Konfiguracja Proxmox po instalacji

Po zainstalowaniu Proxmox należy wykonać kilka ważnych czynności.

Zaktualizuj system do najnowszej wersji

ProxmoxVE domyślnie otrzymuje aktualizacje z płatnego repozytorium Enterprise, z którego aktualizacje są dostępne dla klientów z płatną subskrypcją. Aby uzyskać najnowsze aktualizacje bez subskrypcji, należy wyłączyć płatne repozytorium i włączyć repozytorium bez subskrypcji. Jeśli nie zostanie to zrobione, apt zgłosi błąd podczas aktualizacji źródeł pakietów.

1. Zaloguj się do interfejsu webowego (https://server.ip.address:8006) lub połącz się z serwerem przez SSH.
Użyjmy interfejsu webowego jako przykładu. Przejdź do konsoli:

2. Edytuj plik konfiguracyjny apt:

nano /etc/apt/sources.list.d/pve-enterprise.list

W tym pliku jest tylko jedna linia. Wpisz przed nią symbol"#", aby wyłączyć opcję otrzymywania aktualizacji z płatnego repozytorium:

#deb https://enterprise.proxmox.com stretch pve-enterprise

3. Naciśnij Ctrl + X, aby wyjść z edytora, odpowiadając"Y" na pytanie systemu o zapisanie pliku.

4. Podłącz repozytorium bez subskrypcji. Aby to zrobić, otwórz plik do edycji:

nano /etc/apt/sources.list

5. Dodaj linie do tego pliku:
Dla ProxmoxVE 7

deb http://download.proxmox.com/debian/pve bullseye pve-no-subscription

Dla ProxmoxVE 8

deb http://download.proxmox.com/debian/pve bookworm pve-no-subscription
deb http://security.debian.org/debian-security bookworm-security main contrib

6. Naciśnij Ctrl + X, aby wyjść z edytora, odpowiadając "Y" na pytanie systemu o zapisanie pliku.

7. Uruchom polecenie, aby zaktualizować listy pakietów i uaktualnić system:

apt update && apt upgrade -y

8. Uruchom ponownie serwer po zakończeniu aktualizacji

Podłączanie dodatkowego dysku

Istnieje kilka opcji podłączenia bezczynnego dysku w Proxmox. Jednym z najszybszych sposobów jest podłączenie dysku jako LVM, na którym można przechowywać obrazy dysków twardych maszyn wirtualnych i kontenerów.

1. Sprawdź nieużywane dyski:

Widoczny jest jeden nieużywany dysk /dev/sdb. Można go zainicjować i używać jako LVM.

2. Przejdź do sekcji Dyski/LVM, kliknij Utwórz: LVM Volume Group, wybierz dysk i nadaj mu nazwę.

Partycja LVM została utworzona i może być używana do hostowania obrazów dysków maszyn wirtualnych.

Zadbaj o bezpieczeństwo

1. Otwórz konsolę serwera za pomocą interfejsu WWW lub SSH.

2. Zaktualizuj źródła pakietów:

apt update

3. Zainstaluj Fail2Ban:

apt install fail2ban

4. Otwórz konfigurację narzędzia do edycji:

nano /etc/fail2ban/jail.conf

5. Zmień zmienne bantime(liczba sekund, przez które atakujący będzie blokowany) i maxretry(liczba prób wprowadzenia loginu / hasła) dla każdej usługi z osobna.

6. Użyj skrótu klawiaturowego Ctrl + X, aby wyjść z edytora, odpowiadając"Y" na pytanie systemu o zapisanie pliku.

7. Uruchom ponownie usługę::

systemctl restart fail2ban

Można sprawdzić stan narzędzia, na przykład w celu usunięcia statystyk blokowania z zablokowanych adresów IP, z których podjęto próby brutalnego wymuszenia haseł SSH
. Zadania te można wykonać za pomocą jednego prostego polecenia:

fail2ban-client -v status sshd

Odpowiedź narzędzia będzie wyglądać mniej więcej tak:

root@hypervisor:~# fail2ban-client -v status sshd
INFO Loading configs for fail2ban under /etc/fail2ban
INFO Loading files: ['/etc/fail2ban/fail2ban.conf']
INFO Loading files: ['/etc/fail2ban/fail2ban.conf']
INFO Using socket file /var/run/fail2ban/fail2ban.sock
Status for the jail: sshd
|- Filter
| |- Currently failed: 3
| |- Total failed: 4249
| `- File list: /var/log/auth.log
`- Actions
|- Currently banned: 0
|- Total banned: 410
`- Banned IP list:

Jeśli napotkasz błąd "Error is fail2ban running?", upewnij się, że:

1. Usługa jest uruchomiona: sudo systemctl start fail2ban.
2. Konfiguracja jest poprawna: sudo fail2ban-client -d.
3. Logi są dostępne do odczytu: sudo chmod 644 /var/log/auth.log

W podobny sposób można zamknąć interfejs WWW przed takimi atakami, tworząc odpowiednią regułę. Przykład takiej reguły dla Fail2Ban można znaleźć w oficjalnym przewodniku. https://pve.proxmox.com/wiki/Fail2ban