ghcr.io/crazy-max/fail2ban:edge

关于

https://github.com/fail2ban/fail2ban Docker 镜像，用于封禁导致多次身份验证错误的主机。

[!TIP] 想获取新版本通知？查看 🔔 https://github.com/crazy-max/diun 项目！

• 本地构建
• 镜像
• 环境变量
• 卷
• 使用方法
• Docker Compose
• 命令行
• 升级
• 注意事项
• DOCKER-USER 链
• DOCKER-USER 和 INPUT 链
• Jail 示例
• 使用 fail2ban-client
• 全局 Jail 配置
• 自定义 Jail、Action 和 Filter
• 使用 Sidecar 容器发送邮件
• 贡献
• 许可证

本地构建

git clone https://github.com/crazy-max/docker-fail2ban.git
cd docker-fail2ban

# 构建镜像并输出到 Docker（默认）
docker buildx bake

# 构建多平台镜像
docker buildx bake image-all

镜像

该镜像支持以下平台：

$ docker buildx imagetools inspect crazymax/fail2ban --format "{{json .Manifest}}" | \
jq -r '.manifests[] | select(.platform.os != null and .platform.os != "unknown") | .platform | "\(.os)/\(.architecture)\(if .variant then "/" + .variant else "" end)"'

linux/386
linux/amd64
linux/arm/v6
linux/arm/v7
linux/arm64
linux/ppc64le
linux/riscv64
linux/s390x

环境变量

• TZ：容器的时区设置（默认 UTC）
• F2B_LOG_TARGET：日志目标。可以是文件、SYSLOG、STDERR 或 STDOUT（默认 STDOUT）
• F2B_LOG_LEVEL：日志输出级别（默认 INFO）
• F2B_DB_PURGE_AGE：从数据库中清除封禁记录的时间（默认 1d）
• IPTABLES_MODE：选择 iptables 的 nft 或 legacy 模式（默认 auto）

卷

• /data：包含自定义 jail、action 和 filter 以及 Fail2ban 持久化数据库

使用方法

Docker Compose

推荐使用 Docker Compose 运行此镜像。例如，将 examples/compose 文件夹的内容复制到主机的 /var/fail2ban/ 目录。根据偏好编辑 Compose 和 env 文件，然后运行以下命令：

$ docker compose up -d
$ docker compose logs -f

命令行

也可以使用以下最小化命令：

$ docker run -d --name fail2ban --restart always \
--network host \
--cap-add NET_ADMIN \
--cap-add NET_RAW \
-v $(pwd)/data:/data \
-v /var/log:/var/log:ro \
crazymax/fail2ban:latest

升级

当推送更新时，重新创建容器：

$ docker compose pull
$ docker compose up -d

注意事项

DOCKER-USER 链

在 Docker 17.06 及更高版本中，通过 https://github.com/docker/libnetwork/pull/1675%EF%BC%8C%E6%82%A8%E5%8F%AF%E4%BB%A5%E5%90%91%E5%90%8D%E4%B8%BA DOCKER-USER 的新表添加规则，这些规则将在 Docker 自动创建的任何规则之前加载。这对于使 Fail2Ban 创建的 iptables 规则持久化非常有用。

如果您使用较旧版本的 Docker，可以将 jail 的链定义更改为 chain = FORWARD。这样，所有 Fail2Ban 规则都将在 Docker 规则之前应用，但这些规则现在将适用于所有转发流量。

更多信息：[***]

DOCKER-USER 和 INPUT 链

如果 Fail2Ban 容器附加到 DOCKER-USER 链而不是 INPUT 链，规则将仅应用于容器。这意味着进入 INPUT 链的任何数据包都将绕过现在位于 FORWARD 链下的这些规则。

这就是为什么 sshd jail 在其定义中包含 chain = INPUT，而 traefik jail 包含 chain = DOCKER-USER 的原因。

Jail 示例

以下是一些使用 DOCKER-USER 链的示例：

• guacamole
• traefik

以下是使用 INPUT 链的示例：

• proxmox
• sshd

使用 fail2ban-client

可以通过容器使用 Fail2ban 命令。例如，如果要手动封禁 IP：

$ docker exec -t fail2ban-client set banip

全局 Jail 配置

您可以在 /data/jail.d/*.local 文件中提供自定义配置。

例如，要更改所有 jail 的默认封禁时间：

[DEFAULT]
bantime = 1h

[!NOTE] Jail 配置的加载顺序：

> jail.conf
> jail.d/*.conf（按字母顺序）
> jail.local
> jail.d/*.local（按字母顺序）
>

官方仓库提供了示例配置文件：https://github.com/fail2ban/fail2ban/blob/master/config/jail.conf%E3%80%82

自定义 Jail、Action 和 Filter

自定义 jail、action 和 filter 可分别添加到 /data/jail.d、/data/action.d 和 /data/filter.d。如果添加的 action/filter 已存在，将覆盖原有内容。

[!WARNING] 必须重启容器才能使更改生效

使用 Sidecar 容器发送邮件

如果要使用 sidecar 容器发送邮件，请参见 examples/smtp 中的示例。它使用 https://github.com/fail2ban/fail2ban/blob/1.1.0/config/action.d/smtp.py 和 https://github.com/crazy-max/docker-msmtpd 镜像。

贡献

想要贡献？太棒了！最基本的支持方式是为项目点赞或提交 issue。您也可以通过 https://github.com/***/crazy-max 或 *** *** 来支持此项目，确保开发能够持续进行！

再次感谢您的支持，非常感谢！🙏

许可证

MIT。详见 LICENSE。