docker swag

LinuxServer.io 团队为您带来了另一个容器版本，其中包含：

• 定期及时更新应用程序
• 简单的用户映射（PGID、PUID）
• 带有 s6 覆盖层的自定义基础镜像
• 每周更新基础操作系统，并在整个 LinuxServer.io 生态系统中使用通用层，以最大程度地减少空间使用、停机时间和带宽
• 定期安全更新

找到我们：

• 博客 - 您可以使用我们的容器做的所有事情，包括操作指南、意见等等！
• Discord - 与社区和团队实时支持/聊天。
• 话语 - 在我们的社区论坛上发帖。
• Fleet - 一个在线网络界面，显示我们维护的所有图像。
• GitHub - 查看我们所有存储库的源代码。
• 开放集体 - 请考虑通过捐赠或贡献我们的预算来帮助我们

SWAG - 安全 Web 应用程序网关（以前称为 Let's Encrypt™，与 Let's Encrypt™ 无关）设置 Nginx Web 服务器和具有 php 支持的反向代理以及内置的 certbot 客户端，可自动执行免费 SSL 服务器证书生成和更新过程（Let's Encrypt）和 ZeroSSL）。它还包含用于入侵防御的fail2ban。

我们利用 docker 清单来实现多平台感知。更多信息可从此处的 docker 和此处的公告获得。

只需拉动lscr.io/linuxserver/swag:latest就可以为您的拱门检索正确的图像，但您也可以通过标签拉取特定的拱门图像。

该镜像支持的架构有：

• 在运行此容器之前，请确保 url 和子域已正确转发到此容器的主机，并且端口 443（和/或 80）未被主机上的其他服务（NAS gui、另一个 Web 服务器等）使用。 。
• 如果您需要动态 dns 提供商，您可以使用免费提供商 duckdns.org，其中URL为yoursubdomain.duckdns.org ， SUBDOMAINS可以是www,ftp,cloud ，或带 dns 验证的wildcard 。您可以使用我们的 duckdns 映像在 duckdns.org 上更新您的 IP。
• 对于http验证，路由器互联网端的端口 80 应转发到此容器的端口 80
• 对于dns验证，请确保将您的凭据输入到/config/dns-conf下相应的 ini（或某些插件的 json）文件中
  • Cloudflare 提供用于管理 dns 的免费帐户，并且非常易于使用此映像。确保将其设置为“仅 dns”而不是“dns + 代理”
  • Google dns 插件旨在与付费企业产品“Google Cloud DNS”一起使用，而不是与“Google Domains DNS”一起使用
  • DuckDNS 仅支持两种类型的 DNS 验证证书（不能同时支持两种类型）：
    1. 仅覆盖您的主子域的证书（即yoursubdomain.duckdns.org ，将SUBDOMAINS变量留空）
    2. 涵盖主子域的子域的证书（即*.yoursubdomain.duckdns.org ，将SUBDOMAINS变量设置为wildcard ）
• --cap-add=NET_ADMIN需要fail2ban修改iptables
• 设置完成后，导航到https://yourdomain.url访问默认主页（默认情况下禁用通过端口 80 的 http 访问，您可以通过编辑/config/nginx/site-confs/default.conf ）。
• 证书每晚检查一次，如果在 30 天内过期，则会尝试续订。如果您的证书将在 30 天内过期，请检查/config/log/letsencrypt下的日志以了解续订失败的原因。建议在 docker 参数中输入您的电子邮件，以便您在这种情况下收到来自 Let's Encrypt 的过期通知。

SWAG 包含许多开箱即用的 Certbot 插件，但并非所有插件都可以包含在内。如果您需要未包含的插件，获得该插件的最快方法是使用我们的通用包安装 Docker Mod。

在容器上设置以下环境变量：

 DOCKER_MODS=linuxserver/mods:universal-package-install
INSTALL_PIP_PACKAGES=certbot-dns-<plugin>

在/config/dns-conf/<plugin>.ini中设置所需的凭据（通常在插件文档中找到）。建议首先尝试获取STAGING=true的证书，以确保插件按预期工作。

• 容器检测 url 和子域的更改，撤销现有证书并在启动期间生成新证书。
• 根据 RFC7919，容器将 ffdhe4096 作为dhparams.pem传送。
• 如果您想用密码保护您的网站，可以使用 htpasswd。在主机上运行以下命令生成 htpasswd 文件docker exec -it swag htpasswd -c /config/nginx/.htpasswd <username>
• 您可以将多个 user:pass 添加到.htpasswd 。对于第一个用户，使用上面的命令，对于其他用户，使用上面不带-c标志的命令，因为它将强制删除现有的.htpasswd并创建一个新的。
• 您还可以使用 LDAP 身份验证来实现安全和访问控制。提供了一个用户可配置的 ldap.conf 示例，它需要单独的映像 linuxserver/ldap-auth 才能与 ldap 服务器通信。

• 默认站点配置位于/config/nginx/site-confs/default.conf 。您可以随意修改此文件，并且可以将其他conf文件添加到此目录中。但是，如果删除default文件，则会在容器启动时创建新的默认文件。
• 为流行的应用程序添加了预设的反向代理配置文件。有关如何启用它们的说明，请参阅/config/nginx/proxy_confs下的README.md文件。预设confs驻留在此存储库中并从此存储库导入。
• 如果您希望对搜索引擎爬虫隐藏您的网站，您可能会发现将此配置行添加到您的网站配置中（在服务器块内，包含 ssl.conf 的行上方）很有用add_header X-Robots-Tag "noindex, nofollow, nosnippet, noarchive";这将要求Google 等人不要索引和列出您的网站。请小心这一点，因为如果您在希望出现在搜索引擎上的网站上留下此行，您最终将被除名
• 如果您希望将 http 重定向到 https，则必须公开端口 80

• 该容器包含自动生成的 pfx 和私有全链捆绑 pem 证书，这些证书是 Emby 和 Znc 等其他应用程序所需的。
  • 要在其他容器中使用这些证书，请执行以下操作之一：
  1. （更简单）将容器的配置文件夹挂载到其他容器中（即-v /path-to-swag-config:/swag-ssl ），并在其他容器中使用证书位置/swag-ssl/keys/letsencrypt/
  2. （更安全）挂载位于其他容器中/config下的 SWAG 文件夹etc （即-v /path-to-swag-config/etc:/swag-ssl ）并在其他容器中，使用证书位置/swag-ssl/letsencrypt/live/<your.domain.url>/ （这更安全，因为第一种方法与其他容器共享整个 SWAG 配置文件夹，包括 www 文件，而第二种方法仅共享 ssl证书）
  • 这些证书包括：
  1. cert.pem 、 chain.pem 、 fullchain.pem和privkey.pem ，由 Certbot 生成并由 nginx 和各种其他应用程序使用
  2. privkey.pfx ，一种 Microsoft 支持的格式，通常由 Emby Server 等 dotnet 应用程序使用（无密码）
  3. priv-fullchain-bundle.pem ，一个捆绑私钥和全链的 pem 证书，由 ZNC 等应用程序使用

• 该容器包含默认设置有 5 个监狱的fail2ban：
  1. nginx-http-auth
  2. nginx-badbots
  3. nginx-botsearch
  4. nginx 拒绝
  5. nginx-未经授权
• 要启用或禁用其他监狱，请修改文件/config/fail2ban/jail.local
• 要修改过滤器和操作，请不要编辑.conf文件，而是创建同名的.local文件并编辑这些文件，因为更新操作和过滤器时 .conf 文件会被覆盖。 .local文件将附加.conf文件中的所有内容（即nginx-http-auth.conf --> nginx-http-auth.local ）
• 您可以通过docker exec -it swag fail2ban-client status检查哪些监狱处于活动状态
• 您可以通过docker exec -it swag fail2ban-client status <jail name>检查特定监狱的状态
• 您可以通过docker exec -it swag fail2ban-client set <jail name> unbanip <IP>取消禁止 IP
• 命令列表可以在这里找到：https://www.fail2ban.org/wiki/index.php/Commands

• 该容器为 nginx、代理示例等创建了许多配置。
• 配置更新记录在变更日志中，但不会自动应用于您的文件。
• 如果您修改了一个文件并在变更日志中注明了更改：
  1. 保持现有配置不变（未损坏，请勿修复）
  2. 查看我们的存储库提交并自行应用新的更改
  3. 删除包含列出的更新的修改后的配置文件，重新启动容器，重新应用更改
• 如果您没有修改在变更日志中注明更改的文件：
  1. 删除包含列出的更新的配置文件，重新启动容器
• 更改日志中未列出代理示例更新。请参阅此处的更改：https://github.com/linuxserver/reverse-proxy-confs/commits/master
• 代理示例文件将更新，但重命名（启用）的代理文件不会更新。
• 您可以检查新示例并根据需要调整您的活动配置。

请按照此博客文章中的说明进行操作。

为了帮助您开始从此映像创建容器，您可以使用 docker-compose 或 docker cli。

---
services :
  swag :
    image : lscr.io/linuxserver/swag:latest
    container_name : swag
    cap_add :
      - NET_ADMIN
    environment :
      - PUID=1000
      - PGID=1000
      - TZ=Etc/UTC
      - URL=yourdomain.url
      - VALIDATION=http
      - SUBDOMAINS=www, # optional
      - CERTPROVIDER= # optional
      - DNSPLUGIN=cloudflare # optional
      - PROPAGATION= # optional
      - EMAIL= # optional
      - ONLY_SUBDOMAINS=false # optional
      - EXTRA_DOMAINS= # optional
      - STAGING=false # optional
    volumes :
      - /path/to/swag/config:/config
    ports :
      - 443:443
      - 80:80 # optional
    restart : unless-stopped

docker run -d 
  --name=swag 
  --cap-add=NET_ADMIN 
  -e PUID=1000 
  -e PGID=1000 
  -e TZ=Etc/UTC 
  -e URL=yourdomain.url 
  -e VALIDATION=http 
  -e SUBDOMAINS=www, ` # optional ` 
  -e CERTPROVIDER= ` # optional ` 
  -e DNSPLUGIN=cloudflare ` # optional ` 
  -e PROPAGATION= ` # optional ` 
  -e EMAIL= ` # optional ` 
  -e ONLY_SUBDOMAINS=false ` # optional ` 
  -e EXTRA_DOMAINS= ` # optional ` 
  -e STAGING=false ` # optional ` 
  -p 443:443 
  -p 80:80 ` # optional ` 
  -v /path/to/swag/config:/config 
  --restart unless-stopped 
  lscr.io/linuxserver/swag:latest

容器是使用运行时传递的参数（例如上面的参数）进行配置的。这些参数以冒号分隔，分别表示<external>:<internal> 。例如， -p 8080:80将从容器内部公开端口80 ，以便可以从容器外部端口8080上的主机 IP 进行访问。

该映像使用cap_add或sysctl才能正常工作。这在 Portainer 的某些版本中未正确实现，因此如果通过 Portainer 部署，此映像可能无法工作。

您可以使用特殊的前缀FILE__从文件中设置任何环境变量。

举个例子：

-e FILE__MYVAR=/run/secrets/mysecretvariable

将根据/run/secrets/mysecretvariable文件的内容设置环境变量MYVAR 。

对于我们的所有镜像，我们提供了使用可选的-e UMASK=022设置覆盖容器内启动的服务的默认 umask 设置的功能。请记住，umask 不是 chmod，它根据它不添加的值从权限中减去。在寻求支持之前，请先阅读此处。

使用卷（ -v标志）时，主机操作系统和容器之间可能会出现权限问题，我们通过允许您指定用户PUID和组PGID来避免此问题。

确保主机上的所有卷目录都属于您指定的同一用户，并且任何权限问题都会像魔术一样消失。

在本例中PUID=1000和PGID=1000 ，要找到您的，请使用id your_user ，如下所示：

id your_user

输出示例：

 uid=1000(your_user) gid=1000(your_user) groups=1000(your_user)

我们发布了各种 Docker Mod 以在容器内启用附加功能。可通过上面的动态徽章访问该图像可用的 Mod 列表（如果有）以及可应用于我们任何一个图像的通用 Mod。

• 容器运行时的 shell 访问：

  docker exec -it swag /bin/bash

• 实时监控容器的日志：

  docker logs -f swag

• 容器版本号：

  docker inspect -f ' {{ index .Config.Labels "build_version" }} ' swag

• 图片版本号：

  docker inspect -f ' {{ index .Config.Labels "build_version" }} ' lscr.io/linuxserver/swag:latest

我们的大多数图像都是静态的、版本化的，并且需要图像更新和容器重新创建来更新内部的应用程序。除了一些例外情况（相关 readme.md 中注明），我们不建议也不支持更新容器内的应用程序。请参阅上面的“应用程序设置”部分，了解是否建议将其用于图像。

以下是更新容器的说明：

• 更新图片：

  • 所有图像：

    docker-compose pull

  • 单张图像：

    docker-compose pull swag

• 更新容器：

  • 所有容器：

    docker-compose up -d

  • 单个容器：

    docker-compose up -d swag

• 您还可以删除旧的悬空图像：

  docker image prune

• 更新图像：

  docker pull lscr.io/linuxserver/swag:latest

• 停止正在运行的容器：

  docker stop swag

• 删除容器：

  docker rm swag

• 按照上面的说明，使用相同的 docker 运行参数重新创建一个新容器（如果正确映射到主机文件夹，您的/config文件夹和设置将被保留）

• 您还可以删除旧的悬空图像：

  docker image prune

如果您想出于开发目的或只是为了自定义逻辑而对这些图像进行本地修改：

git clone https://github.com/linuxserver/docker-swag.git
cd docker-swag
docker build 
  --no-cache 
  --pull 
  -t lscr.io/linuxserver/swag:latest .

ARM 变体可以使用lscr.io/linuxserver/qemu-static在 x86_64 硬件上构建，反之亦然

docker run --rm --privileged lscr.io/linuxserver/qemu-static --reset

注册后，您可以定义要与-f Dockerfile.aarch64一起使用的 dockerfile。

• 24.10.24： -修复 Dynu 插件的命名问题。如果您使用 Dynu，请确保您的凭据已在 /config/dns-conf/dynu.ini 中设置，并且您的 DNSPLUGIN 变量设置为 dynu（不是 dynudns）。
• 24.08.30： - 修复 Zerossl 证书吊销。
• 2014 年 7 月 24 日： - 重新调整至 Alpine 3.20。删除已弃用的 Google Domains certbot 插件。现有用户应更新其 nginx 配置以避免 http2 弃用警告。
• 01.07.24： - 如果 iptables 不起作用，则回退到 iptables-legacy。
• 23.03.24： -修复生成的priv-fullchain-bundle.pem上的权限。
• 14.03.24： - 现有用户应更新：authelia-location.conf、authelia-server.conf - 更新 authelia conf 示例以支持 4.38。
• 11.03.24： - 使用certbot-dns-dynudns恢复对 DynuDNS 的支持。
• 06.03.24： - 现有用户应更新：site-confs/default.conf - 清理默认站点配置。
• 04.03.24： -删除容器内的stream.conf ，以允许用户在nginx.conf中包含自己的块。
• 23.01.24： - 使用 php 8.3 重新设置为 Alpine 3.19，为 logrotate 添加根定期 crontab。
• 01.01.24： - 添加 GleSYS DNS 插件。
• 11.12.23： - 弃用 certbot-dns-dynu 以解决与其他插件的依赖冲突。
• 30.11.23： - 现有用户应更新：site-confs/default.conf - 修复在 404 上下载的 index.php。
• 23.11.23： - 以 root 身份运行 certbot 以允许修复 http 验证。
• 01.10.23： -修复 DirectAdmin DNS 插件中的“无法识别的参数”问题。
• 23.08.28： - 添加 Namecheap DNS 插件。
• 12.08.23： - 添加 FreeDNS 插件。使用 CLI 检测 certbot DNS 身份验证器。
• 07.08.23： - 添加 Bunny DNS 配置。
• 23.07.23： - 添加了对 dreamhost 验证的支持。
• 23.05.25： - 重新调整到 Alpine 3.18，弃用 armhf。
• 23.04.27： - 现有用户应更新：authelia-location.conf、authelia-server.conf、authentik-location.conf、authentik-server.conf - 简化身份验证配置并修复 Set-Cookie 标头错误。
• 13.04.23： - 现有用户应更新：nginx.conf、authelia-location.conf、authentik-location.conf 和 site-confs/default.conf - 将 ssl.conf 包含移至 default.conf。删除 autelia 中的授权标头。对authelia和authentik中的proxy_set_header进行排序。
• 23.03.25： - 修复更新后挂钩。
• 10.03.23： - 清理未使用的 csr 和密钥文件夹。请参阅 certbot 2.3.0 发行说明。
• 09.03.23： - 添加 Google Domains DNS 支持， google-domains 。
• 02.03.23： - 在初始化期间设置 crontab 的权限。
• 09.02.23： - 现有用户应更新：proxy.conf、authelia-location.conf 和 authelia-server.conf - 添加 Authentik 配置，更新 Authelia 配置。
• 06.02.23： - 重新添加猪肉包支持。
• 21.01.23： - 取消固定 certbot 版本（允许 certbot 2.x）。 ！！突破性改变！！我们暂时删除 certbot Porkbun 插件，直到发布与 certbot 2.x 兼容的新版本。
• 20.01.23： - 使用 php8.1 重新设置为 alpine 3.17。
• 16.01.23： - 删除 nchan 模块，因为它不断导致崩溃。
• 22.08.12： - 修改 certbot 初始化。
• 03.12.22： - 删除已失效的 cloudxns 插件。
• 22.11.22： - 将 acme 固定到与 certbot 相同的版本。
• 22.11.22： - 将 certbot 固定到 1.32.0，直到插件兼容性得到改善。
• 05.11.22： - 更新 acmedns 插件处理。
• 06.10.22： - 切换到 certbot-dns-duckdns。更新 cpanel 和 gandi dns 插件处理。对初始化逻辑进行细微调整。
• 05.10.22： - 使用 certbot 文件挂钩代替命令行挂钩
• 04.10.22： - 添加 godaddy 和 Porkbun dns 插件。
• 03.10.22： - 将default_server 添加回默认站点conf 的https 监听。
• 22.09.22： - 添加了对 DO DNS 验证的支持。
• 22.09.22： - 添加了用于 DNS01 验证的 certbot-dns-acmedns。
• 22.08.22： - 现有用户应更新：nginx.conf - 使用 php8 重新调整为 alpine 3.15。重组 nginx 配置（请参阅更改公告）。
• 10.08.22： - 添加了对 Dynu DNS 验证的支持。
• 22.05.18： - 添加了对 Azure DNS 验证的支持。
• 09.04.22： - 添加了 certbot-dns-loopia 以进行 DNS01 验证。
• 05.04.22： - 添加了对独立 DNS 验证的支持。
• 22.03.22： -在 /etc/cont-init.d/50-config 中为fail2ban nginx-unauthorized 创建了一个日志文件
• 09.01.22: - 为未经授权的 nginx 添加了一个 fail2ban 监狱
• 21.12.21： -修复了 iptables 未按预期工作的问题
• 21.11.30： - 将 maxmind 移至新模组
• 22.11.21： - 添加了对 Infomaniak DNS 证书生成的支持。
• 20.11.21： - 添加了对 dnspod 验证的支持。
• 15.11.21： - 添加了对 deSEC DNS 的支持，用于生成通配符证书。
• 26.10.21： - 现有用户应更新：proxy.conf - 缓解 https://httpoxy.org/ 漏洞。参考：https://www.nginx.com/blog/mitigating-the-httpoxy-vulnerability-with-nginx#Defeating-the-Attack-using-NGINX-and-NGINX-Plus
• 21.10.21： - 修复飓风电力 (HE) DNS 验证。
• 12.10.21： -修复了已弃用的 LE 根证书检查，以修复使用STAGING=true时的失败以及撤销时的失败。
• 06.10.21： - 添加了对 Hurricane Electric (HE) DNS 验证的支持。添加了 lxml 构建依赖。
• 01.10.21： - 检查证书是否使用旧的 LE 根证书，如有必要，请撤销并重新生成。以下是有关 LE 根证书过期的更多信息
• 19.09.21： - 添加可选标头以在ssl.conf中选择退出 Google FLoC。
• 17.09.21： - 将SUBDOMAINS var 标记为可选。
• 01.08.21： - 添加对 ionos dns 验证的支持。
• 21.07.15： -修复了由于上游更改而导致的 libmaxminddb 问题。
• 07.07.21： - 重新调整为高山 3.14。
• 21.06.24： - 更新默认 nginx conf 文件夹。
• 21.05.21： - 现有用户应更新：authelia-server.conf - 使用resolver.conf和CVE-2021-32637补丁。
• 20.05.21： - 修改resolver.conf生成以检测并忽略ipv6。
• 14.05.21： - 现有用户应更新：nginx.conf、ssl.conf、proxy.conf 和默认 site-conf - 重新设计 nginx.conf，使其与 alpine 上游内联，并重新定位其他文件中的行。对 pip 包使用 linuxserver.io 轮索引。根据 RFC7919 切换到对dhparams.pem使用 ffdhe4096。添加了worker_processes.conf ，它设置nginx工作线程的数量，以及resolver.conf ，它设置dns解析器。这两个conf文件仅在首次启动时自动生成，并且可以供用户稍后修改。
• 21.04.21： - 现有用户应更新：authelia-server.conf 和 authelia-location.conf - 添加远程名称/电子邮件标头并传递 http 方法。
• 12.04.21： - 添加 php7-gmp 和 php7-pecl-mailparse。
• 12.04.21： - 添加对 vultr DNS 验证的支持。
• 14.03.21： - 添加对 directadmin dns 验证的支持。
• 12.02.21： - 清理 rust/cargo 缓存，该缓存在最后几个版本中使图像大小膨胀。
• 10.02.21： - 修复现有用户的 aliyun、domeneshop、inwx 和 transip dns 配置。
• 09.02.21： - 重新调整为 alpine 3.13。添加 nginx mods brotli 和 dav-ext。删除 nginx mods lua 和 lua-upstream （由于过去几年的回归）。
• 26.01.21： - 添加对 hetzner dns 验证的支持。
• 20.01.21： - 添加对 ZeroSSL EAB 检索的检查。
• 08.01.21： - 添加对通过可选的CERTPROVIDER环境变量从 ZeroSSL 获取证书的支持。使用新的插件名称更新 aliyun、domeneshop、inwx 和 transip dns 插件。隐藏donoteditthisfile.conf ，因为用户正在编辑它，尽管它的名称如此。当没有启用代理配置时抑制无害的错误。
• 03.01.21： - 现有用户应更新：/config/nginx/site-confs/default.conf - 添加帮助页面以帮助故障排除
• 10.12.20： - 添加对 njalla dns 验证的支持
• 09.12.20： - 检查模板/conf 更新并在日志中通知。添加对 gehirn 和 sakuracloud dns 验证的支持。
• 01.11.20： - 添加对 netcup DNS 验证的支持
• 20.10.20： - 现有用户应更新：ssl.conf - 将框架祖先添加到内容安全策略。
• 04.10.20： - 现有用户应更新：nginx.conf、proxy.conf 和 ssl.conf - 小规模清理和重新排序。
• 20.09.20： - 现有用户应更新：nginx.conf - 添加了 geoip2 配置。在自述文件中添加了 MAXMINDDB_LICENSE_KEY 变量。
• 20.09.08： - 添加 php7-xsl。
• 01.09.20： - 现有用户应更新：nginx.conf、proxy.conf 和各种代理示例 - 跨所有配置的全局 websockets。
• 20 年 8 月 3 日： - 首次发布。