Content

  1. Оновіть систему до останньої версії
  2. Підключення додаткового накопичувача
  3. Подбайте про безпеку

Налаштування Proxmox після встановлення

Після встановлення Proxmox необхідно виконати кілька важливих дій.

Оновіть систему до останньої версії

У ProxmoxVE за замовчуванням підключено платний репозиторій, оновлення з якого доступні власникам платної підписки. Щоб отримати останні оновлення віртуалізатора без підписки, потрібно вимкнути платний репозиторій та підключити репозиторій без підписки (pve-no-subscription repository). Якщо цього не зробити, apt повідомлятиме про помилку при оновленні пакетів.

1. Підключіться до веб-інтерфейсу (https://server.ip.address:8006) або підключаємося до сервера за через SSH.
Розглянемо приклад веб-інтерфейсу. Перейдіть до консолі:

2. Відредагуйте конфігураційний файл apt:

nano /etc/apt/sources.list.d/pve-enterprise.list

У цьому файлі є тільки один рядок. Напишіть перед ним символ "#", щоб вимкнути опцію отримання оновлень із платного репозиторія:

#deb https://enterprise.proxmox.com stretch pve-enterprise

3. Натисніть Ctrl + X для виходу з редактора, відповівши "Y" на запитання системи про збереження файлу.

4. Підключіть репозиторій без підписки (pve-no-subscription). Для цього відкрийте для редагування файл:

nano /etc/apt/sources.list

5. Додайте до цього файлу рядки:
Для ProxmoxVE 7

deb http://download.proxmox.com/debian/pve bullseye pve-no-subscription

Для ProxmoxVE 8

deb http://download.proxmox.com/debian/pve bookworm pve-no-subscription
deb http://security.debian.org/debian-security bookworm-security main contrib

6. Натисніть Ctrl + X для виходу з редактора, відповівши "Y" на запитання системи про збереження файла.

7. Запустіть команду оновлення списків пакетів та апгрейд системи:

apt update && apt upgrade -y

8. Перезавантажте сервер після завершення оновлення

Підключення додаткового накопичувача

Є кілька варіантів підключення незадіяного накопичувача в Proxmox. Один із найшвидших способів – це підключення накопичувача як LVM розділу, на якому можна буде зберігати образи жорстких дисків ВМ та контейнерів.

1. Перевіряємо наявність накопичувачів, що не використовуються:

Видно один невикористовуваний накопичувач /dev/sdb. Його можна ініціалізувати та використовувати як LVM розділ.

2. Перейдіть до розділу Disks/LVM, натисніть Create: LVM Volume Group, оберіть диск і дайте назву сховищу

Розділ LVM створений і може бути використаний для розміщення образів дисків ВМ

Подбайте про безпеку

1 Відкрийте консоль сервера через веб-інтерфейс або SSH.

2. оновіть джерела пакетів:

apt update

3. Встановіть Fail2Ban:

apt install fail2ban

4. Відкрийте конфігурацію утиліти для редагування:

nano /etc/fail2ban/jail.conf

5. Змініть змінні bantime (кількість секунд, протягом яких атакувальник буде заблокований) і maxretry (кількість спроб введення логіна/пароля) для кожної окремої служби.

6. Використовуйте поєднання клавіш Ctrl + X для виходу з редактора, відповівши "Y" на запитання системи про збереження файлу.

7. Перезапустіть службу:

systemctl restart fail2ban

Ви можете перевірити стан утиліти, наприклад, зняти статистику блокування із заблокованих IP-адрес, з яких були зроблені спроби перебору SSH паролів. Ці завдання можна виконати за допомогою однієї простої команди:

fail2ban-client -v status sshd

Відповідь комунальної служби матиме приблизно такий вигляд:

root@hypervisor:~# fail2ban-client -v status sshd
INFO Loading configs for fail2ban under /etc/fail2ban
INFO Loading files: ['/etc/fail2ban/fail2ban.conf']
INFO Loading files: ['/etc/fail2ban/fail2ban.conf']
INFO Using socket file /var/run/fail2ban/fail2ban.sock
Status for the jail: sshd
|- Filter
| |- Currently failed: 3
| |- Total failed: 4249
| `- File list: /var/log/auth.log
`- Actions
|- Currently banned: 0
|- Total banned: 410
`- Banned IP list:

Аналогічним чином можна закрити веб-інтерфейс від подібних атак, створивши відповідне правило. Приклад такого правила для Fail2Ban можна знайти в офіційному посібнику:

https://pve.proxmox.com/wiki/Fail2ban