NAKIVO > Blog > Proxmox VE

Sécurité du laboratoire domestique Proxmox : guide étape par étape

Publié le: février 3, 2026

Written by: NAKIVO Team

Pour mieux comprendre les fonctionnalités et les capacités de Proxmox, les nouveaux utilisateurs préfèrent créer un environnement de test à l’aide d’un hôte Proxmox appelé « Proxmox home lab ». Il est nécessaire de mettre en place des mesures de sécurité appropriées pour votre configuration Proxmox home lab. Cet article de blog traite des bonnes pratiques en matière de sécurité Proxmox que vous devez mettre en œuvre pour éviter la perte de données et vous protéger contre les cybermenaces.

NAKIVO for Proxmox Backup

NAKIVO for Proxmox Backup

Agentless, app-aware backup for Proxmox VE with multiple targets, including immutable cloud backups. Multiple instant granular recovery and full recovery options.

Discover Solution

Pourquoi il est essentiel de garantir la sécurité du laboratoire domestique Proxmox

Sans mesures de sécurité appropriées, votre environnement Proxmox peut devenir vulnérable aux cybermenaces, aux violations de données et aux accès non autorisés. La sécurité du laboratoire domestique Proxmox est essentielle à des fins personnelles et professionnelles. Les utilisateurs non autorisés qui accèdent à un hôte Proxmox peuvent menacer l’hôte, les machines virtuelles, les appliances NAS et les autres hôtes connectés au réseau. Les accès non autorisés peuvent entraîner des infections par des logiciels malveillants et du ransomware, provoquant des fuites et des pertes de données. Comme les hôtes Proxmox fonctionnent généralement sur du matériel physique, les attaquants peuvent utiliser ces ressources matérielles pour miner des cryptomonnaies, mener d’autres activités cybercriminelles, intégrer un hôte Proxmox à un botnet, exécuter des scripts malveillants, etc. Ces facteurs peuvent réduire considérablement les performances de l’hôte et des machines virtuelles.

Mesures de sécurité essentielles pour Proxmox

Afin de réduire les risques d’accès non autorisé à un laboratoire domestique Proxmox, vous devez comprendre comment sécuriser l’environnement Proxmox et mettre en œuvre les pratiques de sécurité essentielles.

Définissez des mots de passe forts et activez l’authentification à deux facteurs (2FA)

L’utilisation de mots de passe forts pour les comptes administratifs constitue la première ligne de défense. Utilisez des mots de passe uniques comportant au moins 8 caractères. Le mot de passe doit contenir des lettres minuscules et majuscules, des chiffres et des caractères spéciaux. Vous pouvez utiliser des phrases de passe qui répondent à ces conditions à remplir afin de les mémoriser plus facilement. Un mot de passe fort qui répond aux exigences de complexité constitue un obstacle pour les pirates, car les attaques par force brute ne peuvent pas le pirater facilement. Pour une sécurité renforcée, vous pouvez configurer l’Authentification à deux facteurs ( authentification multifactorielle , MFA ou 2FA). Proxmox prend en charge la configuration de l’Authentification à deux facteurs de plusieurs manières, par exemple à l’aide d’un mot de passe à usage unique basé sur le temps (TOTP) ou d’un YubiKey OTP. Vous pouvez modifier les paramètres d’authentification dans Permissions > Two Factor dans l’interface web Proxmox VE.

Renforcer l’accès SSH

La gestion de Proxmox s’effectue via l’interface utilisateur graphique web, mais la configuration la plus détaillée peut être effectuée dans la ligne de commande via une connexion SSH. Un serveur SSH est disponible sur un hôte Proxmox, similaire à celui des machines Linux pour la gestion des hôtes. Si des pirates parviennent à obtenir un accès SSH à l’hôte, ils peuvent obtenir un accès complet et exécuter des logiciels malveillants. Vous pouvez mettre en œuvre des mesures de sécurité supplémentaires pour réduire le risque d’accès non autorisé. Par exemple, vous pouvez remplacer le port SSH standard (22) par un port personnalisé (9522). Désactivez les connexions root et utilisez sudo pour obtenir des privilèges administratifs. L’utilisation de clés publiques au lieu de mots de passe pour se connecter via SSH nécessite une configuration plus complexe, mais peut offrir une meilleure sécurité.

Mettre en place des VLAN pour la segmentation du réseau

Vous devriez envisager de configurer un VLAN si vous souhaitez connecter une appliance susceptible d’être vulnérable à un réseau connecté à un hôte Proxmox ou à des VMs. Les VLAN sont utilisés pour la segmentation du réseau au niveau de la deuxième couche du modèle OSI, ce qui vous permet de séparer logiquement les appliances d’un même réseau physique. Voici quelques exemples de VLAN dans Proxmox VE utilisés pour un laboratoire domestique :

  • VLAN de gestion : Uniquement pour l’interface graphique Proxmox, SSH et les outils d’administration.
  • VLAN VM : Pour des Workloads spécifiques telles que les serveurs web, les bases de données ou les environnements de développement.
  • VLAN de stockage : Dédié au NAS, NFS, iSCSI ou au serveur de sauvegarde Proxmox.
  • VLAN IoT : Sépare les appliances domestiques intelligentes des infrastructures critiques.

L’utilisation de VLAN minimise la surface d’attaque et offre les avantages suivants :

  • Limite la propagation des logiciels malveillants entre différents VLAN.
  • Empêche les VMs compromises d’accéder à la gestion Proxmox.
  • Applique un contrôle d’accès strict entre les services.

Par exemple, si un logiciel malveillant infecte une machine virtuelle connectée au VLAN 20 et se propage sur le réseau, il ne peut pas accéder à l’interface de gestion de l’hôte Proxmox connectée au VLAN 10. Il est recommandé de configurer le pare-feu Proxmox et les règles de pare-feu sur la troisième couche du modèle OSI en plus de configurer les VLAN sur la deuxième couche.

  • Autorisez l’accès SSH à Proxmox uniquement à partir du VLAN ADMIN 10 (192.168.10.0/24).
  • Refuser toutes les communications entre le VLAN invité 30 (192.168.30.0/24) et le VLAN de gestion Proxmox.
  • Autorisez l’accès NAS uniquement aux VMs qui en ont besoin, et non à l’ensemble du réseau.

Le tableau présente un exemple d’architecture VLAN pour un laboratoire domestique Proxmox.

ID VLAN Objectif Sous-réseau Accès
10 GESTION 192.168.10.0/24 Proxmox GUI, SSH, Gestion de l’hyperviseur
20 Réseau serveur/VM 192.168.20.0/24 Serveurs web, serveurs d’applications, VMs de bases de données
30 VLAN invité 192.168.30.0/24 Appliances with minimal trust (ordinateurs portables invités, IoT)
40 VLAN de stockage 192.168.40.0/24 NFS, iSCSI, NAS, Serveur de sauvegarde Proxmox
50 DMZ (accessible au public) 192.168.50.0/24 Serveurs web publics, proxys inversés

Utilisez un commutateur géré pour créer des VLAN et baliser les ports connectés à Proxmox. Les VLAN peuvent être créés dans la configuration réseau Proxmox par édition de /etc/network/interfaces Vous trouverez ci-dessous un exemple du contenu du fichier de configuration permettant de créer des VLAN sur des interfaces pontées : auto vmbr0 iface vmbr0 inet manual bridge-ports eno1 bridge-stp off bridge-fd 0 # VLAN de gestion (ID 10) auto vmbr0.10 interface vmbr0.10 inet static adresse 192.168.10.2/24 vlan-raw-appliance vmbr0 # VLAN VM (ID 20) auto vmbr0.20 iface vmbr0.20 inet static adresse 192.168.20.2/24 vlan-raw-appliance vmbr0

Restreindre l’accès aux ports inutiles

Les pirates peuvent exploiter les ports ouverts pour différents services afin d’accéder à un hôte Proxmox via des vulnérabilités existantes. Fermez l’accès par les ports inutiles à l’aide du pare-feu ou limitez l’accès à l’adresse IP Proxmox et à des ports spécifiques afin de n’autoriser que les adresses IP de confiance définies manuellement. Proxmox étant un système basé sur Linux , Proxmox VE utilise un puissant pare-feu basé sur iptables. Si vous utilisez un cluster Proxmox, le pare-feu stocke la configuration et s’exécute sur chaque nœud du cluster. Pour accéder à la configuration du pare-feu Proxmox dans l’interface Web Proxmox VE, allez dans Datacenter > Firewall > Security rules et ajoutez un nouveau groupe avec des règles de pare-feu personnalisées.

Configurer une VM pare-feu ou routeur

L’exécution du pare-feu sur un hôte ou un cluster Proxmox peut protéger plus que les hôtes Proxmox d’un laboratoire domestique Proxmox. Vous pouvez configurer une VM dédiée aux tâches de pare-feu afin de protéger l’ensemble du réseau et toutes les appliances connectées. Cette configuration est communément appelée architecture « pare-feu virtuel » ou « VM pare-feu ». Les solutions de pare-feu populaires telles que pfSense, OPNsense ou les pare-feu basés sur Linux tels que iptables peuvent être déployées de cette manière. Notez que cette configuration de laboratoire domestique Proxmox avec une VM pare-feu peut être pratique si l’hôte Proxmox fonctionne en continu. S’il est éteint périodiquement, la VM pare-feu utilisée pour l’ensemble du réseau est également mise hors tension. Cela peut poser des problèmes si la VM pare-feu est utilisée pour l’accès à Internet de toutes les appliances du réseau (dans ce cas, il peut être plus pratique d’utiliser une appliance physique configurée comme pare-feu). Vous devez examiner les avantages et les inconvénients de cette configuration pour votre environnement avant de décider d’utiliser ou non la VM pare-feu.

Chiffrer les disques ZFS pour la protection des données

Si vous utilisez le système de fichiers ZFS sur un hôte Proxmox et que vous avez besoin du niveau de sécurité le plus élevé, envisagez d’activer le chiffrement ZFS pour Proxmox afin de chiffrer les pools de stockage et d’empêcher tout accès non autorisé aux disques durs contenant des données. Soyez prudent avant d’effectuer toute opération sur les disques et les systèmes de fichiers. Sauvegardez les données importantes avant de modifier la configuration de stockage. Exemple de chiffrement d’un pool ZFS sur un hôte Proxmox : zfs create pool-name/safe -o chiffrement=on -o keyformat=passphrase

N’exposez jamais Proxmox à l’internet public

N’activez pas l’accès public à un hôte Proxmox depuis l’internet. Si vous devez fournir un accès à l’hôte Proxmox depuis des emplacements extérieurs, configurez le pare-feu pour autoriser l’accès à votre hôte Proxmox à partir d’adresses IP spécifiques en définissant explicitement les adresses IP et les numéros de port. Vous pouvez utiliser la redirection de port sur le pare-feu à cette fin. Vous pouvez également configurer un serveur VPN à l’emplacement de votre laboratoire domestique Proxmox et utiliser une connexion VPN pour accéder à un hôte Proxmox à partir de réseaux externes.

Surveillance et audit Sécurité Proxmox

Surveillance Les hôtes Proxmox dans un laboratoire domestique peuvent contribuer à améliorer le niveau de sécurité global. Surveillez les journaux sur un hôte Proxmox et gardez un œil sur l’utilisation du processeur, de la mémoire vive et du disque. Assurez-vous que les journaux Proxmox intégrés sont activés :

  • Syslog : /var/log/syslog – Journaux système généraux.
  • Authentification : /var/log/auth.log – Tentatives de connexion via SSH et GUI.
  • Journaux spécifiques à Proxmox : /var/log/pve/ – Journaux liés aux services Proxmox.

De plus, vous pouvez utiliser des outils de surveillance centralisés spéciaux (solutions gratuites ou payantes) pour surveiller les hôtes Proxmox et les systèmes d’exploitation invités sur les machines virtuelles. Configurez des alertes et des notifications afin de résoudre rapidement les problèmes éventuels. Tenez compte des conditions suivantes lors de la configuration des authentifications automatiques :

  • Plus de 5 tentatives de connexion SSH infructueuses en 5 minutes.
  • L’utilisation du processeur d’une machine virtuelle reste supérieure à 90 % pendant plus de 10 minutes.
  • Détection d’un port ouvert inattendu sur l’hôte Proxmox.

Effectuez des audits et des analyses de sécurité périodiques. Installez régulièrement des correctifs de sécurité et des mises à jour pour corriger les vulnérabilités connues. Vérifiez les règles du pare-feu pour vous assurer qu’elles sont optimales, en tenant compte des dernières modifications apportées à l’infrastructure.

Protection Sauvegarde Proxmox contre les ransomwares

Les sauvegardes Proxmox vous permettent de protéger les données dans un environnement virtuel Proxmox. Sauvegardez régulièrement les VMs et stockez les sauvegardes dans un endroit sûr. Si un ransomware infecte les VMs et crypte les données de manière irréversible, vous pouvez réaliser la récupération de vos sauvegardes pour éviter toute perte de données. Cependant, les sauvegardes sont également une cible pour le ransomware. Assurez-vous que seuls les utilisateurs autorisés peuvent accéder au stockage et aux applications de sauvegarde.Utilisez un stockage isolé et l’immuabilité des sauvegardes pour garantir une protection optimale contre les ransomwares pour votre laboratoire domestique Proxmox et vos sauvegardes Proxmox. Le stockage isolé peut être un disque dur (HDD) physiquement déconnecté, un disque optique, une cartouche de bande, etc. L’immuabilité des sauvegardes est une fonctionnalité qui utilise l’approche WORM (write-once-read-many, écriture unique, lecture multiple). Une fois les données écrites, elles ne peuvent être ni modifiées ni supprimées avant l’expiration de la période d’immuabilité. NAKIVO Backup & Replication est une solution dédiée à la protection des données qui prend en charge la sauvegarde Proxmox pour les machines virtuelles et l’immuabilité. Les sauvegardes immuables peuvent être configurées dans des référentiels de sauvegarde locaux attachés à Linux Transporteurs , Amazon S3 , le cloud et le stockage d’objets compatible S3.

Conclusion

Les mesures de sécurité efficaces de Proxmox comprennent une politique d’authentification forte, la segmentation du réseau, la restriction d’accès dans le pare-feu, la sécurité SSH de Proxmox, la surveillance de l’environnement, les sauvegardes des données et la protection contre les ransomwares. Mettez en œuvre ces mesures dans votre Proxmox dans un environnement de laboratoire afin de réduire le risque d’infections par des logiciels malveillants et de prévenir la perte de données. Utilisez NAKIVO Backup & Replication pour sauvegarder les VMs Proxmox et protéger les sauvegardes contre les ransomwares grâce à l’immuabilité.

Try NAKIVO Backup & Replication

Try NAKIVO Backup & Replication

Get a free trial to explore all the solution’s data protection capabilities. 15 days for free. Zero feature or capacity limitations. No credit card required.

Try for Free

Les gens qui ont consulté cet article ont également lu

Picture
Activation du chiffrement des sauvegardes avec NAKIVO : guide complet
Picture
Comment sauvegarder Proxmox VE avec NAKIVO Backup & Replication
Picture
Différences entre les instantanés VM et les sauvegardes