Tag: fail2ban

docker sshd容器使用syslog的Fail2banfilter: 我们正在尝试使用Fail2ban将无效的login信息发送到运行SSHD的Docker容器。我们已经将主机SSH端口移到了更高的数字。我目前在我的jail.local文件中有2个监狱： #Filters [ssh-iptables-22] enabled = true filter = docker-sshd action = iptables[name=SSHCONTAINER, port=22, protocol=tcp] logpath = /var/log/messages [ssh-iptables-2222] enabled = true filter = sshd action = iptables[name=SSHHOST, port=2222, protocol=tcp] logpath = /var/log/secure 我们使用驱动程序“syslog”进行容器日志logging，最后到/ var / log / messages文件。主机正在login到AUTHPRIV，所以这些将要/ var / log / secure 主机检查工作正常，在2222上尝试托pipeSSH的次数过多，就会被禁止。但是，/ var / log / messages中的docker check in没有捕获。 […]

如何使fail2ban读取json docker日志: 是否可以configuration我的fail2ban jail.conf来检查docker日志而不是挂载主机上的日志。例如将日志path设置为容器日志的path。 Jail.conf： … #example [nginx-http-auth] enabled = true filter = nginx-http-auth port = http,https logpath = /var/lib/docker/containers/819564257d4*/*e0923e-json.log … 但这并没有太大的作用，因为docker logs命令和日志文件之间有一点区别： # docker logs @nginx_container_name 2016/03/23 12:39:52 [error] 6＃6：* 350上游过早closures连接，同时读取来自上游的响应头，客户端： @ ATTACKER_IP ，服务器： @MY_DNS ，请求：“GET / Blog / wp-login .php HTTP / 1.1“，上游：” http://172.17.0.3:8001/Blog/wp-login.php “，主机：” @MY_IP：80“ @ATTACKER_IP – – [23 / Mar / 2016：12： […]

用Fail2ban和Docker安全服务器: 我在一个docker容器中使用了nginx，我可以很容易地在主机上与我的nginx docker容器共享我的日志文件。日志是在它上面，并在/var/log/nginx文件夹上工作。我在主机上安装了fail2ban来检查日志文件，特别是access.log 。我testing一个简单的filter # Fail2Ban configuration file # Author: Miniwark [Definition] failregex = ^<HOST> .*"GET .*w00tw00t # try to access to admin directory ^<HOST> .*"GET .*admin.* 403 ^<HOST> .*"GET .*admin.* 404 # try to access to install directory ^<HOST> .*"GET .*install.* 404 # try to access to phpmyadmin ^<HOST> .*"GET .*dbadmin.* 404 […]

Docker – 从容器中为主机修改IPTABLES: 我想运行一个中央日志和fail2ban服务的docker容器来防止dos / ddos攻击。我有一个问题，运行一个容器，这样的能力，它也可以修改主机的iptables。有一个项目ianblenke / docker-fail2ban，但它不工作… 给容器标志特权只允许我在这个容器上控制iptables 。有没有办法通过容器控制主机iptables ？问候。