Moin,
da Docker ja in aller Munde ist, stelle ich hier mal eine Frage zum Reverse Proxy Traefik.
Im Zuge der Recherchen zu Docker bin auf dem Reverse Proxy Traefik gestoßen. Diese scheint sich im Vergleich zu Apache leichter zu konfigurieren.
Hier kann ebenfalls eine basic auth gesetzt werden.
https://docs.traefik.io/configuration/entrypoints/#basic-authentication (https://docs.traefik.io/configuration/entrypoints/#basic-authentication)
Doch wie kann ich die x'te Fehleingabe blockieren wie bei fail2ban? Hierzu habe ich in der traefik doku. nichts gefunden. Google zeigt mir zum Thema "traefik fail2ban" nichts vertrauenswürdiges.
Hat hier schon jemand Erfahrung auf dem Gebiet? Oder muss ich doch wieder über apache2, ngix und co gehen?
Gruss und Danke
Ich bin gerade am Einarbeiten in Traefik. Ich habe ein paar Docker-Ports bereits gesichert und will mich als nächstes an FHEM-Absicherung machen. FHEM ist bei mir noch nicht im Docker.
Ich bin daher an Erfahrungen auch sehr interessiert. :)
Schau mal hier vorbei...
https://www.the-lazy-dev.com/en/install-fail2ban-with-docker/?fbclid=IwAR0y4r-MMwJ-d8wdazKi7ahK_ceBbxhoTD05uLu32vq7JrOR3sevGXLtkxQ (https://www.the-lazy-dev.com/en/install-fail2ban-with-docker/?fbclid=IwAR0y4r-MMwJ-d8wdazKi7ahK_ceBbxhoTD05uLu32vq7JrOR3sevGXLtkxQ)
Kurz:
1.Traefik muss ein acces log schreiben was über das volume auf dem Host abgelegt wird
2.Fail2ban auf dem Host installieren und entsprechend konfigurieren
Diese Konfig habe ich erfolgreich getestet
Danke für die Info.
Fail2ban auf dem Host geht aber aus Prinzip schon mal garnicht. [emoji6]
Geht aber auch anders: https://github.com/crazy-max/docker-fail2ban/
Auch die Lösung mit dem direkten Zugriff auf die Docker-Verzeichnisse ist bei mir architekturell ein no-Go.
Das müsste sich aber mit dem Einhängen von named Volumes in beiden Containern auch deutlich eleganter lösen lassen.
Was hast du dagegen fail2ban auf dem Host laufen zulassen?
Wenn ich mir schon Gedanken mache, wie ich meine in 7 Jahren aufgelaufenen Dienste in Container bekomme und das gut portierbar gestalte, fange ich doch nicht wieder an, sowas Baremetal auf den Raspi zu packen.
Den Portierungsgedanken verstehe ich natürlich. Aber was ist so schlimm daran fail2ban auf dem Host zu installieren? Somit kannst du Host gleichzeitig die Container sichern..
Aber da bekanntlich viele Wege nach Rom führen, welcher Weg schwebt dir denn so vor?
also ich sehe gewwise "Dienste" als Basisdienste. z.B. ist "docker" ein solcher. Deshalb ist für mich fail2baneher ein Basisdienst und gehört so auf dem Server. ist auch in der Firma deshalb so gelöst ...
8Abgesehen davon, das dann "blöde" Pakete ganz am Anfang vom Server geblockt werden ..)
Aber wie bei Unix üblich: Es führen mehrere Wege nach ROM ...
Hallo Zusammen,
ich habe die Anleitung von the-lazy-dev.com auch durchgeführt.
fail2ban gibt mir an, dass ich 4 jails habe (sshd, traefik-auth, traefik-badbots, traefik-botsearch)
sshd funktioniert
die traefik jails werfen nichts aus, obwohl ich beim externen Zugriff (Port 443) das Passwort falsch eingebe.
Ich weiß nicht weiter.
Hat jemand eine Idee was es sein könnte?
-Traefik ist in einem docker container-
Kannst Du mal die genaue URL der Anleitung posten, auf die Du Dich beziehst. Ansonsten ist es nicht möglich, deine Probleme mit Traefik nachzuvollziehen.
Ich würde aber mal tippen, dass etwas mit dem Lesen der Logs nicht funktioniert.
Oder das fail2ban nicht richtig Blockiert .... schließlich läuft der sshd auf dem Server selber ...