2025/12/14 Updated by

Docker Image を自作する (2b)

ubuntu 24.04LTS + 新規ユーザ + sshd + syslogd + fail2ban

このページ内での表記:
「ホストOSの対話環境」は背景色を黄色(lightyellow)で表す。
「Conainer 内の root 権限の対話環境」は背景色を水色(azure)であらわす。
「Conainer 内の一般ユーザ権限の対話環境」は背景色を赤色(#ffeeee)であらわす。
「他のPCの対話環境」は紫色(#eeeeff)で表す。

攻撃対策済みの sshd が自動起動する ubuntu24.04LTS の docker Image を生成する

方針

「Docker Image を自作する: Ubuntu 24.04LTS + 新規ユーザ + sshd」を元にする。
アクセスしてきた外部の IP Adress を取得するため macvlan ネットワークにホストOS とは別の ip アドレスで接続する。(ホストOSが Linux の時のみ可能)
sshd のログを時刻付きで記録するため syslogd を利用する。
攻撃対策として fail2ban を運用する。

作成手順

作業用フォルダを作成する

  $ mkdir -p ~/doc/docker/ubuntu24_sshd_fail2ban
  $ cd ~/doc/docker/ubuntu24_ssd_fail2ban

作業用フォルダの中に dockerfile を作成する。

dockerfile中の ENV PASS=password の部分は、推測されにくい文字列に必ず変更すること。
opensshd をインストールする。ログは syslogd に送る。
syslogd をインストールする。
supervisord をインストールする。各種サーバは、container が起動される度に supervisord が自動起動する。
主要なネットワークコマンドをインストールする。
ファイアウォール ufw をインストールする。
fail2ban をインストールする。これはネットワーク関係のログを監視し、条件を満たしたサービスへのアクセスを一定時間はじく。

  backend = polling                  # ← 重要。これが指定してないと backend=systemd となり logpath を参照しない
  logpath = /var/log/syslog

Dockerfile

# ゲストOS: Ubuntu 24.04 LTS

FROM ubuntu:24.04


# Change Your Own UNAME, UID, GID, PASS

ENV UNAME=guest
ENV UID=3000
ENV GID=3000
ENV PASS=password

ENV SSHD_PORT=22

# 必要なパッケージのインストール

RUN apt-get update && \
    DEBIAN_FRONTEND=noninteractive apt-get install -y \
    sudo \
    bash \
    openssh-server \
    supervisor \
    net-tools iputils-tracepath traceroute iputils-ping curl iproute2 \
    ufw \
    locales \
    tzdata rsyslog fail2ban \
    && rm -rf /var/lib/apt/lists/*


# SSH 設定: パスワード認証を有効化

RUN sed -i 's/#PasswordAuthentication yes/PasswordAuthentication yes/' /etc/ssh/sshd_config && \
    sed -i "s/^#Port.*/Port ${SSHD_PORT}/" /etc/ssh/sshd_config && \
    mkdir /var/run/sshd


# supervisord の設定ファイルを設置する (Daemon 起動用)

RUN mkdir -p /var/log/supervisor/conf.d
COPY supervisord.conf /etc/supervisor/conf.d/supervisord.conf


# locale 設定
RUN locale-gen ja_JP.UTF-8 && \
    update-locale LANG=ja_JP.UTF-8
ENV LANG=ja_JP.UTF-8
ENV LC_ALL=ja_JP.UTF-8


# timezone 設定
RUN ln -sf /usr/share/zoneinfo/Asia/Tokyo /etc/localtime
RUN echo 'Asia/Tokyo' > /etc/timezone


# fail2bin
COPY jail.local /etc/fail2ban


# ポート開放

EXPOSE 22


# Copy Shell Script "entrypoint.sh"

COPY entrypoint.sh /entrypoint.sh
RUN chmod +x /entrypoint.sh

ENTRYPOINT ["/entrypoint.sh"]

CMD []

作業用フォルダの中に entrypoint.sh を作成する

entrypoint.sh

#!/bin/bash
set -e

if [ ! -f /var/app/.initialized ]; then
    ######## First Time ########

    echo "First run. Setting up ..."
    mkdir -p /var/app
    touch /var/app/.initialized

    # ユーザーが存在しない場合のみ作成する
    if id "${UNAME}" &>/dev/null; then
        echo "User ${UNAME} already exists. Skipping creation."
    else
        # 同名グループが無ければ作成する
        if ! getent group "${UNAME}" &>/dev/null; then
            echo "Creating group ${UNAME} with GID=${GID}"
            groupadd -g ${GID} ${UNAME}
        else
            echo "Group ${UNAME} already exists. Skipping group creation."
        fi
    
        echo "Creating user ${UNAME} with UID=${UID}, GID=${GID}"
        useradd -m -u ${UID} -g ${GID} -s /bin/bash ${UNAME}
        echo "${UNAME}:${PASS}" | chpasswd
        usermod -aG sudo ${UNAME}
    fi

    # ホームディレクトリの Owner が root:root になることがあるので明示的に変更する。
    chown -v ${UNAME}:${UNAME}  /home/${UNAME}

    # SSHD のポート番号を変更する
    sed -i "s/^Port.*/Port ${SSHD_PORT}/" /etc/ssh/sshd_config
    
else
    ######## Second Time or Later ########
    
    echo "Starting for the second time or later ..."

fi

# firewall
/usr/sbin/ufw enable
/usr/sbin/ufw allow from 0.0.0.0/0 to any port ${SSHD_PORT} proto tcp
/usr/sbin/ufw default deny incoming

# supervisord start (background)
/usr/bin/supervisord -c /etc/supervisor/supervisord.conf &

# Execute Commands in CMD

if [ "$#" -gt 0 ]; then
    exec "$@"
else
    echo "No command provided. Starting bash ..."
    exec bash
fi

作業用フォルダの中に supervisord.conf を作成する

supervisord.conf

# supervisord の追加`設定ファイル
# /etc/supervisor/conf.d/supervisord.conf

[supervisord]
nodaemon=true


[program:rsyslog]
command=/usr/sbin/rsyslogd -n
autostart=true
autorestart=true
priority=5


[program:sshd]
# syslog に送る。
command=/bin/sh -c "/usr/sbin/sshd -D -e 2>&1 | logger -t sshd"
autostart=true
autorestart=true


[program:fail2ban]
command=/usr/bin/fail2ban-server -xf start
autorestart=true
stderr_logfile=/var/log/fail2ban.err.log
stdout_logfile=/var/log/fail2ban.out.log
priority=10

作業用フォルダの中に jail.local を作成する。

jail.local

# fail2ban settings
# /etc/supervisor/conf.d/jail.local

[sshd]
enabled = true
port    = ssh
filter  = sshd
backend = polling
logpath = /var/log/syslog
maxretry = 5
findtime = 10m
bantime = 1h

image を build する。

  $ docker build -t ubuntu24_sshd_fail2ban .
  ...
成功

生成した image を確認する

$ docker image ls
repository            tag       image id       created         size
ubuntu24_sshd_fail2ban   latest    534506433e64   7 minutes ago   316MB
...

(注意) 上では、用意した supervisod.conf をContainer の /etc/supervisor/conf.d/supervisord.conf にコピーしている。 supervisord は起動時に /etc/supervisor/supervisord.conf を読み込むが、このファイルの中で /etc/supervisor/conf.d/*.conf をインクルードするように指定されている。

Container 用の永続的なファイルシステムを作成する

コンテナに永続的なファイルシステムを提供するために、1777 のパーミッションでフォルダを作っておく。 skicky bit が on (1777) のフォルダには、「誰でもファイルを作成できるが、作成した本人だけがファイルを変更したり消したりできる」という特徴がある。

$ sudo mkdir -p /home/docker         ← ディレクトリを作成する
$ sudo chmod 1777 /home/docker       ← 誰でもファイルを作成できるが、作成した本人にしか消去できないモードに設定する
$ ls -ld /home/docker                ← ディレクトリのsticky bit が on になっていることを確認する。
drwxrwxrwt 3 root root 4096  4月 26 15:47 /home/docker

docker network を生成する

「アクセスしてきたクライアントの正しいipアドレスが container 上の httpdサーバ (apache2) に伝わる」ように macvlan を使って「Container に物理 NIC と同じネットワークの独立した IP アドレスを与える」方法を採る。これは、現時点(2025/12/10)では docker ホスト OS が Linux の場合にだけ使える手法である。

前提条件と環境

ホストOSのネットワーク: 192.168.12.0/24
ホストOSのネットワークのゲートウェイ: 192.168.12.1
物理 NIC インタフェース名: eno01

Intel のCPUを持つPCに Ubuntu 24.04LTS をインストールした場合は eno1 となる。 Raspberry PI (ARM64) に Ubuntu 24.04LTS をインストールした場合は eth0 となる。 ifconfig コマンドで調べること。

ホストOSのIPアドレス: 192.168.12.3
Containerに割り当てるIPアドレス: 192.168.12.192/28 [192-207]

ホストOSの接続しているネットワークを調べる。

ネットワークアドレス: → 192.168.12.0/24
ゲートウェイ: 192.168.12.1
物理NICインタフェース: eno1

$ netstat -nr
カーネルIP経路テーブル
受信先サイト    ゲートウェイ    ネットマスク   フラグ   MSS Window  irtt インタフェース
0.0.0.0         192.168.12.1    0.0.0.0         UG        0 0          0 eno1
172.17.0.0      0.0.0.0         255.255.0.0     U         0 0          0 docker0
192.168.12.0    0.0.0.0         255.255.255.0   U         0 0          0 eno1

ホストOSの IP アドレスを調べる。

ホストOSのIPアドレス: 192.168.12.3

$ ifconfig 
	...
eno1: flags=4163  mtu 1500
        inet 192.168.12.3  netmask 255.255.255.0  broadcast 192.168.12.255
        inet6 2409:11:3920:6400:5a47:caff:fe71:3b7d  prefixlen 64  scopeid 0x0
        inet6 2409:11:3920:6400:4c1a:ff8c:eab1:41c9  prefixlen 64  scopeid 0x0
        inet6 fe80::5a47:caff:fe71:3b7d  prefixlen 64  scopeid 0x20
        ether 58:47:ca:71:3b:7d  txqueuelen 1000  (イーサネット)
...

macvlan ネットワークを作成する。

$ docker network create -d macvlan \
    --subnet=192.168.12.0/24 \
    --gateway=192.168.12.1 \
    -o parent=eno1 \
    --ip-range=192.168.12.192/28 \
    macvlan_net

docker のネットワーク一覧を表示する。macvlan_net が作成されていることがわかる。

$ docker network ls
NETWORK ID     NAME          DRIVER    SCOPE
ebbd998b2086   bridge        bridge    local
17420af9f271   host          host      local
557533733a33   macvlan_net   macvlan   local
a3538f29efc6   none          null      local

$ docker network ls --no-trunc
NETWORK ID                                                         NAME          DRIVER    SCOPE
ebbd998b20868aea17c1e9f3cd85edb3c7c0ce9181edfe9b308284604275e136   bridge        bridge    local
17420af9f27199ef5081c56e85910d913c73ae8f3885e48e4ed0b09a06d48016   host          host      local
557533733a33e84ca9eb665736f6a273414778f30a3e744411596008728b0b2b   macvlan_net   macvlan   local
a3538f29efc60166d3f639d42894eff9f902649036619190011c3a66b262a06a   none          null      local

Docker Contaner を生成する

Image ubuntu24_sshd2 を用いて、 macvlan_net ネットワークに接続する、新しい Container ubuntu24-sshd-fail2ban を生成する。

Container はホストOSと同じネットワークに直接アクセスし、別の IP アドレスを持つ。
Container 内でファイアウォールを動かす。

image から container を生成して起動する。下の実行例はユーザ名を www とした場合である。

  $ docker run --name ubuntu24-sshd-fail2ban --restart always \
    --hostname sshd_server \
    -e UNAME=www -e UID=2000 -e GID=2000 \
    --network macvlan_net \
    --ip 192.168.12.195 \
    --cap-add=NET_ADMIN \
    -v /home/docker/sshd195:/mnt/hostos \
    -it ubuntu24_sshd_fail2ban

--name container_name: 生成するcontainer の名前は ubuntu24-sshd-fail2ban
-e name=value: run 時に実行されるシェルスクリプト (entrypoint.sh) 中の環境変数を設定する。

環境変数名	値
UNAME	www
UID	2000
GID	2000

--restart always: docker が起動すると、このコンテナも自動起動する。
--hostname sshd_server : Conatiner のホスト名を指定する。
--network macvlan_net : Container は macvlan_net ネットワークにアクセスする。
--ip IPv4 アドレス: Container の IP アドレスを指定する。
--cap-add=NET_ADMIN: ネットワークに関する特権をこの Container に与える。(セキュリティ上の問題になる可能性あり)
-v: ホストOSの /home/docker/sshd195 が Container の /mnt/hostos にマウントされる。

マウントポイント
ホストOS	ゲストOS
/home/docker/sshd195	/mnt/hostos

-it: 対話チモード。ホストOSの端末をそのまま、 Container 内の bash との対話環境として使う。
使用する Docker Image は ubuntu24_sshd_fail2ban

Container を起動した対話環境が、そのままContainer 内で動作する bash との対話環境になる。root権限でloginした状態である。

First run. Setting up ... ← 生成された Container 内で entrypoint.sh が実行される
Creating group www with GID=3000
Creating user www with UID=3000, GID=3000
info: Adding user `www' to group `sudo' ...
ownership of '/home/www' retained as www:www
No command provided. Starting bash ...
root@sshd_server:/# 2025-12-14 12:33:31,857 CRIT Supervisor is running as root. Privileges were not dropped because no user is specified in the config file. If you intend to run as root, you can set user=root in the config file to avoid this message.
2025-12-14 12:33:31,857 INFO Included extra file "/etc/supervisor/conf.d/supervisord.conf" during parsing
2025-12-14 12:33:31,860 INFO RPC interface 'supervisor' initialized
2025-12-14 12:33:31,860 CRIT Server 'unix_http_server' running without any HTTP authentication checking
2025-12-14 12:33:31,860 INFO supervisord started with pid 38
2025-12-14 12:33:32,864 INFO spawned: 'rsyslog' with pid 41
2025-12-14 12:33:32,866 INFO spawned: 'fail2ban' with pid 42
2025-12-14 12:33:32,867 INFO spawned: 'sshd' with pid 43
2025-12-14 12:33:34,000 INFO success: rsyslog entered RUNNING state, process has stayed up for > than 1 seconds (startsecs)
2025-12-14 12:33:34,000 INFO success: fail2ban entered RUNNING state, process has stayed up for > than 1 seconds (startsecs)
2025-12-14 12:33:34,000 INFO success: sshd entered RUNNING state, process has stayed up for > than 1 seconds (startsecs)
# ← Container 内の対話環境 (root 権限の bash) が動く

(Container 内の root 権限で) ユーザ名を調べる。

# whoami
root

(Container 内の root 権限で) 直ちにユーザ www のパスワードを変更する。

# passwd www
New password: 新しいパスワード        ← 新しいパスワードを入力する(エコーバックされない)
Retype new password: 新しいパスワード ← もう一度新しいパスワードを入力する(エコーバックされない)

(Container 内の root 権限で) ufw を有効化する

# ufw enable
Status: active

# ufw allow from 0.0.0.0/0 to any port 22 proto tcp
Rule added

# ufw default deny incoming

# ufw status
Status: active
To                         Action      From
--                         ------      ----
22/tcp                     ALLOW       Anywhere

(Container 内の root 権限で) localhost の一般ユーザに ssh でアクセスできることを確認する。

# ssh www@localhost                   ← www ユーザにログインする
Password:                 ← パスワードを入力する。エコーバックされない。
Welcome to Ubuntu 24.04.2 LTS (GNU/Linux 6.11.0-25-generic x86_64)
...
To run a command as administrator (user "root"), use "sudo ".
See "man sudo_root" for details.
www $

Container 内の www ユーザ権限の対話環境を終了 Container 内の root 権限の対話環境に戻る。

$ exit
logout
$

キーボード操作 ('Control-P' と 'Control-Q' を連続してタイプする)により、ホストOSの対話環境に抜ける。 Container の対話環境は動作したままであるが、現在の端末からは切り離される。

# ^p ^q              ← Container内の対話環境で Control-P + Control-Q
$         ← ホストOSの対話環境に戻る

アクセス遮断の確認

192.168.12.2 から、存在しないユーザに対する ssh アクセスを 5回失敗するとファイアウォールが閉じられることを確認した。

$ sudo fail2ban-client status sshd
Status for the jail: sshd
|- Filter
|  |- Currently failed: 1
|  |- Total failed:     6
|  `- File list:        /var/log/syslog
`- Actions
   |- Currently banned: 1
   |- Total banned:     1
   `- Banned IP list:   192.168.12.2