lsiodev/swag Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
lsiodev/swaglsiodev
SWAG (Secure Web Application Gateway) 是一个集成Nginx反向代理、PHP支持、Certbot客户端(自动管理Let's Encrypt和ZeroSSL免费SSL证书)及fail2ban入侵防护的安全Web应用网关。
下载次数: 0状态:社区镜像维护者:lsiodev仓库类型:镜像
SWAG (Secure Web Application Gateway)
概述
SWAG(Secure Web Application Gateway,前身为letsencrypt,与Let's Encrypt™无关联)是一个集成Nginx Web服务器、反向代理、PHP支持、Certbot客户端及fail2ban入侵防护的安全Web应用网关。Certbot客户端可自动完成免费SSL服务器证书(Let's Encrypt和ZeroSSL)的生成与续期流程,为Web应用提供安全访问能力。
核心功能和特性
- Nginx集成:内置Nginx作为Web服务器和反向代理,支持PHP环境
- 自动SSL管理:通过Certbot客户端自动生成、续期Let's Encrypt和ZeroSSL免费SSL证书
- 入侵防护:集成fail2ban工具,提供基础入侵检测与防护
- 灵活验证方式:支持HTTP和DNS两种证书验证方式
- 证书兼容性:自动生成PFX和PEM格式证书,适用于Emby、Znc等其他应用
- 安全增强:默认使用符合RFC7919标准的ffdhe4096作为dhparams.pem
- 预设反向代理配置:提供常用应用的预设反向代理配置文件
使用场景
- 需要为多个Web应用提供统一反向代理的场景
- 需自动管理SSL证书的个人或小型企业Web服务
- 希望增强Web服务安全性(含入侵防护、HTTPS强制)的部署环境
- 需要跨容器共享SSL证书的多容器应用架构
使用方法和配置说明
验证和初始设置
运行前准备
- 确保域名及子域名已正确转发至容器所在主机,且主机上443端口(及80端口,如使用)未被其他服务占用(如NAS管理界面、其他Web服务器等)
- 若需动态DNS,可使用免费服务duckdns.org,配合linuxserver/duckdns镜像更新IP。URL格式为
yoursubdomain.duckdns.org,子域名可设为www,ftp,cloud(HTTP验证)或wildcard(DNS验证)
证书验证方式
- HTTP验证:需将路由器互联网侧的80端口转发至容器的80端口
- DNS验证:需在
/config/dns-conf目录下对应插件的ini(或部分插件的json)文件中填入凭据- Cloudflare提供免费DNS管理服务,建议设置为"仅DNS"模式(而非"DNS+代理")
- Google DNS插件适用于"Google Cloud DNS"(付费企业服务),不支持"Google Domains DNS"
- DuckDNS仅支持两种DNS验证证书:主域名证书(SUBDOMAINS留空)或通配符证书(SUBDOMAINS设为
wildcard)
必要配置
- 必须添加
--cap-add=NET_ADMIN参数,确保fail2ban能修改iptables规则 - 容器启动后,通过
[***]访问默认主页(HTTP访问默认禁用,可编辑/config/nginx/site-confs/default.conf启用) - 证书每日检查,过期前30天自动尝试续期。建议配置***参数,接收Let's Encrypt的证书过期通知
Certbot插件
SWAG内置多种Certbot插件,若需额外插件,可通过以下步骤安装:
-
使用Universal Package Install Docker Mod,设置容器环境变量:
yamlDOCKER_MODS=linuxserver/mods:universal-package-install INSTALL_PIP_PACKAGES=certbot-dns-<插件名> -
在
/config/dns-conf/<插件名>.ini中填入插件所需凭据(参考插件文档) -
建议先设置
STAGING=true测试插件功能,确认正常后再正式申请证书
安全和密码保护
证书自动更新
容器启动时会检测URL和子域名变化,自动吊销旧证书并生成新证书
密码保护(htpasswd)
- 生成密码文件:在主机执行
docker exec -it swag htpasswd -c /config/nginx/.htpasswd <用户名>(首次创建用户,-c为创建文件) - 添加其他用户:执行
docker exec -it swag htpasswd /config/nginx/.htpasswd <用户名>(不含-c,避免覆盖现有文件)
LDAP认证
可通过LDAP进行安全和访问控制,需配合独立镜像linuxserver/ldap-auth与LDAP服务器通信。容器提供可配置的示例ldap.conf文件
站点配置和反向代理
默认配置
- 默认站点配置位于
/config/nginx/site-confs/default.conf,可修改此文件或添加其他.conf文件至该目录。若删除default.conf,容器启动时会自动生成新文件
预设反向代理配置
- 容器提供常用应用的预设反向代理配置,存放于
/config/nginx/proxy_confs目录,参考该目录下README.md启用方法。预设配置来源于reverse-proxy-confs仓库
搜索引擎隐藏
在站点配置的server块中、ssl.conf引用行上方添加:
nginxadd_header X-Robots-Tag "noindex, nofollow, nosnippet, noarchive";
可请求搜索引擎不索引站点,注意:长期启用会导致站点从搜索引擎中移除
HTTP转HTTPS重定向
需暴露80端口并配置相应重定向规则
使用 certs 在其他容器中
容器自动生成其他应用(如Emby、Znc)所需的证书文件,包括:
- Certbot生成的
cert.pem、chain.pem、fullchain.pem、privkey.pem - 自动转换的
privkey.pfx(Windows/.NET应用支持,无密码) priv-full***bundle.pem(私钥与证书链捆绑,适用于Znc等应用)
证书共享方法
- 简易方式:将SWAG的
/config目录挂载至其他容器(如-v /path-to-swag-config:/swag-ssl),证书路径为/swag-ssl/keys/letsencrypt/ - 安全方式:仅挂载
/config/etc目录(如-v /path-to-swag-config/etc:/swag-ssl),证书路径为/swag-ssl/letsencrypt/live/<your.domain.url>/(仅共享证书,不暴露完整配置)
使用 fail2ban
默认启用的Jail
容器默认启用5个fail2ban jail:
- nginx-http-auth
- nginx-badbots
- nginx-botsearch
- nginx-deny
- nginx-unauthorized
常用命令
- 查看所有活跃jail:
docker exec -it swag fail2ban-client status - 查看特定jail状态:
docker exec -it swag fail2ban-client status <jail名称> - 解封IP:
docker exec -it swag fail2ban-client set <jail名称> unbanip <IP> - 更多命令参考fail2ban官方文档
配置修改
- 修改jail规则:编辑
/config/fail2ban/jail.local(而非.conf文件,.conf会在更新时被覆盖,.local文件优先级更高) - 修改过滤器/动作:创建与
.conf同名的.local文件(如nginx-http-auth.conf对应nginx-http-auth.local),.local内容会追加至.conf
更新配置
配置文件更新策略
- 容器创建的配置文件(如Nginx配置、代理示例)不会自动更新,更新说明见更新日志
- 若已修改的文件在更新日志中有变更:
- 保持现有配置(若功能正常)
- 参考仓库提交记录手动应用变更
- 删除该文件后重启容器,重新生成默认配置并重新应用自定义修改
- 若未修改的文件有变更:删除文件后重启容器,自动生成更新后的配置
反向代理配置更新
- 预设反向代理配置更新不记录在更新日志,可通过reverse-proxy-confs仓库提交记录查看变更
- 已重命名启用的代理配置文件(如
app.subdomain.conf.sample重命名为app.subdomain.conf)不会自动更新,需手动对比新示例文件调整
从旧镜像迁移
从旧版linuxserver/letsencrypt镜像迁移,请参考官方博客指南
Docker部署示例
docker run命令
bashdocker run -d \ --name=swag \ --cap-add=NET_ADMIN \ -e PUID=1000 \ # 用户ID,默认1000 -e PGID=1000 \ # 组ID,默认1000 -e TZ=Etc/UTC \ # 时区,如Asia/Shanghai -e URL=yourdomain.url \ # 主域名 -e VALIDATION=http \ # 验证方式:http或dns -e SUBDOMAINS=www, `# 可选,子域名列表,逗号分隔` \ -e CERTPROVIDER= `# 可选,证书提供商,默认Let's Encrypt` \ -e DNSPLUGIN=cloudflare `# 可选,DNS验证插件,如cloudflare` \ -e PROPAGATION= `# 可选,DNS传播等待时间(秒)` \ -e EMAIL= `# 可选,接收证书通知的***` \ -e ONLY_SUBDOMAINS=false `# 可选,是否仅为子域名生成证书` \ -e EXTRA_DOMAINS= `# 可选,额外域名,逗号分隔` \ -e STAGING=false `# 可选,是否使用测试环境(避免证书申请限制)` \ -p 443:443 \ # HTTPS端口 -p 80:80 `# 可选,HTTP端口(用于验证或重定向)` \ -v /path/to/appdata/config:/config \ # 配置文件挂载路径 --restart unless-stopped \ # 重启策略 lscr.io/linuxserver/swag:latest
lsiodev/buildcache
lsiodev
暂无描述
100万+ 次下载
2 天前更新
lsiodev/radarr
lsiodev
Radarr是一款用于电影收藏管理的工具,可自动搜索、下载和整理电影文件,帮助用户维护有序的电影库。
100万+ 次下载
1 个月前更新
lsiodev/sonarr
lsiodev
暂无描述
50万+ 次下载
1 个月前更新
lsiodev/qbittorrent
lsiodev
LinuxServer.io 提供的 qBittorrent Docker 镜像,这是一个基于 Qt 工具包和 libtorrent-rasterbar 库的开源 BitTorrent 客户端,支持 Web UI 管理,提供稳定更新、用户权限映射和安全更新等特性。
1 次收藏10万+ 次下载
2 个月前更新
lsiodev/ombi
lsiodev
linuxserver/ombi是一款媒体请求管理工具,允许用户请求电影、电视剧等内容,适用于配合Plex、Emby等媒体服务器使用。
5万+ 次下载
1 年前更新
lsiodev/jenkins-builder
lsiodev
作为LSIO CI流程组成部分运行的Jenkins构建工具镜像,不供公众使用。
1万+ 次下载
6 天前更新
镜像拉取常见问题
使用与功能问题
错误码与失败问题
manifest unknown 错误:镜像不存在或标签错误
manifest unknown 错误
TLS/SSL 证书验证失败:Docker pull 时 HTTPS 证书错误
TLS 证书验证失败
DNS 解析超时:无法解析镜像仓库地址或连接超时
DNS 解析超时
410 Gone 错误:Docker 版本过低导致协议不兼容
410 错误:版本过低
402 Payment Required 错误:流量耗尽错误提示
402 错误:流量耗尽
401 UNAUTHORIZED 错误:身份认证失败或登录信息错误
身份认证失败错误
429 Too Many Requests 错误:请求频率超出专业版限制
429 限流错误
Docker login 凭证保存错误:Cannot autolaunch D-Bus(不影响登录)
凭证保存错误
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"
镜像拉取问题咨询请 提交工单,官方技术交流群:1072982923
轩辕镜像面向开发者与科研用户,提供开源镜像的搜索和访问支持。所有镜像均来源于原始仓库,本站不存储、不修改、不传播任何镜像内容。