linuxserver/fail2ban Docker 镜像 - 轩辕镜像

linuxserver/fail2ban

Fail2ban 是一个用于禁止导致多次认证错误的主机的守护进程。LinuxServer.io团队提供的该Docker镜像具有以下特点：定期及时的应用更新、简单的用户映射（PGID、PUID）、基于s6 overlay的自定义基础镜像、每周基础操作系统更新（跨整个LinuxServer.io生态系统共享通用层以最小化空间占用、 downtime和带宽）以及定期安全更新。

支持的架构

我们利用Docker清单实现多平台支持。只需拉取 lscr.io/linuxserver/fail2ban:latest 即可获取适合您架构的正确镜像，也可通过标签拉取特定架构的镜像。支持的架构如下：

应用设置

此容器设计用于允许fail2ban在主机级别和Docker容器级别工作。如果您在主机上运行应用程序，需要在该应用程序的规则组（jail）中将 chain 设置为 INPUT。

配置文件

首次运行时，容器会在 /config 中创建多个文件夹和文件。fail2ban的默认配置默认均处于禁用状态。

请参考 配置README，您可以在我们的仓库中查看，或在配置文件夹 /config/fail2ban/README.md 中找到。

远程日志

所有规则组（jail）都需要能够读取应用程序日志文件。我们建议将每个应用程序的日志文件夹作为卷挂载到容器（如文档中的可选卷所示）。挂载单个日志文件可能会导致问题，不建议这样做。

/remotelogs 路径旨在作为您希望fail2ban使用的所有日志文件的父目录。每个日志文件应挂载在 /remotelogs 下的子文件夹中，例如：

• /remotelogs/nginx/ 会将包含nginx日志的文件夹挂载到容器中

使用方法

以下是使用Docker Compose（推荐）或Docker CLI创建容器的方法。

[!NOTE] 除非参数标记为“可选”，否则均为必填项，必须提供值。

Docker Compose（推荐）

yaml
---
services:
  fail2ban:
    image: lscr.io/linuxserver/fail2ban:latest
    container_name: fail2ban
    cap_add:
      - NET_ADMIN
      - NET_RAW
    network_mode: host
    environment:
      - PUID=1000
      - PGID=1000
      - TZ=Etc/UTC
      - VERBOSITY=-vv #可选
    volumes:
      - /path/to/fail2ban/config:/config
      - /var/log:/var/log:ro
      - /path/to/airsonic/log:/remotelogs/airsonic:ro #可选
      - /path/to/apache2/log:/remotelogs/apache2:ro #可选
      - /path/to/authelia/log:/remotelogs/authelia:ro #可选
      - /path/to/emby/log:/remotelogs/emby:ro #可选
      - /path/to/filebrowser/log:/remotelogs/filebrowser:ro #可选
      - /path/to/homeassistant/log:/remotelogs/homeassistant:ro #可选
      - /path/to/lighttpd/log:/remotelogs/lighttpd:ro #可选
      - /path/to/nextcloud/log:/remotelogs/nextcloud:ro #可选
      - /path/to/nginx/log:/remotelogs/nginx:ro #可选
      - /path/to/nzbget/log:/remotelogs/nzbget:ro #可选
      - /path/to/overseerr/log:/remotelogs/overseerr:ro #可选
      - /path/to/***/log:/remotelogs/***:ro #可选
      - /path/to/radarr/log:/remotelogs/radarr:ro #可选
      - /path/to/sabnzbd/log:/remotelogs/sabnzbd:ro #可选
      - /path/to/sonarr/log:/remotelogs/sonarr:ro #可选
      - /path/to/unificontroller/log:/remotelogs/unificontroller:ro #可选
      - /path/to/vaultwarden/log:/remotelogs/vaultwarden:ro #可选
    restart: unless-stopped

Docker CLI

bash
docker run -d \
  --name=fail2ban \
  --net=host \
  --cap-add=NET_ADMIN \
  --cap-add=NET_RAW \
  -e PUID=1000 \
  -e PGID=1000 \
  -e TZ=Etc/UTC \
  -e VERBOSITY=-vv `#可选` \
  -v /path/to/fail2ban/config:/config \
  -v /var/log:/var/log:ro \
  -v /path/to/airsonic/log:/remotelogs/airsonic:ro `#可选` \
  -v /path/to/apache2/log:/remotelogs/apache2:ro `#可选` \
  -v /path/to/authelia/log:/remotelogs/authelia:ro `#可选` \
  -v /path/to/emby/log:/remotelogs/emby:ro `#可选` \
  -v /path/to/filebrowser/log:/remotelogs/filebrowser:ro `#可选` \
  -v /path/to/homeassistant/log:/remotelogs/homeassistant:ro `#可选` \
  -v /path/to/lighttpd/log:/remotelogs/lighttpd:ro `#可选` \
  -v /path/to/nextcloud/log:/remotelogs/nextcloud:ro `#可选` \
  -v /path/to/nginx/log:/remotelogs/nginx:ro `#可选` \
  -v /path/to/nzbget/log:/remotelogs/nzbget:ro `#可选` \
  -v /path/to/overseerr/log:/remotelogs/overseerr:ro `#可选` \
  -v /path/to/***/log:/remotelogs/***:ro `#可选` \
  -v /path/to/radarr/log:/remotelogs/radarr:ro `#可选` \
  -v /path/to/sabnzbd/log:/remotelogs/sabnzbd:ro `#可选` \
  -v /path/to/sonarr/log:/remotelogs/sonarr:ro `#可选` \
  -v /path/to/unificontroller/log:/remotelogs/unificontroller:ro `#可选` \
  -v /path/to/vaultwarden/log:/remotelogs/vaultwarden:ro `#可选` \
  --restart unless-stopped \
  lscr.io/linuxserver/fail2ban:latest

参数

容器通过运行时传递的参数进行配置。参数格式为 <外部>:<内部>。

Portainer注意事项

此镜像使用 cap_add 或 sysctl 以正常工作。某些版本的Portainer可能未正确实现这些功能，因此通过Portainer部署此镜像可能无法正常工作。

来自文件的环境变量（Docker Secrets）

您可以使用特殊前缀 FILE__ 从文件设置任何环境变量。例如：

bash
-e FILE__MYVAR=/run/secrets/mysecretvariable

这会根据 /run/secrets/mysecretvariable 文件的内容设置环境变量 MYVAR。

应用程序的Umask

对于所有镜像，我们提供了通过可选的 -e UMASK=022 设置来覆盖容器内启动的服务的默认umask设置。请注意，umask不是chmod，它基于其值减去权限，而不是添加。请在请求支持前参考 umask说明。

用户/组ID

使用卷（-v 标志）时，主机OS和容器之间可能会出现权限问题。我们通过允许您指定用户 PUID 和组 PGID 来避免此问题。

确保主机上的任何卷目录都由您指定的相同用户拥有，权限问题将迎刃而解。

此处 PUID=1000 和 PGID=1000，要查找您的ID，请使用 id your_user：

bash
id your_user

示例输出：

text
uid=1000(your_user) gid=1000(your_user) groups=1000(your_user)

Docker Mods

我们发布了各种 Docker Mods 以启用容器内的附加功能。可通过上方动态徽章访问此镜像可用的Mods列表（如有）以及可应用于我们任何镜像的通用Mods。

支持信息

• 容器运行时的Shell访问：

  bash
  docker exec -it fail2ban /bin/bash
  

• 实时监控容器日志：

  bash
  docker logs -f fail2ban
  

• 容器版本号：

  bash
  docker inspect -f '{{ index .Config.Labels "build_version" }}' fail2ban
  

• 镜像版本号：

  bash
  docker inspect -f '{{ index .Config.Labels "build_version" }}' lscr.io/linuxserver/fail2ban:latest
  

更新信息

我们的大多数镜像是静态的、版本化的，需要更新镜像和重新创建容器来更新内部应用。除相关readme.md中注明的例外情况，我们不建议或支持在容器内更新应用。请参考上方的 应用设置 部分，了解是否推荐对该镜像进行应用更新。

以下是更新容器的说明：

通过Docker Compose

• 更新镜像：

  • 所有镜像：

    bash
    docker-compose pull
    

  • 单个镜像：

    bash
    docker-compose pull fail2ban
    

• 更新容器：

  • 所有容器：

    bash
    docker-compose up -d
    

  • 单个容器：

    bash
    docker-compose up -d fail2ban
    

• 移除旧的悬空镜像：

  bash
  docker image prune
  

通过Docker Run

• 更新镜像：

  bash
  docker pull lscr.io/linuxserver/fail2ban:latest
  

• 停止运行中的容器：

  bash
  docker stop fail2ban
  

• 删除容器：

  bash
  docker rm fail2ban
  

• 使用上述相同的docker run参数重新创建新容器（如果正确映射到主机文件夹，您的 /config 文件夹和设置将被保留）

• 移除旧的悬空镜像：

  bash
  docker image prune
  

镜像更新通知 - Diun（Docker镜像更新通知器）

[!TIP] 我们推荐 Diun 用于更新通知。不推荐或支持其他自动无人值守更新容器的工具。

本地构建

如果您想对这些镜像进行本地修改以用于开发或自定义逻辑：

bash
git clone [***]
cd docker-fail2ban
docker build \
  --no-cache \
  --pull \
  -t lscr.io/linuxserver/fail2ban:latest .

可以使用 lscr.io/linuxserver/qemu-static 在x86_64硬件上构建ARM变体，反之亦然：

bash
docker run --rm --privileged lscr.io/linuxserver/qemu-static --reset

注册后，您可以使用 -f Dockerfile.aarch64 指定要使用的dockerfile。

版本历史

• 11.02.25: - 基于Alpine 3.21重建。
• 12.10.24: - 基于Alpine 3.20重建。
• 05.03.24: - 基于Alpine 3.19重建。
• 01.06.23: - 添加可选的VERBOSITY环境变量，允许用户设置容器日志详细级别。
• 25.05.23: - 基于Alpine 3.18重建，弃用armhf。
• 15.12.22: - 用msmtp替换未维护的ssmtp。
• 15.12.22: - 基于Alpine 3.17重建，添加ssmtp和whois包。创建配置符号链接以允许实时重新加载。
• 25.08.22: - 更新README以澄清远程日志信息。
• 09.08.22: - 初始发布。