NAKIVO > Bloggen > Proxmox VE

Sicherheit des Proxmox Home Lab: Eine Schritt-für-Schritt-Anleitung

Veröffentlicht am: Februar 3, 2026

Written by: NAKIVO Team

Um die Funktionen und Möglichkeiten von Proxmox besser zu verstehen, bevorzugen neue Benutzer die Einrichtung einer Testumgebung mit einem Proxmox-Host, dem sogenannten Proxmox Home Lab. Es ist notwendig, angemessene Maßnahmen zur Sicherheit für die Einrichtung Ihres Proxmox Home Labs zu treffen. Dieser Blogbeitrag behandelt die Best Practices für Proxmox, die Sie implementieren sollten, um Datenverluste zu verhindern und sich vor Cyber-Bedrohungen zu schützen.

NAKIVO for Proxmox Backup

NAKIVO for Proxmox Backup

Agentless, app-aware backup for Proxmox VE with multiple targets, including immutable cloud backups. Multiple instant granular recovery and full recovery options.

Discover Solution

Warum die Sicherheit des Proxmox Home Labs unerlässlich ist

Ohne geeignete Maßnahmen zur Sicherheit kann Ihre Proxmox-Umgebung anfällig für Cyber-Bedrohungen, Datenverletzungen und unbefugten Zugriff werden. Die Sicherheit Ihres Proxmox-Heimlabors ist sowohl für private als auch für berufliche Zwecke von entscheidender Bedeutung. Unbefugte Benutzer, die auf einen Proxmox-Host zugreifen, können den Host, Virtuelle Maschinen, NAS-Geräte und andere mit dem Netzwerk verbundene Hosts gefährden. Unbefugter Zugriff kann zu Malware- und Ransomware-Infektionen führen, die Datenlecks und -verluste verursachen. Da Proxmox-Hosts in der Regel auf physischer Hardware laufen, können Angreifer diese Hardware-Ressourcen nutzen, um Kryptowährungen zu schürfen, andere cyberkriminelle Aktivitäten durchzuführen, einen Proxmox-Host zu einem Teil eines Botnetzes zu machen, bösartige Skripte auszuführen usw. Diese Faktoren können die Leistung des Hosts und der Virtuellen Maschinen erheblich beeinträchtigen.

Wesentliche Maßnahmen zur Sicherheit für Proxmox

Um das Risiko eines unbefugten Zugriffs auf ein Proxmox-Heimlabor zu verringern, sollten Sie wissen, wie Sie die Proxmox-Umgebung sichern und die wesentlichen Maßnahmen zur Sicherheit umsetzen können.

Legen Sie sichere Passwörter fest und aktivieren Sie 2FA

Die Verwendung sicherer Passwörter für Administratorkonten ist die erste Verteidigungslinie. Verwenden Sie eindeutige Passwörter mit mindestens 8 Zeichen. Das Passwort sollte Klein- und Großbuchstaben, Ziffern und Sonderzeichen enthalten. Sie können Passphrasen verwenden, die diese Anforderungen erfüllen, um sich das Passwort leichter merken zu können. Ein starkes Passwort, das die Komplexitätsanforderungen erfüllt, ist eine Barriere für Angreifer, da es durch Brute-Force-Angriffe nicht leicht zu knacken ist. Für erhöhte Sicherheit können Sie eine Zwei-Faktor-Authentifizierung ( Multi-Faktor-Authentifizierung , MFA oder 2FA) konfigurieren. Proxmox unterstützt die Konfiguration der Zwei-Faktor-Authentifizierung auf verschiedene Weise, z. B. mithilfe eines zeitbasierten Einmalpassworts (TOTP) oder YubiKey OTP. Sie können die Einstellungen für die Zwei-Faktor-Authentifizierung unter Berechtigungen > Zwei Faktoren in der Proxmox VE-Weboberfläche bearbeiten.

SSH-Zugriff sichern

Das Management von Proxmox erfolgt über die grafische Weboberfläche, die detailliertesten Konfigurationen können jedoch über die Befehlszeile per SSH-Verbindung vorgenommen werden. Auf einem Proxmox-Host ist ein SSH-Server verfügbar, ähnlich wie auf Linux-Rechnern für das Host-Management. Wenn Angreifer SSH-Zugriff auf den Host erhalten, können sie vollen Zugriff erlangen und Malware ausführen. Sie können zusätzliche Maßnahmen zur Sicherheit implementieren, um das Risiko eines unbefugten Zugriffs zu verringern. Sie können beispielsweise den Standard-SSH-Port (22) in einen benutzerdefinierten Port (9522) ändern. Deaktivieren Sie Root-Anmeldungen und verwenden Sie sudo , um Rechte für die Verwaltung zu erhalten. Die Verwendung öffentlicher Schlüssel anstelle von Passwörtern für die Anmeldung über SSH erfordert eine komplexere Konfiguration, bietet jedoch mehr Sicherheit.

Implementieren Sie VLANs für die Netzwerksegmentierung

Sie sollten die Konfiguration eines VLAN in Betracht ziehen, wenn Sie Geräte verbinden möchten, die anfällig für ein mit einem Proxmox-Host oder VMs verbundenes Netzwerk sein könnten. VLANs werden für die Netzwerksegmentierung auf der zweiten Schicht des OSI-Modells verwendet und ermöglichen es Ihnen, Geräte im selben physischen Netzwerk logisch voneinander zu trennen. Beispiele für VLANs in Proxmox VE, die für ein Heimlabor verwendet werden, sind:

  • Management-VLAN: Nur für Proxmox GUI, SSH und Verwaltungstools.
  • VM-VLANs: Für bestimmte Workloads wie Webserver, Datenbanken oder Entwicklungsumgebungen.
  • Speicher-VLAN: Speziell für NAS, NFS, iSCSI oder Proxmox Backup Server.
  • IoT-VLAN: Trennt Smart-Home-Geräte von kritischer Infrastruktur.

Die Verwendung von VLANs minimiert die Angriffsfläche und bietet folgende Vorteile:

  • Begrenzt die Ausbreitung von Malware über verschiedene VLANs hinweg.
  • Verhindert, dass kompromittierte VMs auf das Proxmox-Management zugreifen.
  • Erzwingt eine strenge Zugriffskontrolle zwischen Diensten.

Wenn beispielsweise Malware eine mit VLAN 20 verbundene VM infiziert und sich über das Netzwerk verbreitet, kann sie nicht auf die mit VLAN 10 verbundene Proxmox-Host-Verwaltungsschnittstelle zugreifen. Es wird empfohlen, zusätzlich zur Konfiguration von VLANs auf der zweiten Schicht auch die Proxmox-Firewall und Firewall-Regeln auf der dritten Schicht des OSI-Modells zu konfigurieren.

  • Erlauben Sie den SSH-Zugriff auf Proxmox nur vom ADMIN-VLAN 10 (192.168.10.0/24).
  • Verweigern Sie jegliche Kommunikation zwischen dem Gast-VLAN 30 (192.168.30.0/24) und dem Proxmox-Management-VLAN.
  • Erlauben Sie den NAS-Zugriff nur für VMs, die ihn benötigen, nicht für das gesamte Netzwerk.

Ein Beispiel für eine VLAN-Architektur für ein Proxmox-Heimlabor ist in der Tabelle dargestellt.

VLAN-ID Zweck Subnetz Zugriff
10 Management 192.168.10.0/24 Proxmox GUI, SSH, Hypervisor-Management
20 Server-/VM-Netzwerk 192.168.20.0/24 Webserver, App-Server, Datenbank-VMs
30 Gast-VLAN 192.168.30.0/24 Geräte mit minimaler Vertrauenswürdigkeit (Gast-Laptops, IoT)
40 Speicher-VLAN 192.168.40.0/24 NFS, iSCSI, NAS, Proxmox Backup Server
50 DMZ (öffentlich zugänglich) 192.168.50.0/24 Öffentliche Webserver, Reverse-Proxys

Verwenden Sie einen verwalteten Switch, um VLANs zu erstellen und mit Proxmox verbundene Ports zu taggen. VLANs können in der Proxmox-Netzwerkkonfiguration erstellt werden, indem Sie /etc/network/interfaces bearbeiten. Nachfolgend finden Sie ein Beispiel für den Inhalt der Konfigurationsdatei zum Erstellen von VLANs auf gebrückten Schnittstellen: auto vmbr0 iface vmbr0 inet manual bridge-Ports eno1 bridge-stp off bridge-fd 0 # Management-VLAN (ID 10) auto vmbr0.10 Schnittstelle vmbr0.10 inet static Adresse 192.168.10.2/24 vlan-raw-device vmbr0 # VM-VLAN (ID 20) auto vmbr0.20 iface vmbr0.20 inet static address 192.168.20.2/24 vlan-raw-device vmbr0

Beschränken Sie unnötigen Portzugriff

Angreifer können offene Ports für verschiedene Dienste ausnutzen, um über bestehende Schwachstellen auf einen Proxmox-Host zuzugreifen. Schließen Sie den Zugriff über unnötige Ports mithilfe der Firewall oder beschränken Sie den Zugriff auf die Proxmox-IP-Adresse und bestimmte Ports, um nur manuell definierte vertrauenswürdige IP-Adressen zuzulassen. Da Proxmox ein Linux-basiertes System ist, verwendet Proxmox VE eine leistungsstarke iptables-basierte Firewall. Wenn Sie einen Proxmox-Cluster verwenden, speichert die Firewall die Konfiguration und läuft auf jedem Knoten. Um auf die Proxmox-Firewall-Konfiguration in der Proxmox VE-Weboberfläche zuzugreifen, gehen Sie zu Rechenzentrum > Firewall > Sicherheitsregeln und fügen Sie eine neue Gruppe mit benutzerdefinierten Firewall-Regeln hinzu.

Einrichten einer Firewall- oder Router-VM

Durch Ausführen der Firewall auf einem Proxmox-Host oder -Cluster können Sie mehr als nur die Proxmox-Hosts in einem Proxmox-Heimlabor schützen. Sie können eine dedizierte VM für Firewall-Aufgaben einrichten, um das gesamte Netzwerk und alle verbundenen Geräte zu schützen. Diese Konfiguration wird allgemein als „virtuelle Firewall” oder „Firewall-VM”-Architektur bezeichnet. Beliebte Firewall-Lösungen wie pfSense, OPNsense oder Linux-basierte Firewalls wie iptables können auf diese Weise bereitgestellt werden. Beachten Sie, dass diese Proxmox-Heimlabor-Konfiguration mit einer Firewall-VM praktisch sein kann, wenn der Proxmox-Host kontinuierlich läuft. Wenn er periodisch ausgeschaltet wird, wird auch die für das gesamte Netzwerk verwendete Firewall-VM ausgeschaltet. Dies kann zu Problemen führen, wenn die Firewall-VM für den Internetzugang aller Geräte im Netzwerk verwendet wird (in diesem Fall ist die Verwendung eines als Firewall konfigurierten physischen Geräts möglicherweise praktischer). Sie sollten die Vor- und Nachteile dieser Konfiguration für Ihre Umgebung prüfen, bevor Sie sich für die Verwendung der Firewall-VM entscheiden.

Verschlüsseln Sie ZFS-Festplatten zur Datensicherheit

Wenn Sie das ZFS-Dateisystem auf einem Proxmox-Host verwenden und ein Höchstmaß an Sicherheit benötigen, sollten Sie die ZFS-Verschlüsselung für Proxmox aktivieren, um Speicherpools zu verschlüsseln und unbefugten Zugriff auf Festplatten mit Daten zu verhindern. Seien Sie vorsichtig, bevor Sie Vorgänge mit Festplatten und Dateisystemen durchführen. Sichern Sie wichtige Daten, bevor Sie die Konfiguration des Speichers ändern. Ein Beispiel für die Verschlüsselung eines ZFS-Pools auf einem Proxmox-Host: zfs create pool-name/safe -o Verschlüsselung=on -o keyformat=passphrase

Setzen Sie Proxmox niemals dem öffentlichen Internet aus

Aktivieren Sie keinen öffentlichen Zugriff auf einen Proxmox-Host über das Internet. Wenn Sie von externen Standorten aus Zugriff auf den Proxmox-Host gewähren müssen, konfigurieren Sie die Firewall so, dass der Zugriff von bestimmten IP-Adressen auf Ihren Proxmox-Host erlaubt ist, indem Sie IP-Adressen und Portnummern explizit definieren. Zu diesem Zweck können Sie die Portweiterleitung der Firewall verwenden. Alternativ können Sie einen VPN-Server an einem Standort in Ihrer Umgebung konfigurieren, an dem ein Proxmox-Heimlabor steht, und eine VPN-Verbindung verwenden, um von externen Netzwerken aus auf einen Proxmox-Host zuzugreifen.

Überwachung und Auditing Proxmox-Sicherheit

Überwachung Proxmox-Hosts in einem Heimlabor können dazu beitragen, die allgemeine Sicherheit zu verbessern. Überwachen Sie die Protokolle auf einem Proxmox-Host und behalten Sie die CPU-, RAM- und Festplattenauslastung im Auge. Stellen Sie sicher, dass die integrierten Proxmox-Protokolle aktiviert sind:

  • Syslog: /var/log/syslog – Allgemeine Systemprotokolle.
  • Authentifizierung: /var/log/auth.log – Anmeldeversuche über SSH und GUI.
  • Proxmox-spezifische Protokolle: /var/log/pve/ – Protokolle zu Proxmox-Diensten.

Zusätzlich können Sie spezielle zentralisierte Überwachungstools (kostenlose oder kostenpflichtige Lösungen) verwenden, um Proxmox-Hosts und Gastbetriebssysteme auf Virtuellen Maschinen zu überwachen. Konfigurieren Sie Warnmeldungen und Benachrichtigungen, um mögliche Probleme so schnell wie möglich zu beheben. Beachten Sie bei der Konfiguration automatischer Authentifizierungen die folgenden Bedingungen:

  • Mehr als 5 fehlgeschlagene SSH-Anmeldeversuche innerhalb von 5 Minuten.
  • Die CPU-Auslastung einer VM bleibt länger als 10 Minuten über 90 %.
  • Erkennung eines unerwarteten offenen Ports auf dem Proxmox-Host.

Führen Sie periodische Audits und Sicherheitsscans durch. Installieren Sie regelmäßig Sicherheitspatches und Updates, um bekannte Schwachstellen zu beheben. Überprüfen Sie die Firewall-Regeln, um sicherzustellen, dass sie unter Berücksichtigung der neuesten Infrastrukturänderungen optimal sind.

Schutz Proxmox-Backups vor Ransomware

Mit Proxmox-Backups können Sie Daten in einer virtuellen Proxmox-Umgebung schützen. Sichern Sie virtuelle Maschinen regelmäßig und speichern Sie die Backups an einem sicheren Ort. Wenn Ransomware die VMs infiziert und Daten irreversibel verschlüsselt, können Sie Ihre Backups wiederherstellen, um Datenverluste zu vermeiden. Backups sind jedoch auch ein Ziel für Ransomware. Stellen Sie sicher, dass nur autorisierte Benutzer auf den Backup-Speicher und die Anwendungen zugreifen können.Verwenden Sie air-gapped Speicher und Backup-Unveränderlichkeit , um einen optimalen Schutz vor Ransomware für Ihr Proxmox-Heimlabor und Ihre Proxmox-Backups zu gewährleisten. Air-gapped Speicher kann eine physisch getrennte Festplatte (HDD), eine optische Disc, eine Bandkassette usw. sein. Backup-Unveränderlichkeit ist eine Funktion, die den WORM-Ansatz (Write Once Read Many) verwendet. Sobald Daten geschrieben wurden, können sie bis zum Ablauf der Unveränderbarkeitsfrist nicht mehr geändert oder gelöscht werden. NAKIVO Backup & Replication ist eine dedizierte Lösung für die Datensicherheit, die Proxmox-Backups für Virtuelle Maschinen und Unveränderbarkeit unterstützt. Unveränderliche Backups können in lokalen Backup-Repositorys konfiguriert werden, die an Linux Transporter , Amazon S3 , die Cloud und S3-kompatible Objektspeicherung angeschlossen sind.

Fazit

Zu den effizienten Sicherheitsmaßnahmen von Proxmox gehören eine strenge Authentifizierungsrichtlinie, Netzwerksegmentierung, Zugriffsbeschränkungen in der Firewall, Proxmox SSH-Sicherheit, Überwachung der Umgebung, Backups und Schutz vor Ransomware. Implementieren Sie diese Maßnahmen in Ihrer Proxmox-Umgebung in einer Laborumgebung, um das Risiko von Malware-Infektionen zu verringern und Datenverluste zu verhindern. Verwenden Sie NAKIVO Backup & Replication, um Proxmox-VMs zu sichern und die Backups mithilfe von Unveränderlichkeit vor Ransomware zu schützen.

Try NAKIVO Backup & Replication

Try NAKIVO Backup & Replication

Get a free trial to explore all the solution’s data protection capabilities. 15 days for free. Zero feature or capacity limitations. No credit card required.

Try for Free

Empfohlene Artikel

Picture
Aktivieren der Sicherung, um sie zu verschlüsseln, mit NAKIVO: Eine umfassende Anleitung
Picture
So sichern Sie Proxmox VE mit NAKIVO Backup & Replication
Picture
Dark Data verstehen und ihre Rolle bei Risiken der Datensicherheit