Zabezpieczanie domowego laboratorium Proxmox: przewodnik krok po kroku
Aby lepiej poznać funkcje i możliwości platformy Proxmox, nowi użytkownicy często decydują się na stworzenie środowiska testowego z wykorzystaniem hosta Proxmox, zwanego domowym laboratorium Proxmox. Konieczne jest zapewnienie odpowiednich środków bezpieczeństwa podczas konfiguracji domowego laboratorium Proxmox. W tym wpisie na blogu omówiono najlepsze rozwiązania dotyczące bezpieczeństwa w Proxmox, które warto wdrożyć, aby zapobiec utracie danych i chronić się przed cyberzagrożeniami.
Dlaczego zabezpieczenie domowego laboratorium Proxmox jest niezbędne
Bez odpowiednich środków bezpieczeństwa Twoje środowisko Proxmox może stać się podatne na cyberzagrożenia, naruszenia danych i nieautoryzowany dostęp. Bezpieczeństwo domowego laboratorium Proxmox ma kluczowe znaczenie zarówno w celach osobistych, jak i zawodowych. Nieautoryzowani użytkownicy uzyskujący dostęp do hosta Proxmox mogą stanowić zagrożenie dla samego hosta, maszyn wirtualnych, Urządzenia NAS oraz innych hostów podłączonych do sieci. Nieautoryzowany dostęp może prowadzić do infekcji złośliwym oprogramowaniem i oprogramowaniem wymuszającym okup, powodując wycieki i utratę danych.
Ponieważ hosty Proxmox zazwyczaj działają na sprzęcie fizycznym, osoby atakujące mogą wykorzystać te zasoby sprzętowe do wydobywania kryptowalut, prowadzenia innych cyberprzestępczych działań, włączenia hosta Proxmox do botnetu, uruchamiania złośliwych skryptów itp. Czynniki te mogą znacznie obniżyć wydajność hosta i maszyn wirtualnych.
Niezbędne środki bezpieczeństwa dla Proxmox
Aby zmniejszyć ryzyko nieautoryzowanego dostępu do domowego laboratorium Proxmox, należy zrozumieć, jak zabezpieczyć środowisko Proxmox i wdrożyć niezbędne praktyki bezpieczeństwa.
Ustaw silne hasła i włącz uwierzytelnianie dwuskładnikowe (2FA)
Stosowanie silnych haseł do kont w zakresie administracji stanowi pierwszą linię obrony. Należy używać unikalnych haseł składających się z co najmniej 8 znaków. Hasło powinno zawierać małe i wielkie litery, cyfry oraz znaki specjalne. Możesz używać fraz haseł, które spełniają te wymagania, aby łatwiej je zapamiętać. Silne hasło, które spełnia wymagania dotyczące złożoności, stanowi barierę dla atakujących, ponieważ ataki brute force nie są w stanie go łatwo złamać.
Aby zwiększyć bezpieczeństwo, możesz skonfigurować uwierzytelnianie dwuskładnikowe (uwierzytelnianie wieloskładnikowe, MFA lub 2FA). Proxmox obsługuje konfigurację Uwierzytelniania dwuskładnikowego na wiele sposobów, np. przy użyciu jednorazowego hasła opartego na czasie (TOTP) lub YubiKey OTP. Ustawienia Uwierzytelniania dwuskładnikowego można edytować w sekcji Permissions > Two Factor w interfejsie internetowym Proxmox VE.
Zabezpiecz dostęp SSH
Zarządzanie Proxmox odbywa się za pośrednictwem graficznego interfejsu użytkownika, ale najbardziej szczegółową konfigurację można przeprowadzić w wierszu poleceń poprzez połączenie SSH. Na hoście Proxmox dostępny jest serwer SSH, podobny do tego na maszynach z systemem Linux służącym do zarządzania hostem. Jeśli atakujący uzyskają dostęp SSH do hosta, mogą uzyskać pełny dostęp i uruchomić złośliwe oprogramowanie.
Można wdrożyć dodatkowe środki bezpieczeństwa, aby zmniejszyć ryzyko nieautoryzowanego dostępu. Na przykład można zmienić standardowy port SSH (22) na port niestandardowy (9522). Wyłącz logowanie jako root i używaj sudo do uzyskania uprawnień do administracji. Korzystanie z kluczy publicznych zamiast haseł do logowania przez SSH wymaga bardziej skomplikowanej konfiguracji, ale może zapewnić większe bezpieczeństwo.
Wdrożenie sieci VLAN w celu segmentacji sieci
Należy rozważyć skonfigurowanie VLAN jeśli chcesz podłączyć jakiekolwiek urządzenie, które może być narażone na zagrożenia, do sieci połączonej z hostem Proxmox lub maszynami wirtualnymi. Sieci VLAN służą do segmentacji sieci na drugim poziomie modelu OSI, umożliwiając logiczne oddzielenie urządzeń w tej samej sieci fizycznej.
Przykłady sieci VLAN w Proxmox VE wykorzystywanych w domowym laboratorium obejmują:
- Sieć VLAN do zarządzania: Tylko dla interfejsu graficznego Proxmox, SSH i narzędzi administracyjnych.
- Sieci VLAN dla maszyn wirtualnych: Dla określonych obciążeń, takich jak serwery WWW, bazy danych lub środowiska programistyczne.
- Sieć VLAN dla pamięci masowej: Przeznaczona dla serwerów NAS, NFS, iSCSI lub serwera kopii zapasowych Proxmox.
- Sieć VLAN dla IoT: Oddziel urządzenia inteligentnego domu od infrastruktury krytycznej.
Korzystanie z sieci VLAN minimalizuje powierzchnię ataku i zapewnia następujące korzyści:
- Ogranicza rozprzestrzenianie się złośliwego oprogramowania między różnymi sieciami VLAN.
- Uniemożliwia zainfekowanym maszynom wirtualnym dostęp do zarządzania Proxmox.
- Wymusza ścisłą kontrolę dostępu między usługami.
Na przykład, jeśli złośliwe oprogramowanie zainfekuje maszynę wirtualną podłączoną do sieci VLAN 20 i rozprzestrzeni się w sieci, nie będzie mogło uzyskać dostępu do interfejsu zarządzania hostem Proxmox podłączonego do sieci VLAN 10.
Zaleca się skonfigurowanie zapory sieciowej Proxmox i reguł zapory w trzeciej warstwie modelu OSI, oprócz skonfigurowania sieci VLAN w drugiej warstwie.
- Zezwól na dostęp SSH do Proxmox tylko z sieci VLAN administratora 10 (192.168.10.0/24).
- Zablokuj całą komunikację między siecią VLAN gości 30 (192.168.30.0/24) a siecią VLAN zarządzania Proxmox.
- Zezwól na dostęp do NAS tylko maszynom wirtualnym, które tego wymagają, a nie całej sieci.
Przykład architektury VLAN dla domowego laboratorium Proxmox przedstawiono w tabeli.
| ID sieci VLAN | Cel | Podsieć | Dostęp |
| 10 | Zarządzanie | 192.168.10.0/24 | Interfejs graficzny Proxmox, SSH, Zarządzanie hiperwizorem |
| 20 | Sieć serwerów/maszyn wirtualnych | 192.168.20.0/24 | Serwery WWW, serwery aplikacji, maszyny wirtualne baz danych |
| 30 | VLAN gości | 192.168.30.0/24 | Urządzenia o minimalnym poziomie zaufania (laptopy gości, IoT) |
| 40 | VLAN magazynu | 192.168.40.0/24 | NFS, iSCSI, NAS, serwer kopii zapasowych Proxmox |
| 50 | DMZ (sieciowa strefa zastrzeżona) | 192.168.50.0/24 | Publiczne serwery WWW, serwery proxy odwrotne |
Użyj przełącznika zarządzalnego do utworzenia sieci VLAN i oznaczenia portów podłączonych do Proxmox. Sieci VLAN można utworzyć w konfiguracji sieci Proxmox, podczas edycji pliku /etc/network/interfaces
Poniżej znajduje się przykładowa zawartość pliku konfiguracyjnego służącego do tworzenia sieci VLAN na interfejsach mostkowych:
auto vmbr0
iface vmbr0 inet manual
bridge-ports eno1
bridge-stp off
bridge-fd 0
# Management VLAN (ID 10)
auto vmbr0.10
iface vmbr0.10 inet static
address 192.168.10.2/24
vlan-raw-device vmbr0
# VM VLAN (ID 20)
auto vmbr0.20
iface vmbr0.20 inet static
address 192.168.20.2/24
vlan-raw-device vmbr0
Ogranicz dostęp do zbędnych portów
Atakujący mogą wykorzystać otwarte porty różnych usług, aby uzyskać dostęp do hosta Proxmox poprzez istniejące luki w zabezpieczeniach. Zablokuj dostęp przez zbędne porty za pomocą zapory sieciowej lub ogranicz dostęp do adresu IP Proxmox i określonych portów wyłącznie do zaufanych adresów IP zdefiniowanych ręcznie. Ponieważ Proxmox jest systemem typu oparty na systemie Linux , Proxmox VE wykorzystuje potężną zaporę opartą na iptables. W przypadku korzystania z klastra Proxmox zapora przechowuje konfigurację i działa na każdym węźle klastra.
Aby uzyskać dostęp do konfiguracji zapory Proxmox w interfejsie internetowym Proxmox VE, przejdź do Datacenter > Firewall > Security rules i dodaj nową grupę z niestandardowymi regułami zapory.
Skonfiguruj maszynę wirtualną z zaporą sieciową lub routerem
Uruchomienie zapory sieciowej na hoście lub klastrze Proxmox może chronić nie tylko hosty Proxmox w domowym laboratorium Proxmox. Można skonfigurować dedykowaną maszynę wirtualną przeznaczoną do zadań związanych z zaporą sieciową, aby chronić całą sieć i wszystkie podłączone urządzenia. Taka konfiguracja jest powszechnie nazywana architekturą „wirtualnej zapory sieciowej” lub „maszyny wirtualnej z zaporą sieciową”. W ten sposób można przeprowadzić wdrażanie popularnych rozwiązań zapory sieciowej, takich jak pfSense, OPNsense lub zaporów opartych na systemie Linux, np. iptables.
Należy pamiętać, że ta konfiguracja domowego laboratorium Proxmox z maszyną wirtualną z zaporą sieciową może być wygodna, jeśli host Proxmox działa w trybie ciągłym. Jeśli jest on okresowo wyłączany, maszyna wirtualna z zaporą sieciową używana dla całej sieci również zostanie wyłączona. Może to powodować problemy, jeśli maszyna wirtualna z zaporą sieciową jest używana do dostępu do Internetu dla wszystkich urządzeń w sieci (w tym przypadku wygodniejsze może być użycie fizycznego urządzenia skonfigurowanego jako zapora sieciowa). Przed podjęciem decyzji o użyciu maszyny wirtualnej z zaporą sieciową należy przeanalizować zalety i wady tej konfiguracji w danym środowisku.
Szyfrowanie dysków ZFS w celu ochrony danych
Jeśli korzystasz z systemu plików ZFS na hoście Proxmox i potrzebujesz najwyższego poziomu bezpieczeństwa, rozważ włączenie szyfrowania ZFS w Proxmox, aby zaszyfrować pule pamięci masowej i zapobiec nieautoryzowanemu dostępowi do dysków zawierających dane. Zachowaj ostrożność przed wykonaniem jakichkolwiek operacji na dyskach i systemach plików. Wykonaj kopię zapasową ważnych danych przed zmianą konfiguracji magazynu
Przykład szyfrowania puli ZFS na hoście Proxmox:
zfs create pool-name/safe -o encryption=on -o keyformat=passphrase
Nigdy nie udostępniaj Proxmox w publicznej sieci internetowej
Nie zezwalaj na publiczny dostęp do hosta Proxmox z Internetu. Jeśli musisz zapewnić dostęp do hosta Proxmox z lokalizacji zewnętrznych, skonfiguruj zaporę sieciową tak, aby zezwalała na dostęp do hosta Proxmox z określonych adresów IP poprzez wyraźne zdefiniowanie adresów IP i numerów portów. W tym celu można użyć przekierowania portów w zaporze sieciowej. Alternatywnie skonfiguruj serwer VPN w środowisku, w którym znajduje się domowe laboratorium Proxmox, i używaj połączenia VPN, aby uzyskać dostęp do hosta Proxmox z sieci zewnętrznych.
Monitorowanie i audyt Bezpieczeństwo Proxmox
Monitorowanie Hosty Proxmox w domowym laboratorium mogą pomóc w poprawie ogólnego poziomu bezpieczeństwa. Monitoruj logi na hoście Proxmox i zwracaj uwagę na wykorzystanie Procesora, pamięci RAM i dysku.
Upewnij się, że wbudowane logi Proxmox są włączone:
Syslog: /var/log/syslog– Ogólne logi systemowe.Authentication: /var/log/auth.log– Próby logowania przez SSH i GUI.Proxmox-specific logs: /var/log/pve/– Logi związane z usługami Proxmox.
Dodatkowo można korzystać ze specjalnych scentralizowanych narzędzi monitorujących (rozwiązań bezpłatnych lub płatnych) do monitorowania hostów Proxmox oraz systemów operacyjnych gości na maszynach wirtualnych. Należy skonfigurować alerty i powiadomienia, aby jak najszybciej rozwiązywać ewentualne problemy.
Podczas konfiguracji automatycznego uwierzytelniania należy zwrócić uwagę na następujące warunki:
- Ponad 5 nieudanych prób logowania przez SSH w ciągu 5 minut.
- Wykorzystanie procesora maszyny wirtualnej utrzymuje się powyżej 90% przez ponad 10 minut.
- Wykrycie nieoczekiwanego otwartego portu na hoście Proxmox.
Przeprowadzaj okresowe audyty i skanowanie bezpieczeństwa. Regularnie instaluj poprawki bezpieczeństwa i aktualizacje, aby naprawić znane luki w zabezpieczeniach. Sprawdź reguły zapory sieciowej, aby upewnić się, że są optymalne, biorąc pod uwagę najnowsze zmiany w infrastrukturze.
Ochrona Kopia zapasowa Proxmox przed oprogramowaniem wymuszającym okup
Kopie zapasowe Proxmox pozwalają chronić dane w środowisku wirtualnym Proxmox. Regularnie wykonuj kopie zapasowe maszyn wirtualnych i przechowuj je w bezpiecznym miejscu. Jeśli oprogramowanie ransomware zainfekuje maszyny wirtualne i nieodwracalnie zaszyfruje dane, możesz przywrócić kopie zapasowe, aby uniknąć utraty danych. Należy jednak pamiętać, że kopie zapasowe również stanowią cel dla oprogramowania wymuszającego okup. Upewnij się, że dostęp do magazynu i aplikacji służących do wykonywania kopii zapasowych mają wyłącznie uprawnieni użytkownicy.
Korzystaj z fizycznie odłączonych magazynów oraz niezmienność kopii zapasowej , aby zapewnić optymalną ochronę przed oprogramowaniem wymuszającym okup dla domowego laboratorium Proxmox i kopii zapasowych Proxmox. Pamięć masowa typu fizycznie odłączona może być dyskiem twardym (HDD), dyskiem optycznym, kasetą taśmową itp. Niezmienność kopii zapasowych to funkcja wykorzystująca podejście WORM (write-once-read-many). Po zapisaniu danych nie można ich modyfikować ani usuwać, dopóki nie upłynie okres niezmienności.
NAKIVO Backup & Replication to dedykowane rozwiązanie do ochrony danych, które oferuje wsparcie dla funkcji Wykonać kopię zapasową Proxmox dla maszyn wirtualnych oraz niezmienność. Niezmienne kopie zapasowe można skonfigurować w lokalnym repozytoria kopii zapasowych podłączonym do systemu Linux Przewoźnicy, Amazon S3, chmurze oraz magazynie obiektowym zgodnym z usługą S3.
Wnioski
Skuteczne środki bezpieczeństwa Proxmox obejmują silną politykę uwierzytelniania, segmentację sieci, ograniczenia dostępu w zaporze sieciowej, zabezpieczenia SSH Proxmox, monitorowanie środowiska, tworzenie kopii zapasowych danych oraz ochronę przed oprogramowaniem wymuszającym okup. Wprowadź te środki w swoim Proxmox w środowisku laboratoryjnym, aby zmniejszyć ryzyko infekcji złośliwym oprogramowaniem i zapobiec utracie danych. Użyj NAKIVO Backup & Replication do wykonywania kopii zapasowych maszyn wirtualnych Proxmox i chroń kopie zapasowe przed oprogramowaniem wymuszającym okup, korzystając z niezmienności.