Content
Настройка Proxmox после установки
После установки Proxmox необходимо выполнить несколько важных действий.
Обновите систему до последней версии
В ProxmoxVE по умолчанию подключен платный репозиторий, обновления из которого доступны обладателям платной подписки. Чтобы получить последние обновления виртуализатора без подписки, нужно отключить платный репозиторий и подключить репозиторий без подписки (pve-no-subscription repository). Если этого не сделать, apt будет сообщать об ошибке при обновлении источников пакетов.
1. Зайдите в веб-интерфейс (https://server.ip.address:8006) или подключаемся к серверу по SSH.
Рассмотрим пример веб-интерфейса. Перейдите в консоль:
2. Отредактируйте файл конфигурации apt:
В этом файле есть только одна строка. Напишите перед ней символ "#", чтобы отключить опцию получения обновлений из платного репозитория:
3. Нажмите Ctrl + X для выхода из редактора, ответив "Y" на вопрос системы о сохранении файла.
4. Подключите репозиторий без подписки (pve-no-subscription). Для этого откройте для редактирования файл:
5. Добавьте в этот файл строки:
Для ProxmoxVE 7
Для ProxmoxVE 8
deb http://security.debian.org/debian-security bookworm-security main contrib
6. Нажмите Ctrl + X для выхода из редактора, ответив "Y" на вопрос системы о сохранении файла.
7. Запустите команду обновления списков пакетов и апгрейд системы:
8. Перезапустите сервер после завершения обновления
Подключение дополнительного накопителя
Есть несколько вариантов подключения незадействованного накопителя в Proxmox. Один из самых быстрых способов – это подключение накопителя в качестве LVM раздела, на котором можно будет хранить образы жестких дисков ВМ и контейнеров.
1. Проверяем наличие неиспользуемых накопителей:
Виден один неиспользуемый накопитель /dev/sdb. Его можно инициализировать и использовать как LVM раздел.
2. Перейдите в раздел Disks/LVM, нажмите Create: LVM Volume Group, выберите диск и дайте название хранилищу
LVM раздел создан и может быть использован для размещения образов дисков ВМ
Позаботьтесь о безопасности
1. Откройте консоль сервера через веб-интерфейс или SSH.
2. Обновите источники пакетов:
3. Установите Fail2Ban:
4. Откройте конфигурацию утилиты для редактирования:
5. Измените переменные bantime (количество секунд, в течение которых атакующий будет заблокирован) и maxretry (количество попыток ввода логина/пароля) для каждой отдельной службы.
6. Используйте сочетание клавиш Ctrl + X для выхода из редактора, ответив "Y" на вопрос системы о сохранении файла.
7. Перезапустите службу:
Вы можете проверить состояние утилиты, например, снять статистику блокировки с заблокированных IP-адресов, с которых были предприняты попытки перебора SSH паролей. Эти задачи можно выполнить с помощью одной простой команды:
Ответ коммунальной службы будет выглядеть примерно так:
INFO Loading configs for fail2ban under /etc/fail2ban
INFO Loading files: ['/etc/fail2ban/fail2ban.conf']
INFO Loading files: ['/etc/fail2ban/fail2ban.conf']
INFO Using socket file /var/run/fail2ban/fail2ban.sock
Status for the jail: sshd
|- Filter
| |- Currently failed: 3
| |- Total failed: 4249
| `- File list: /var/log/auth.log
`- Actions
|- Currently banned: 0
|- Total banned: 410
`- Banned IP list:
Аналогичным образом можно закрыть веб-интерфейс от подобных атак, создав соответствующее правило. Пример такого правила для Fail2Ban можно найти в официальном руководстве.