Content
Налаштування Proxmox після встановлення
Після встановлення Proxmox необхідно виконати кілька важливих дій.
Оновіть систему до останньої версії
У ProxmoxVE за замовчуванням підключено платний репозиторій, оновлення з якого доступні власникам платної підписки. Щоб отримати останні оновлення віртуалізатора без підписки, потрібно вимкнути платний репозиторій та підключити репозиторій без підписки (pve-no-subscription repository). Якщо цього не зробити, apt повідомлятиме про помилку при оновленні пакетів.
1. Підключіться до веб-інтерфейсу (https://server.ip.address:8006) або підключаємося до сервера за через SSH.
Розглянемо приклад веб-інтерфейсу. Перейдіть до консолі:
2. Відредагуйте конфігураційний файл apt:
У цьому файлі є тільки один рядок. Напишіть перед ним символ "#", щоб вимкнути опцію отримання оновлень із платного репозиторія:
3. Натисніть Ctrl + X для виходу з редактора, відповівши "Y" на запитання системи про збереження файлу.
4. Підключіть репозиторій без підписки (pve-no-subscription). Для цього відкрийте для редагування файл:
5. Додайте до цього файлу рядки:
Для ProxmoxVE 7
Для ProxmoxVE 8
deb http://security.debian.org/debian-security bookworm-security main contrib
6. Натисніть Ctrl + X для виходу з редактора, відповівши "Y" на запитання системи про збереження файла.
7. Запустіть команду оновлення списків пакетів та апгрейд системи:
8. Перезавантажте сервер після завершення оновлення
Підключення додаткового накопичувача
Є кілька варіантів підключення незадіяного накопичувача в Proxmox. Один із найшвидших способів – це підключення накопичувача як LVM розділу, на якому можна буде зберігати образи жорстких дисків ВМ та контейнерів.
1. Перевіряємо наявність накопичувачів, що не використовуються:
Видно один невикористовуваний накопичувач /dev/sdb. Його можна ініціалізувати та використовувати як LVM розділ.
2. Перейдіть до розділу Disks/LVM, натисніть Create: LVM Volume Group, оберіть диск і дайте назву сховищу
Розділ LVM створений і може бути використаний для розміщення образів дисків ВМ
Подбайте про безпеку
1 Відкрийте консоль сервера через веб-інтерфейс або SSH.
2. оновіть джерела пакетів:
3. Встановіть Fail2Ban:
4. Відкрийте конфігурацію утиліти для редагування:
5. Змініть змінні bantime (кількість секунд, протягом яких атакувальник буде заблокований) і maxretry (кількість спроб введення логіна/пароля) для кожної окремої служби.
6. Використовуйте поєднання клавіш Ctrl + X для виходу з редактора, відповівши "Y" на запитання системи про збереження файлу.
7. Перезапустіть службу:
Ви можете перевірити стан утиліти, наприклад, зняти статистику блокування із заблокованих IP-адрес, з яких були зроблені спроби перебору SSH паролів. Ці завдання можна виконати за допомогою однієї простої команди:
Відповідь комунальної служби матиме приблизно такий вигляд:
INFO Loading configs for fail2ban under /etc/fail2ban
INFO Loading files: ['/etc/fail2ban/fail2ban.conf']
INFO Loading files: ['/etc/fail2ban/fail2ban.conf']
INFO Using socket file /var/run/fail2ban/fail2ban.sock
Status for the jail: sshd
|- Filter
| |- Currently failed: 3
| |- Total failed: 4249
| `- File list: /var/log/auth.log
`- Actions
|- Currently banned: 0
|- Total banned: 410
`- Banned IP list:
Аналогічним чином можна закрити веб-інтерфейс від подібних атак, створивши відповідне правило. Приклад такого правила для Fail2Ban можна знайти в офіційному посібнику: