为了使我们的容器能够开机自动启动fai2ban,我们可以修改容器的启动入口,比如我的容器开机入口/run.sh

#!/bin/bash
/usr/sbin/rsyslogd
rm -f /var/run/fail2ban/fail2ban.sock && /etc/init.d/fail2ban start
/usr/sbin/sshd -D
江山灬如画
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
docker-fail2ban:可以作为 docker 容器运行的 systemd 感知 fail2ban
06-27
注意:如果你想要一些适用于 CoreOS 的东西,请查看 这是尝试让fail2ban 在coreos 主机上作为docker 容器运行以查看systemd 日志并以某种方式阻止ssh 扫描器攻击。 这目前不起作用。 虽然有一个 backend=systemd,但它假定它可以与本地运行的 systemd 通信,这无助于 docker 容器与其运行的主机通信。 这尝试通过卷挂载将 CoreOS systemd /run/systemd 目录树映射到 docker 容器的 /var/run/systemd,主要用于 /run/systemd/journal/stdout、/run/systemd/journal/socket,和 /run/systemd/journal/dev-log 可悲的现实是,systemd 在点发布之间进行了快速的突破性更改,这些更改基本上要求使用完全相同版
强化服务器安全!CentOS 7如何使用fail2ban防范SSH暴力破解攻击?
低调,谦虚,自律,反思,成长,保持热爱,奔赴梦想
06-10 2172
centos7防止暴力配节
管理博文 非常详细的 使用`Fail2Ban`防止sip攻击`FreeSWITCH`教程 (二)
长安过客的专栏
03-06 410
对于freeswitch防恶意扫描盗打本人已经讲过,如何安装和使用fail2ban,并且详细 说明了在freeswitch中怎么配置 这是之前文章的连接https://blog.csdn.net/zhangxm006/article/details/113752867?spm=1001.2014.3001.5502 但是对于某些特殊情况的恶意注册和拨打,还是需要进一步做处理,如果在当前主机中,可以使用 lua脚本处理,之前文章已经讲过。 如果在docker中,由于权限的问题,很容易导致各种问题,宿主.
彻底破解 Docker Hub 的 pull 次数限制
云原生实验室
11-30 1万+
更多奇技淫巧欢迎订阅博客:https://fuckcloudnative.io前言很早很早以前,我们都使用裸机部署应用,部署应用无非以下几步:安装操作系统安装运行环境(PHP,NodeJ...
Docker使用 linuxserver/letsencrypt 生成SSL证书最全解析及实践
且炼时光
09-13 4641
本文详细介绍了linuxserver/letsencrypt 项目,并用了http和dns两种校验方式进行了实践. 一 官方介绍 linuxserver/letsencrypt 1 使用 2 参数 二 实践 使用http方式验证 使用dns方式验证 第一步 完成域名服务器配置 第二步 完成域名服务器API-KEY相关配置并启动 一 官方介绍 linuxserv...
unraid安装dockerfail2ban防止SSH暴力破解
ReddotCleaner的博客
01-08 834
NAS unraid fail2ban
2022最新_结合官方文档_部署 fail2ban docker 拦截sshd + docker nginx容器
zhangbest5的专栏
06-02 758
2022最新_结合官方文档_部署 fail2ban docker 拦截sshd + docker nginx容器
fail2ban 防止暴力破解密码
Ccccxc的博客
05-31 910
由于服务器被暴力攻击破解,并被植入了Xmrig挖矿程序,因此安装部署 fail2ban 服务用于抵御暴力工具,并封禁攻击者 IP。本文简要介绍了在 unRAID 服务器中如何安装配置 fail2ban 服务,并简单测试和展示封禁效果
docker-fail2ban:基于Alpine Linux的Fail2ban Docker映像
03-17
关于 基于Alpine Linux的 Docker映像。 如果您有兴趣,我的其他Docker映像! :light_bulb: 想要收到新版本的通知吗? 退房 :bell: 项目! 图像 登记处 图像 crazymax/fail2ban ghcr.io/crazy-max/fail2ban 提供此图像的以下平台: $ docker run --rm mplatform/mquery crazymax/fail2ban:latest Image: crazymax/fail2ban:latest * Manifest List: Yes * Supported platforms: - linux/amd64 - linux/arm/v6 - linux/arm/v7 - linux/arm64 - linux/386 - linux/ppc64le - linux/s3
解决fail2ban成功运行却检测不到失败登录的问题
qq_43093224的博客
08-16 1238
fail2ban,linux反暴力破解
docker-fail2ban:基于高山Linux的Fail2ban Docker映像
03-18
maltyxx / docker-fail2ban 关于 :spouting_whale: 基于Alpine Linux的 Docker映像。 如果您有兴趣,我的其他 :spouting_whale: Docker映像! 码头工人 环境变量 TZ :分配给容器的时区(默认UTC ) F2B_LOG_LEVEL :日志级别输出(默认INFO ) F2B_DB_PURGE_AGE :应该从数据库中清除禁令的年龄(默认为1d ) F2B_IGNORE_SELF :忽略本地IP地址(默认为true ) F2B_IGNORE_IP :IP地址列表,CIDR掩码或DNS主机应忽略(默认值127.0.0.1/8 ::1 ) F2B_BAN_TIME :禁止主机的秒数(默认为10m ) F2B_FIND_TIME :从报纸中搜索异常的时间(默认为10m ) F2B_MAX_RETRY :禁止主机之前的失败次数(默认为5 ) F2B_DEST_EM
docker容器安装ssh的具体步骤
09-30
本篇文章主要介绍了docker容器安装ssh的具体步骤,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
非常详细的 使用`Fail2Ban`防止sip攻击`FreeSWITCH`教程 (一)
长安过客的专栏
02-08 2143
# 使用`Fail2Ban`防止sip攻击`FreeSWITCH` `FreeSWITCH`在公网运行容易遭受sip攻击,解决的办法有很多种,而`Fail2Ban`安装配置以及调试比较简单,不失为一种好的选择。 `Fail2Ban`版本很多,配置方式略有差别。 本次测试是基于`Fail2Ban 0.9.6`版本,其他相关信息如下: - Debian9 - FreeSWITCH 1.10.3,`base_dir`是`/usr/local/freeswitch` ...
CentOS 7服务器安全配置(未完待续)
zosoyi的博客
11-07 8607
1.问题背景本打算买一个Linux服务器玩玩,系统为CentOS 7,供学习Linux和线上部署网站学习用。没想到买了没几天,啥都没做呢,登录之后发现了近2万条登录失败记录(输入lastb命令即可查看登入系统失败的用户相关信息)。什么?有人想通过暴力破解密码来登录我的服务器?!并且大量的攻击来自同一个ip地址。作为一个Linux小白,差点被吓尿了,网络真危险啊。不过虽然是小白,也不甘示弱,有攻击就要
Jumpserver通过fail2ban防扫描
最新发布
完颜振江
09-15 100
【代码】Jumpserver通过fail2ban防扫描。
Golang 发布Docker 编译镜像,防止源码泄露
godtoy的逆向小屋
06-04 530
Dockerfile # stage1 build source FROM golang:latest AS builder COPY ./ht-project /codes/ht-project COPY ./termites /codes/termites WORKDIR /codes/ht-project ## install packages RUN go env -w GOPROXY=https://goproxy.cn,direct && go mod tidy ## bui
Docker安全管理(TLS加密通讯)
boyuser的博客
12-03 490
TLS(Transport Layer Security,安全传输层),TLS是建立在传输层TCP协议之上的协议,服务于应用层,它的前身是SSL(Secure Socket Layer,安全套接字层),它实现了将应用层的报文进行加密后再交由TCP进行传输的功能。
【操作篇】qBittorrent下载+转种Transmission快校版+IYUU Plus辅种教程
热门推荐
编程浅谈
12-22 4万+
一、前言 之前写了篇教程,PT工具之Docker全家桶+HTTPS详细配置教程,主要讲述了使用Docker部署常用工具及反向代理上https。 之前预告过还写一篇辅种教程合集的,故有了此篇教程,但是发现内容实在太多,于是分成了2篇,这是第二篇操作篇,还有一份原理篇详见这:qBittorrent下载+转种Transmission快校版+IYUU Plus辅种教程原理篇,建议先阅读原理篇,这样可以更好地帮你理解相关操作的含义。 二、安装 我们所有的服务均采用Docker安装,部分内容和之前的文章有重复,遇到不
docker容器docker容器之间配置ssh无密连接
07-27
要在 Docker 容器之间实现 SSH 无密码连接,可以按照以下步骤进行配置: 1. 在每个容器中安装 OpenSSH 服务器: ``` apt-get update apt-get install openssh-server ``` 2. 生成 SSH 密钥对: ``` ssh-keygen -t rsa ``` 3. 将公钥复制到其他容器: ``` ssh-copy-id <目标容器IP> ``` 4. 在每个容器SSH 配置文件中启用密码登录和公钥登录: ``` vi /etc/ssh/sshd_config ``` 确保以下配置项的值为 yes: ``` PasswordAuthentication yes PubkeyAuthentication yes ``` 5. 重启 SSH 服务: ``` service ssh restart ``` 配置完成后,你可以在容器之间使用 SSH 进行无密码连接。记住,这些步骤仅适用于在容器内部进行连接,如果你想从宿主机连接到容器,还需要进行其他配置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值