NAKIVO > Blog > Proxmox VE

Proteggere Proxmox Home Lab: una guida passo passo per la sicurezza

Pubblicato: Febbraio 3, 2026

Written by: NAKIVO Team

Per comprendere meglio le funzioni e le caratteristiche di Proxmox, i nuovi utenti preferiscono creare un ambiente di prova utilizzando un host Proxmox chiamato Proxmox home lab. È necessario garantire misure di sicurezza adeguate per la configurazione del Proxmox home lab. Questo post del blog tratta le procedure consigliate per la sicurezza di Proxmox che dovresti implementare per prevenire la perdita di dati e proteggerti dalle minacce informatiche.

NAKIVO for Proxmox Backup

NAKIVO for Proxmox Backup

Agentless, app-aware backup for Proxmox VE with multiple targets, including immutable cloud backups. Multiple instant granular recovery and full recovery options.

Discover Solution

Perché è essenziale proteggere il Proxmox Home Lab

Senza adeguate misure di sicurezza, l’ambiente Proxmox può diventare vulnerabile alle minacce informatiche, alle violazioni dei dati e agli accessi non autorizzati. La sicurezza del laboratorio domestico Proxmox è fondamentale per scopi personali e professionali. Gli utenti non autorizzati che accedono a un host Proxmox possono minacciare l’host, le VM, i dispositivi NAS e altri host collegati alla rete. L’accesso non autorizzato può portare a infezioni da malware e ransomware, causando perdite e fughe di dati. Poiché gli host Proxmox di solito funzionano su hardware fisico, gli aggressori possono utilizzare queste risorse hardware per minare criptovalute, condurre altre attività criminali informatiche, rendere un host Proxmox parte di una botnet, eseguire script dannosi, ecc. Questi fattori possono ridurre significativamente le prestazioni dell’host e delle VM.

Misure di sicurezza essenziali per Proxmox

Per ridurre i rischi di accesso non autorizzato a un laboratorio domestico Proxmox, è necessario comprendere come proteggere l’ambiente Proxmox e implementare le pratiche di sicurezza essenziali.

Impostare password complesse e abilitare l’autenticazione a due fattori (2FA)

L’utilizzo di password complesse per gli account amministrativi è la prima linea di difesa. Utilizzare password uniche di almeno 8 caratteri. La password deve contenere lettere minuscole e maiuscole, cifre e caratteri speciali. È possibile utilizzare passphrase che soddisfano questi requisiti per facilitarne la memorizzazione. Una password complessa che soddisfa i requisiti di complessità costituisce una barriera per gli aggressori, poiché gli attacchi di forza bruta non possono hackerarla facilmente. Per una maggiore sicurezza, è possibile configurare l’autenticazione a due fattori (2FA). Proxmox supporta la configurazione dell’autenticazione a due fattori (2FA) in diversi modi, ad esempio utilizzando una password monouso basata sul tempo (TOTP) o YubiKey OTP. È possibile modificare le impostazioni di autenticazione in Permissions > Two Factor nell’interfaccia web di Proxmox VE.

Rafforzare l’accesso SSH

La gestione di Proxmox viene eseguita tramite l’interfaccia utente grafica web, ma la configurazione più dettagliata può essere effettuata dalla riga di comando tramite connessione SSH. Su un host Proxmox è disponibile un server SSH, simile a quello presente sulle macchine Linux per la gestione dell’host. Se gli aggressori riescono ad ottenere l’accesso SSH all’host, possono ottenere l’accesso completo ed eseguire malware. È possibile implementare misure di sicurezza aggiuntive per ridurre il rischio di accessi non autorizzati. Ad esempio, è possibile modificare la porta SSH standard (22) con una porta personalizzata (9522). Disabilitare gli accessi root e utilizzare sudo per ottenere i privilegi amministrativi. L’utilizzo di chiavi pubbliche invece delle password per accedere tramite SSH richiede una configurazione più complessa, ma può fornire una maggiore sicurezza.

Implementare VLAN per la segmentazione della rete

È consigliabile configurare una VLAN se si desidera connettere qualsiasi dispositivo che possa essere vulnerabile a una rete connessa a un host Proxmox o a VM. Le VLAN vengono utilizzate per la segmentazione della rete sul secondo livello del modello OSI, consentendo di separare logicamente i dispositivi nella stessa rete fisica. Esempi di VLAN in Proxmox VE utilizzate per un laboratorio domestico includono:

  • VLAN di gestione: Solo per GUI Proxmox, SSH e strumenti di amministrazione.
  • VM VLAN: Per carichi di lavoro specifici come server web, database o ambienti di sviluppo.
  • VLAN di storage: Dedicata a NAS, NFS, iSCSI o Proxmox Backup Server.
  • VLAN IoT: Separa i dispositivi domestici intelligenti dall’infrastruttura critica.

L’uso delle VLAN riduce al minimo la superficie di attacco e offre i seguenti vantaggi:

  • Limita la diffusione di malware tra diverse VLAN.
  • Impedisce alle VM compromesse di accedere alla gestione Proxmox.
  • Impone un controllo rigoroso degli accessi tra i servizi.

Ad esempio, se il malware infetta una VM collegata alla VLAN 20 e si diffonde nella rete, non può accedere all’interfaccia di gestione dell’host Proxmox collegata alla VLAN 10. Si consiglia di configurare il firewall Proxmox e le regole del firewall sul terzo livello del modello OSI, oltre a configurare le VLAN sul secondo livello.

  • Consenti l’accesso SSH a Proxmox solo dalla VLAN 10 di AMMINISTRAZIONE (192.168.10.0/24).
  • Negare tutte le comunicazioni tra la VLAN Guest 30 (192.168.30.0/24) e la VLAN di gestione Proxmox.
  • Consentire l’accesso NAS solo alle VM che lo richiedono, non all’intera rete.

Nella tabella è riportato un esempio di architettura VLAN per un laboratorio domestico Proxmox.

ID VLAN Scopo Sottorete Accesso
10 Gestione 192.168.10.0/24 Proxmox GUI, SSH, Gestione hypervisor
20 Rete server/VM 192.168.20.0/24 Server web, server di applicazioni, VM di database
30 VLAN guest 192.168.30.0/24 Dispositivi con affidabilità minima (laptop degli ospiti, IoT)
40 VLAN di storage 192.168.40.0/24 NFS, iSCSI, NAS, Proxmox Backup Server
50 DMZ (rivolta al pubblico) 192.168.50.0/24 Server web pubblici, proxy inversi

Utilizzare uno switch gestito per creare VLAN e taggare le porte collegate a Proxmox. Le VLAN possono essere create nella configurazione di rete Proxmox modificando /etc/network/interfaces Di seguito è riportato un esempio del contenuto del file di configurazione per creare VLAN su interfacce bridge: auto vmbr0 iface vmbr0 inet manual bridge-ports eno1 bridge-stp off bridge-fd 0 # VLAN di gestione (ID 10) auto vmbr0.10 iface vmbr0.10 inet static address 192.168.10.2/24 vlan-raw-device vmbr0 # VM VLAN (ID 20) auto vmbr0.20 iface vmbr0.20 inet static indirizzo 192.168.20.2/24 vlan-raw-device vmbr0

Limitare l’accesso alle porte non necessarie

Gli hacker possono sfruttare le porte aperte per diversi servizi per accedere a un host Proxmox tramite vulnerabilità esistenti. Chiudere l’accesso tramite porte non necessarie utilizzando il firewall o limitare l’accesso all’indirizzo IP Proxmox e a porte specifiche solo per consentire indirizzi IP affidabili definiti manualmente. Poiché Proxmox è un sistema basato su Linux , Proxmox VE utilizza un potente firewall basato su iptables. Se si utilizza un cluster Proxmox, il firewall memorizza la configurazione e viene eseguito su ciascun nodo del cluster. Per accedere alla configurazione del firewall Proxmox nell’interfaccia web Proxmox VE, andare su Datacenter > Firewall > Regole di sicurezza e aggiungere un nuovo gruppo con regole firewall personalizzate.

Configurare una VM firewall o router

L’esecuzione del firewall su un Host o cluster Proxmox può proteggere più dei soli host Proxmox in un laboratorio domestico Proxmox. È possibile configurare una VM dedicata utilizzata per le attività del firewall per proteggere l’intera rete e tutti i dispositivi collegati. Questa configurazione è comunemente denominata architettura “firewall virtuale” o “VM firewall”. Soluzioni firewall popolari come pfSense, OPNsense o firewall basati su Linux come iptables possono essere implementate in questo modo. Si noti che questa configurazione del laboratorio domestico Proxmox con una VM firewall potrebbe essere conveniente se l’host Proxmox è in esecuzione continua. Se viene spento periodicamente, anche la VM firewall utilizzata per l’intera rete viene spenta. Ciò può causare problemi se la VM firewall viene utilizzata per l’accesso a Internet per tutti i dispositivi della rete (in questo caso, potrebbe essere più conveniente utilizzare un dispositivo fisico configurato come firewall). È necessario esaminare i vantaggi e gli svantaggi di questa configurazione per il proprio ambiente prima di decidere se utilizzare la VM firewall.

Crittografare i dischi ZFS per la protezione dei dati

Se si utilizza il file system ZFS su un host Proxmox e si necessita del massimo livello di sicurezza, prendere in considerazione l’abilitazione della crittografia ZFS per Proxmox per crittografare i pool di storage e impedire l’accesso non autorizzato alle unità disco con dati. Prestare attenzione prima di eseguire qualsiasi operazione con dischi e file system. Eseguire il backup dei dati importanti prima di modificare la configurazione di storage. Esempio di crittografia di un pool ZFS su un host Proxmox: zfs create pool-name/safe -o crittografia=on -o keyformat=passphrase

Non esporre mai Proxmox alla rete Internet pubblica

Non abilitare l’accesso pubblico a un host Proxmox da Internet. Se è necessario fornire l’accesso all’host Proxmox da ubicazioni esterne, configurare il firewall in modo da consentire l’accesso da indirizzi IP specifici al proprio host Proxmox definendo esplicitamente gli indirizzi IP e i numeri di porta. A tal fine è possibile utilizzare il port forwarding sul firewall. In alternativa, configurare un server VPN nell’ambiente in cui si trova un laboratorio domestico Proxmox con l’ubicazione in un’altra regione e utilizzare una connessione VPN per accedere a un host Proxmox da reti esterne.

Monitoraggio e controllo Sicurezza Proxmox

Monitoraggio Gli host Proxmox in un laboratorio domestico possono contribuire a migliorare il livello di sicurezza complessivo. Monitorare i log su un host Proxmox e tenere d’occhio l’utilizzo della CPU, della RAM e del disco. Assicurarsi che i log Proxmox integrati siano abilitati:

  • Syslog: /var/log/syslog – Log generali del sistema.
  • Autenticazione: /var/log/auth.log – Tentativi di accesso tramite SSH e GUI.
  • Log specifici di Proxmox: /var/log/pve/ – Log relativi ai servizi Proxmox.

Inoltre, è possibile utilizzare speciali strumenti di monitoraggio centralizzati (soluzioni gratuite o a pagamento) per monitorare gli host Proxmox e i sistemi operativi guest sulle VM. Configurare avvisi e notifiche per risolvere rapidamente eventuali problemi il prima possibile. Prestare attenzione alle seguenti condizioni durante la configurazione delle autenticazioni automatiche:

  • Più di 5 tentativi di accesso SSH falliti in 5 minuti.
  • L’utilizzo della CPU di una VM rimane superiore al 90% per oltre 10 minuti.
  • Rilevamento di una porta aperta inaspettata sull’host Proxmox.

Eseguire audit periodici e scansioni di sicurezza. Installare regolarmente patch di sicurezza e aggiornamenti per risolvere le vulnerabilità note. Controllare le regole del firewall per assicurarsi che siano ottimali, tenendo conto delle ultime modifiche all’Infrastruttura.

Protezione Proxmox Backup dai ransomware

I backup Proxmox consentono di proteggere i dati in un ambiente virtuale Proxmox. Eseguire regolarmente il backup delle VM e conservare i backup in un luogo sicuro. Se il ransomware infetta le VM e crittografa i dati in modo irreversibile, è possibile ripristinare i backup per evitare la perdita di dati. Tuttavia, anche i backup sono un bersaglio del ransomware. Assicurarsi che solo gli utenti autorizzati possano accedere all’archiviazione e alle applicazioni di backup.Utilizza un archivio con protezione air-gap e l’immutabilità del backup per garantire una protezione ottimale dai ransomware per il tuo laboratorio domestico Proxmox e i backup Proxmox. L’archivio con protezione air-gap può essere un disco rigido (HDD) fisicamente scollegato, un disco ottico, una cartuccia a nastro, ecc. L’immutabilità del backup è una funzione che utilizza l’approccio WORM (write-once-read-many, scrittura singola e lettura multipla). Una volta scritti, i dati non possono essere modificati o eliminati fino alla scadenza del periodo di immutabilità. NAKIVO Backup & Replication è una soluzione dedicata alla protezione dei dati che supporta il backup Proxmox per VM e l’immutabilità. I backup immutabili possono essere configurati in repository di backup locali collegati a Linux Transporter, Amazon S3, storage sul cloud e storage compatibile con S3.

Conclusione

Le misure di sicurezza efficienti di Proxmox includono una politica di autenticazione forte, la segmentazione della rete, la restrizione dell’accesso nel firewall, la sicurezza SSH di Proxmox, il monitoraggio dell’ambiente, il backup dei dati e la protezione dai ransomware. Implementate queste misure nel vostro Proxmox in un ambiente di laboratorio per ridurre il rischio di infezioni da malware e prevenire la perdita di dati. Utilizza NAKIVO Backup & Replication per eseguire il backup delle VM Proxmox e proteggere i backup dal ransomware utilizzando l’immutabilità.

Try NAKIVO Backup & Replication

Try NAKIVO Backup & Replication

Get a free trial to explore all the solution’s data protection capabilities. 15 days for free. Zero feature or capacity limitations. No credit card required.

Try for Free

Le persone leggono anche

Picture
Abilitazione della crittografia dei backup con NAKIVO: una guida completa
Picture
Come eseguire il backup di Proxmox VE con NAKIVO Backup & Replication
Picture
NAKIVO Backup & Replication compare nel rapporto semestrale di GetApp sui migliori software per la sicurezza IT