[docker] reverse proxy traefik gegen x fehleingaben absichern

Jackson · 23 Juli 2019, 15:00:08

Moin,

da Docker ja in aller Munde ist, stelle ich hier mal eine Frage zum Reverse Proxy Traefik.

Im Zuge der Recherchen zu Docker bin auf dem Reverse Proxy Traefik gestoßen. Diese scheint sich im Vergleich zu Apache leichter zu konfigurieren.

Hier kann ebenfalls eine basic auth gesetzt werden.

https://docs.traefik.io/configuration/entrypoints/#basic-authentication

Doch wie kann ich die x'te Fehleingabe blockieren wie bei fail2ban? Hierzu habe ich in der traefik doku. nichts gefunden. Google zeigt mir zum Thema "traefik fail2ban" nichts vertrauenswürdiges.

Hat hier schon jemand Erfahrung auf dem Gebiet? Oder muss ich doch wieder über apache2, ngix und co gehen?

Gruss und Danke

volschin · 01 August 2019, 13:20:59

Ich bin gerade am Einarbeiten in Traefik. Ich habe ein paar Docker-Ports bereits gesichert und will mich als nächstes an FHEM-Absicherung machen. FHEM ist bei mir noch nicht im Docker.
Ich bin daher an Erfahrungen auch sehr interessiert.

Jackson · 02 August 2019, 21:34:53

Schau mal hier vorbei...

https://www.the-lazy-dev.com/en/install-fail2ban-with-docker/?fbclid=IwAR0y4r-MMwJ-d8wdazKi7ahK_ceBbxhoTD05uLu32vq7JrOR3sevGXLtkxQ

Kurz:
1.Traefik muss ein acces log schreiben was über das volume auf dem Host abgelegt wird
2.Fail2ban auf dem Host installieren und entsprechend konfigurieren

Diese Konfig habe ich erfolgreich getestet

volschin · 02 August 2019, 23:45:35

Danke für die Info.
Fail2ban auf dem Host geht aber aus Prinzip schon mal garnicht. [emoji6]

Geht aber auch anders: https://github.com/crazy-max/docker-fail2ban/

Auch die Lösung mit dem direkten Zugriff auf die Docker-Verzeichnisse ist bei mir architekturell ein no-Go.
Das müsste sich aber mit dem Einhängen von named Volumes in beiden Containern auch deutlich eleganter lösen lassen.

Jackson · 03 August 2019, 19:38:37

Was hast du dagegen fail2ban auf dem Host laufen zulassen?

volschin · 03 August 2019, 21:21:57

Wenn ich mir schon Gedanken mache, wie ich meine in 7 Jahren aufgelaufenen Dienste in Container bekomme und das gut portierbar gestalte, fange ich doch nicht wieder an, sowas Baremetal auf den Raspi zu packen.

Jackson · 04 August 2019, 12:35:07

Den Portierungsgedanken verstehe ich natürlich. Aber was ist so schlimm daran fail2ban auf dem Host zu installieren? Somit kannst du Host gleichzeitig die Container sichern..

Aber da bekanntlich viele Wege nach Rom führen, welcher Weg schwebt dir denn so vor?

Wernieman · 04 August 2019, 14:11:03

also ich sehe gewwise "Dienste" als Basisdienste. z.B. ist "docker" ein solcher. Deshalb ist für mich fail2baneher ein Basisdienst und gehört so auf dem Server. ist auch in der Firma deshalb so gelöst ...

8Abgesehen davon, das dann "blöde" Pakete ganz am Anfang vom Server geblockt werden ..)

Aber wie bei Unix üblich: Es führen mehrere Wege nach ROM ...

akeite · 07 Oktober 2019, 23:56:47

Hallo Zusammen,

ich habe die Anleitung von the-lazy-dev.com auch durchgeführt.
fail2ban gibt mir an, dass ich 4 jails habe (sshd, traefik-auth, traefik-badbots, traefik-botsearch)

sshd funktioniert
die traefik jails werfen nichts aus, obwohl ich beim externen Zugriff (Port 443) das Passwort falsch eingebe.
Ich weiß nicht weiter.

Hat jemand eine Idee was es sein könnte?

-Traefik ist in einem docker container-

volschin · 08 Oktober 2019, 07:42:55

Kannst Du mal die genaue URL der Anleitung posten, auf die Du Dich beziehst. Ansonsten ist es nicht möglich, deine Probleme mit Traefik nachzuvollziehen.
Ich würde aber mal tippen, dass etwas mit dem Lesen der Logs nicht funktioniert.

Wernieman · 08 Oktober 2019, 08:11:51

Oder das fail2ban nicht richtig Blockiert .... schließlich läuft der sshd auf dem Server selber ...

[docker] reverse proxy traefik gegen x fehleingaben absichern

akeite