2022最新_结合官方文档_部署 fail2ban docker 拦截sshd + docker nginx容器

已于 2022-06-03 19:00:36 修改
阅读量753 收藏 2
点赞数 2
分类专栏: CentOS 文章标签: docker 容器 运维 linux 服务器
于 2022-06-02 18:50:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangbest5/article/details/125105321
版权

3天(1天半折腾的正常安装的)!折腾3天了!总结出来,方便国人!

看大家留言反应,人多的话,就再放个正常安装版的教程!

给自己的忠告:为啥不看官方文档?非看之前别人配置的信息,按官方的来哪那么多坑?!

给读者的忠告:真以为我们行了?其实还差人家很远,墙外的世界真是很精彩!

相关文档

官方文档【推荐】

GitHub - crazy-max/docker-fail2ban: Fail2ban Docker image

参考文档

Docker + nginx-proxy + let's encrypt + watchtower + fail2ban · GitHub

更多Nginx案例参考

fail2ban for Docker — Generic service & computer documentation. documentation

部署

使用说明

  • 看官方文档!看官方文档!看官方文档!别瞎找国外旧版教程!
  • docker-compose 可独立使用不用与其他容器共存,网络可独立
  • 服务器 firewall/iptables 不用开启,镜像自带(使用iptables)

  • 当容器重启不了的时候,重启Docker,因为docker iptables被修改

Docker-compose

官方 docker-compose 参考示例:

docker-fail2ban/examples/compose at master · crazy-max/docker-fail2ban · GitHub

mkdir /mnt/docker/docker-compose/fail2ban
cd /mnt/docker/docker-compose/fail2ban
vim docker-compose.yml
--------------------
version: "3"
services:
  fail2ban:
    image: crazymax/fail2ban:latest
    container_name: fail2ban_docker
    restart: unless-stopped
    network_mode: "host"
    cap_add:
      - NET_ADMIN
      - NET_RAW
    # 使用同级目录下的环境变量文件件代替下面environment
    env_file:
      - "./fail2ban.env"
#    environment:
#      - TZ=Asia/Shanghai
#      - F2B_LOG_TARGET=STDOUT
#      - F2B_LOG_LEVEL=INFO
#      - F2B_DB_PURGE_AGE=1d
    volumes:
      - "/mnt/data/fail2ban/data:/data"
      - "/mnt/data/fail2ban/log/:/var/log/"
      # sshd 日志映射
      - "/var/log/:/var/sshd_log/:ro"
      # nginx 日志映射
      - "/mnt/data/nginx_weblogs/:/mnt/data/nginx_weblogs/:ro"
    logging:
      driver: "json-file"
      options:
        max-size: "5m"
        max-file: "10"
--------------------
# 注意保存为utf-8
:set fileencoding=utf-8
vim fail2ban.env
--------------------
TZ=Asia/Shanghai

F2B_LOG_TARGET=STDOUT
F2B_LOG_LEVEL=INFO

# 秒s,分m,时h,天d,月mo,年y
F2B_DB_PURGE_AGE=1d

#如发送邮件开启
#SSMTP_HOST=smtp.sendgrid.net
#SSMTP_PORT=587
#SSMTP_USER=apikey
#SSMTP_PASSWORD=YOUR_API_KEY
#SSMTP_TLS=YES
--------------------
# 注意保存为utf-8
:set fileencoding=utf-8

# 其他说明:
# 官方github文档都没有提及应该是以前版本的参数,现在已经不用再声明了,可选声明
# F2B_MAX_RETRY=3
# 触发规则后的选择行为:
# 只封禁IP:action_
# 封禁IP+邮件通知:action_mw 
# 封禁IP+邮件通知+报告相关日志:action_mwl 
#F2B_ACTION=%(action_)s

#F2B_IPTABLES_CHAIN=DOCKER-USER

#F2B_DEST_EMAIL=RECEIPIENT_EMAIL
#F2B_SENDER=SENDER_EMAIL

配置

 【坑】官方github都没有action应该是已经默认到镜像内执行,只需声明要封锁的端口即可

sshd拦截

参考:docker-fail2ban/sshd.conf at master · crazy-max/docker-fail2ban · GitHub

vim /mnt/data/fail2ban/data/jail.d/sshd.conf
【文件内不能有中文,否则会加载配置失败】
--------------------
[sshd]
enabled = true
chain = INPUT
# port = ssh
port = 37222
filter = sshd[mode=aggressive]
logpath = /var/sshd_log/secure
maxretry = 5
--------------------
# 如修改过sshd端口必须明确

Nginx-cc拦截

vim /mnt/data/fail2ban/data/filter.d/nginx-cc.conf
【文件内不能有中文,否则会加载配置失败】
-------------------
[Definition]
failregex = ^<HOST> .* "(GET|POST|HEAD).*HTTP.*" (404|503) .*$
ignoreregex =.*(robots.txt|favicon.ico|jpg|png)
-------------------

参考:docker-fail2ban/guacamole.conf at master · crazy-max/docker-fail2ban · GitHub

vim /mnt/data/fail2ban/data/jail.d/nginx-cc.conf
【文件内不能有中文,否则会加载配置失败】
------------------------
[nginx-cc]
enabled = true
chain = DOCKER-USER
ignoreip = [ 本机公网 IP ]
port = http,https
filter = nginx-cc
logpath  = /mnt/data/nginx_weblogs/access.log
           /mnt/data/nginx_weblogs/error.log
           /mnt/data/nginx_weblogs/gitlab.access.log
           /mnt/data/nginx_weblogs/gitlab.error.log
bantime = 2h
findtime = 10m
maxretry = 5

# 多日志注意一定要对齐

# 其他说明
# 默认不用声明action,这里举一个可用的一个action参考
# action = iptables[name=app, port=https, protocol=tcp, chain=FORWARD]

屏蔽规则

官方参考:fail2ban/jail.conf at master · fail2ban/fail2ban · GitHub

# 可以在上面的官方文档中 ctrl+f 查找对应位置 
# 下面的一个是多端口(需要明确端口)
# 一个是全屏蔽(这里是容器,并不是服务器)
# 选一个即可
banaction = iptables-multiport
banaction_allports = iptables-allports

# 个人经验理解:
# 因为涉及到多个容器,即使使用【banaction_allports = iptables-allports】
# 只在规则限定容器内生效,屏蔽所有容器的端口,并不会跨容器
# 此处应该理解每个容器都是单独的iptables,个人看下面的docker iptables命令也是这样的感觉

使用

相关操作命令

# 查看状态 check status
sudo docker exec -t fail2ban_docker fail2ban-client status

# 查看指定监狱状态 Check status of specific jail
sudo docker exec -t fail2ban_docker fail2ban-client status sshd

# 指定监狱屏蔽IP(<JAIL>为监狱名) ban specific IP
sudo docker exec -t fail2ban_docker fail2ban-client set <JAIL> banip <IP>
# 示例:sudo docker exec -t fail2ban_docker fail2ban-client set sshd banip 1.1.1.1

# 指定监狱解封IP(<JAIL>为监狱名)  unban specific IP
sudo docker exec -t fail2ban_docker fail2ban-client set <JAIL> upbanip <IP>
# 示例:sudo docker exec -t fail2ban_docker fail2ban-client set sshd  upbanip 1.1.1.1

防火墙规则查看

#在docker容器内部操作
docker exec -it fail2ban_docker /bin/bash
#1.查看filter表
> iptables -nvL

#2.查看nat表
> iptables -nvL -t nat

zhangbest5
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
docker-fail2ban:可以作为 docker 容器运行的 systemd 感知 fail2ban
06-27
注意:如果你想要一些适用于 CoreOS 的东西,请查看 这是尝试让fail2ban 在coreos 主机上作为docker 容器运行以查看systemd 日志并以某种方式阻止ssh 扫描器攻击。 这目前不起作用。 虽然有一个 backend=systemd,但它假定它可以与本地运行的 systemd 通信,这无助于 docker 容器与其运行的主机通信。 这里尝试通过卷挂载将 CoreOS systemd /run/systemd 目录树映射到 docker 容器的 /var/run/systemd,主要用于 /run/systemd/journal/stdout、/run/systemd/journal/socket,和 /run/systemd/journal/dev-log 可悲的现实是,systemd 在点发布之间进行了快速的突破性更改,这些更改基本上要求使用完全相同版
docker-fail2ban:基于Alpine LinuxFail2ban Docker映像
03-17
关于 基于Alpine LinuxDocker映像。 如果您有兴趣,我的其他Docker映像! :light_bulb: 想要收到新版本的通知吗? 退房 :bell: 项目! 图像 登记处 图像 crazymax/fail2ban ghcr.io/crazy-max/fail2ban 提供此图像的以下平台: $ docker run --rm mplatform/mquery crazymax/fail2ban:latest Image: crazymax/fail2ban:latest * Manifest List: Yes * Supported platforms: - linux/amd64 - linux/arm/v6 - linux/arm/v7 - linux/arm64 - linux/386 - linux/ppc64le - linux/s3
Fail2ban安装配置和配置nginx防护
完颜振江
02-04 1079
一旦你完成了这些步骤,Fail2ban将开始监视Jumpserver的日志文件,并根据你在配置文件中定义的规则来禁止恶意行为。一旦你完成了这些步骤,Fail2ban将开始监视Nginx的日志文件,并根据你在配置文件中定义的规则来禁止恶意行为。根据你的实际需求和安全策略,你可能需要调整Fail2ban的配置和Nginx过滤规则。,如果该文件不存在,你可以创建它。一旦安装完成,你可以修改Fail2ban的配置文件来满足你的需求。请注意,以上仅是一个基本示例,实际配置可能需要根据你的环境和需求进行调整。
使用 Docker Compose 部署邮件服务器
nukix
04-02 1335
很多时候为了方便, 我们都直接使用第三方邮箱进行收发邮件。但第三方邮箱有些要求定期修改密码,有些限制发邮箱的次数, 对于一些个人和企业来说, 有自己的域名和服务器为什么不自己搭建一个邮件服务器呢?因此, 笔者在这记录自己学习并且搭建邮箱服务器的步骤与过程。本文主要使用进行搭建, 其中一些资料和链接, 有需要详细了解的, 请查看参考文献。
Jumpserver通过fail2ban防扫描
完颜振江
09-15 99
【代码】Jumpserver通过fail2ban防扫描。
管理博文 非常详细的 使用`Fail2Ban`防止sip攻击`FreeSWITCH`教程 (二)
长安过客的专栏
03-06 408
对于freeswitch防恶意扫描盗打本人已经讲过,如何安装和使用fail2ban,并且详细 说明了在freeswitch中怎么配置 这是之前文章的连接https://blog.csdn.net/zhangxm006/article/details/113752867?spm=1001.2014.3001.5502 但是对于某些特殊情况的恶意注册和拨打,还是需要进一步做处理,如果在当前主机中,可以使用 lua脚本处理,之前文章已经讲过。 如果在docker中,由于权限的问题,很容易导致各种问题,宿主.
如何在Docker容器里开启fail2ban防止SSH暴力破解
编程浅谈
10-27 1432
一、前提介绍 Docker容器里开启了SSH服务,但是发现有大量的暴力破解进程,需要使用fail2ban防止SSH暴力破解,将攻击的IP拉黑。 二、原因分析 但是直接安装fail2ban,和没有使用容器的主机一样配置时,发现并不会生效。 因为在使用docker容器时,开启了SSH服务,但是因为容器里没有开启rsyslog,所以fail2ban依赖的/var/log/auth.log日志文件无法生成。 同时因为容器没有增加特权,也无法访问一些内核功能,无法使用iptables,比如输入iptables -nL
fail2ban 防止暴力破解密码
Ccccxc的博客
05-31 867
由于服务器被暴力攻击破解,并被植入了Xmrig挖矿程序,因此安装部署 fail2ban 服务用于抵御暴力工具,并封禁攻击者 IP。本文简要介绍了在 unRAID 服务器中如何安装配置 fail2ban 服务,并简单测试和展示封禁效果
unraid安装dockerfail2ban防止SSH被暴力破解
ReddotCleaner的博客
01-08 826
NAS unraid fail2ban
使用 Fail2ban 防止 ssh 暴力破解攻击
三成的博客
09-20 1329
安全防护
Fail2Ban 简介与使用
热门推荐
xiaoboliu0602的博客
02-12 1万+
目录 1. Fail2Ban 简介 2. Fail2Ban 安装配置与日常维护 3. Fail2Ban 目录结构 4. jail.conf 配置项说明 5. sshd.local 自定义配置项 6. mail-whois.conf 自定义动作 1. Fail2Ban 简介 Fail2Ban 是一款入侵防御软件,可以保护服务器免受暴力攻击。 它是用 Python 编程语言编写的。 Fail2Ban 基于auth 日志文件工作,默认情况下它会扫描所有 auth 日志文件,如 /var/log/auth.log
docker-fail2ban:基于高山LinuxFail2ban Docker映像
03-18
maltyxx / docker-fail2ban 关于 :spouting_whale: 基于Alpine LinuxDocker映像。 如果您有兴趣,我的其他 :spouting_whale: Docker映像! 码头工人 环境变量 TZ :分配给容器的时区(默认UTC ) F2B_LOG_LEVEL :日志级别输出(默认INFO ) F2B_DB_PURGE_AGE :应该从数据库中清除禁令的年龄(默认为1d ) F2B_IGNORE_SELF :忽略本地IP地址(默认为true ) F2B_IGNORE_IP :IP地址列表,CIDR掩码或DNS主机应忽略(默认值127.0.0.1/8 ::1 ) F2B_BAN_TIME :禁止主机的秒数(默认为10m ) F2B_FIND_TIME :从报纸中搜索异常的时间(默认为10m ) F2B_MAX_RETRY :禁止主机之前的失败次数(默认为5 ) F2B_DEST_EM
fail2ban中文手册
07-11
简述fail2ban的安装,使用,配置。及使用范例
Docker搭建 Nginx+PHP+MySQL 环境并部署WordPress实践
09-09
本文给大家分享的是作者基于Docker搭建 Nginx+PHP+MySQL 环境并部署WordPress的详细过程,非常的全面,有需要的小伙伴可以参考下
meiduo:Django + Vue 前后端分离商城项目,采用Docker容器部署nginx + uwsgi
07-24
部署方式:docker容器部署 nginx(vue) + uwsgi(django) 给出体验地址: 121.4.47.229:8080 因为钉钉、QQ、支付宝等回调地址的原因,为了更好的体验,请在本机hosts中添加: 121.4.47.229 image.meiduo.site 121.4.47...
nginxdocker镜像(nginx-upstream-check健康检查)
07-16
官方nginx 镜像不带主动健康,本镜像将 nginx_upstream_check健康检查 打包到了镜像中。
Docker 基本管理
2301_81307988的博客
04-22 797
Docker是一个开源的应用容器引擎,基于go语言开发并遵循了apache2.0协议开源。Docker是在Linux容器里运行应用的开源工具,是一种轻量级的“虚拟机”。Docker容器技术可以在一台主机上轻松为任何应用创建一个轻量级的、可移植的、自给自足的容器Docker的Logo设计为蓝色鲸鱼,拖着许多集装箱。鲸鱼可看作为宿主机,集装箱可理解为相互隔离的容器,每个集装箱中都包含自己的应用程序。Docker的设计宗旨。
DockerDocker的网络与资源控制
最新发布
Mo_nor的博客
04-26 556
直接使用bridge模式,是无法支持指定IP运行docker的,例如执行以下命令就会报错可以先定义网络,再使用指定IP运行docker#docker1 为执行 ifconfig -a 命令时,显示的网卡名,如果不使用 --opt 参数指定此名称,那你在使用 ifconfig -a 命令查看网络信息时,看到的是类似 br-110eb56a0b22 这样的名字,这显然不怎么好记。#mynetwork 为执行 docker network list 命令时,显示的bridge网络模式名称。
Docker容器docker基础
zk584715834的博客
04-23 859
云端华为云 谷歌云 腾讯云 阿里云 亚马逊 百度云 移动云 天翼云 西部数码云国内云 华为云 阿里云 腾讯云(私有云)国外云 谷歌 亚马逊云计算的服务模式是分几层的,分别是PaaS:PLatform(平台)-as-a-Service;SaaS:Software(软件)-as-a-Service基础设施即服务(IaaS, Infrastructure as a Service)定义:IaaS是云计算的基础层级,它向用户提供虚拟化的计算资源,如虚拟机、存储空间、网络和操作系统。
一个docker容器运行nginx+jar包
12-19
在使用Docker容器运行Nginx和Jar包时,可以利用Docker的特性来轻松实现应用程序的部署和管理。 首先,通过Dockerfile文件来描述容器的构建步骤,定义基础镜像、安装依赖、复制文件等操作。然后使用Docker命令进行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值