Zabezpieczanie domowego laboratorium Proxmox: przewodnik krok po kroku

Aby lepiej poznać funkcje i możliwości platformy Proxmox, nowi użytkownicy często decydują się na stworzenie środowiska testowego z wykorzystaniem hosta Proxmox, zwanego domowym laboratorium Proxmox. Konieczne jest zapewnienie odpowiednich środków bezpieczeństwa podczas konfiguracji domowego laboratorium Proxmox. W tym wpisie na blogu omówiono najlepsze rozwiązania dotyczące bezpieczeństwa w Proxmox, które warto wdrożyć, aby zapobiec utracie danych i chronić się przed cyberzagrożeniami.

NAKIVO do tworzenia kopii zapasowej w Proxmox

NAKIVO do tworzenia kopii zapasowej w Proxmox

Bezagentowa kopia zapasowa spójna z aplikacją dla Proxmox VE z obsługą wielu lokalizacji docelowych, w tym niezmiennych kopii zapasowych w chmurze. Wiele opcji natychmiastowego odzyskiwania na poziomie elementów oraz pełnego odzyskiwania.

Dlaczego zabezpieczenie domowego laboratorium Proxmox jest niezbędne

Bez odpowiednich środków bezpieczeństwa Twoje środowisko Proxmox może stać się podatne na cyberzagrożenia, naruszenia danych i nieautoryzowany dostęp. Bezpieczeństwo domowego laboratorium Proxmox ma kluczowe znaczenie zarówno w celach osobistych, jak i zawodowych. Nieautoryzowani użytkownicy uzyskujący dostęp do hosta Proxmox mogą stanowić zagrożenie dla samego hosta, maszyn wirtualnych, Urządzenia NAS oraz innych hostów podłączonych do sieci. Nieautoryzowany dostęp może prowadzić do infekcji złośliwym oprogramowaniem i oprogramowaniem wymuszającym okup, powodując wycieki i utratę danych.

Ponieważ hosty Proxmox zazwyczaj działają na sprzęcie fizycznym, osoby atakujące mogą wykorzystać te zasoby sprzętowe do wydobywania kryptowalut, prowadzenia innych cyberprzestępczych działań, włączenia hosta Proxmox do botnetu, uruchamiania złośliwych skryptów itp. Czynniki te mogą znacznie obniżyć wydajność hosta i maszyn wirtualnych.

Niezbędne środki bezpieczeństwa dla Proxmox

Aby zmniejszyć ryzyko nieautoryzowanego dostępu do domowego laboratorium Proxmox, należy zrozumieć, jak zabezpieczyć środowisko Proxmox i wdrożyć niezbędne praktyki bezpieczeństwa.

Ustaw silne hasła i włącz uwierzytelnianie dwuskładnikowe (2FA)

Stosowanie silnych haseł do kont w zakresie administracji stanowi pierwszą linię obrony. Należy używać unikalnych haseł składających się z co najmniej 8 znaków. Hasło powinno zawierać małe i wielkie litery, cyfry oraz znaki specjalne. Możesz używać fraz haseł, które spełniają te wymagania, aby łatwiej je zapamiętać. Silne hasło, które spełnia wymagania dotyczące złożoności, stanowi barierę dla atakujących, ponieważ ataki brute force nie są w stanie go łatwo złamać.

Aby zwiększyć bezpieczeństwo, możesz skonfigurować uwierzytelnianie dwuskładnikowe (uwierzytelnianie wieloskładnikowe, MFA lub 2FA). Proxmox obsługuje konfigurację Uwierzytelniania dwuskładnikowego na wiele sposobów, np. przy użyciu jednorazowego hasła opartego na czasie (TOTP) lub YubiKey OTP. Ustawienia Uwierzytelniania dwuskładnikowego można edytować w sekcji Permissions > Two Factor w interfejsie internetowym Proxmox VE.

Zabezpiecz dostęp SSH

Zarządzanie Proxmox odbywa się za pośrednictwem graficznego interfejsu użytkownika, ale najbardziej szczegółową konfigurację można przeprowadzić w wierszu poleceń poprzez połączenie SSH. Na hoście Proxmox dostępny jest serwer SSH, podobny do tego na maszynach z systemem Linux służącym do zarządzania hostem. Jeśli atakujący uzyskają dostęp SSH do hosta, mogą uzyskać pełny dostęp i uruchomić złośliwe oprogramowanie.

Można wdrożyć dodatkowe środki bezpieczeństwa, aby zmniejszyć ryzyko nieautoryzowanego dostępu. Na przykład można zmienić standardowy port SSH (22) na port niestandardowy (9522). Wyłącz logowanie jako root i używaj sudo do uzyskania uprawnień do administracji. Korzystanie z kluczy publicznych zamiast haseł do logowania przez SSH wymaga bardziej skomplikowanej konfiguracji, ale może zapewnić większe bezpieczeństwo.

Wdrożenie sieci VLAN w celu segmentacji sieci

Należy rozważyć skonfigurowanie VLAN jeśli chcesz podłączyć jakiekolwiek urządzenie, które może być narażone na zagrożenia, do sieci połączonej z hostem Proxmox lub maszynami wirtualnymi. Sieci VLAN służą do segmentacji sieci na drugim poziomie modelu OSI, umożliwiając logiczne oddzielenie urządzeń w tej samej sieci fizycznej.

Przykłady sieci VLAN w Proxmox VE wykorzystywanych w domowym laboratorium obejmują:

  • Sieć VLAN do zarządzania: Tylko dla interfejsu graficznego Proxmox, SSH i narzędzi administracyjnych.
  • Sieci VLAN dla maszyn wirtualnych: Dla określonych obciążeń, takich jak serwery WWW, bazy danych lub środowiska programistyczne.
  • Sieć VLAN dla pamięci masowej: Przeznaczona dla serwerów NAS, NFS, iSCSI lub serwera kopii zapasowych Proxmox.
  • Sieć VLAN dla IoT: Oddziel urządzenia inteligentnego domu od infrastruktury krytycznej.

Korzystanie z sieci VLAN minimalizuje powierzchnię ataku i zapewnia następujące korzyści:

  • Ogranicza rozprzestrzenianie się złośliwego oprogramowania między różnymi sieciami VLAN.
  • Uniemożliwia zainfekowanym maszynom wirtualnym dostęp do zarządzania Proxmox.
  • Wymusza ścisłą kontrolę dostępu między usługami.

Na przykład, jeśli złośliwe oprogramowanie zainfekuje maszynę wirtualną podłączoną do sieci VLAN 20 i rozprzestrzeni się w sieci, nie będzie mogło uzyskać dostępu do interfejsu zarządzania hostem Proxmox podłączonego do sieci VLAN 10.

Zaleca się skonfigurowanie zapory sieciowej Proxmox i reguł zapory w trzeciej warstwie modelu OSI, oprócz skonfigurowania sieci VLAN w drugiej warstwie.

  • Zezwól na dostęp SSH do Proxmox tylko z sieci VLAN administratora 10 (192.168.10.0/24).
  • Zablokuj całą komunikację między siecią VLAN gości 30 (192.168.30.0/24) a siecią VLAN zarządzania Proxmox.
  • Zezwól na dostęp do NAS tylko maszynom wirtualnym, które tego wymagają, a nie całej sieci.

Przykład architektury VLAN dla domowego laboratorium Proxmox przedstawiono w tabeli.

ID sieci VLAN Cel Podsieć Dostęp
10 Zarządzanie 192.168.10.0/24 Interfejs graficzny Proxmox, SSH, Zarządzanie hiperwizorem
20 Sieć serwerów/maszyn wirtualnych 192.168.20.0/24 Serwery WWW, serwery aplikacji, maszyny wirtualne baz danych
30 VLAN gości 192.168.30.0/24 Urządzenia o minimalnym poziomie zaufania (laptopy gości, IoT)
40 VLAN magazynu 192.168.40.0/24 NFS, iSCSI, NAS, serwer kopii zapasowych Proxmox
50 DMZ (sieciowa strefa zastrzeżona) 192.168.50.0/24 Publiczne serwery WWW, serwery proxy odwrotne

Użyj przełącznika zarządzalnego do utworzenia sieci VLAN i oznaczenia portów podłączonych do Proxmox. Sieci VLAN można utworzyć w konfiguracji sieci Proxmox, podczas edycji pliku /etc/network/interfaces

Poniżej znajduje się przykładowa zawartość pliku konfiguracyjnego służącego do tworzenia sieci VLAN na interfejsach mostkowych:

auto vmbr0

iface vmbr0 inet manual

bridge-ports eno1

bridge-stp off

bridge-fd 0

# Management VLAN (ID 10)

auto vmbr0.10

iface vmbr0.10 inet static

address 192.168.10.2/24

vlan-raw-device vmbr0

# VM VLAN (ID 20)

auto vmbr0.20

iface vmbr0.20 inet static

address 192.168.20.2/24

vlan-raw-device vmbr0

Ogranicz dostęp do zbędnych portów

Atakujący mogą wykorzystać otwarte porty różnych usług, aby uzyskać dostęp do hosta Proxmox poprzez istniejące luki w zabezpieczeniach. Zablokuj dostęp przez zbędne porty za pomocą zapory sieciowej lub ogranicz dostęp do adresu IP Proxmox i określonych portów wyłącznie do zaufanych adresów IP zdefiniowanych ręcznie. Ponieważ Proxmox jest systemem typu oparty na systemie Linux , Proxmox VE wykorzystuje potężną zaporę opartą na iptables. W przypadku korzystania z klastra Proxmox zapora przechowuje konfigurację i działa na każdym węźle klastra.

Aby uzyskać dostęp do konfiguracji zapory Proxmox w interfejsie internetowym Proxmox VE, przejdź do Datacenter > Firewall > Security rules i dodaj nową grupę z niestandardowymi regułami zapory.

Skonfiguruj maszynę wirtualną z zaporą sieciową lub routerem

Uruchomienie zapory sieciowej na hoście lub klastrze Proxmox może chronić nie tylko hosty Proxmox w domowym laboratorium Proxmox. Można skonfigurować dedykowaną maszynę wirtualną przeznaczoną do zadań związanych z zaporą sieciową, aby chronić całą sieć i wszystkie podłączone urządzenia. Taka konfiguracja jest powszechnie nazywana architekturą „wirtualnej zapory sieciowej” lub „maszyny wirtualnej z zaporą sieciową”. W ten sposób można przeprowadzić wdrażanie popularnych rozwiązań zapory sieciowej, takich jak pfSense, OPNsense lub zaporów opartych na systemie Linux, np. iptables.

Należy pamiętać, że ta konfiguracja domowego laboratorium Proxmox z maszyną wirtualną z zaporą sieciową może być wygodna, jeśli host Proxmox działa w trybie ciągłym. Jeśli jest on okresowo wyłączany, maszyna wirtualna z zaporą sieciową używana dla całej sieci również zostanie wyłączona. Może to powodować problemy, jeśli maszyna wirtualna z zaporą sieciową jest używana do dostępu do Internetu dla wszystkich urządzeń w sieci (w tym przypadku wygodniejsze może być użycie fizycznego urządzenia skonfigurowanego jako zapora sieciowa). Przed podjęciem decyzji o użyciu maszyny wirtualnej z zaporą sieciową należy przeanalizować zalety i wady tej konfiguracji w danym środowisku.

Szyfrowanie dysków ZFS w celu ochrony danych

Jeśli korzystasz z systemu plików ZFS na hoście Proxmox i potrzebujesz najwyższego poziomu bezpieczeństwa, rozważ włączenie szyfrowania ZFS w Proxmox, aby zaszyfrować pule pamięci masowej i zapobiec nieautoryzowanemu dostępowi do dysków zawierających dane. Zachowaj ostrożność przed wykonaniem jakichkolwiek operacji na dyskach i systemach plików. Wykonaj kopię zapasową ważnych danych przed zmianą konfiguracji magazynu

Przykład szyfrowania puli ZFS na hoście Proxmox:

zfs create pool-name/safe -o encryption=on -o keyformat=passphrase

Nigdy nie udostępniaj Proxmox w publicznej sieci internetowej

Nie zezwalaj na publiczny dostęp do hosta Proxmox z Internetu. Jeśli musisz zapewnić dostęp do hosta Proxmox z lokalizacji zewnętrznych, skonfiguruj zaporę sieciową tak, aby zezwalała na dostęp do hosta Proxmox z określonych adresów IP poprzez wyraźne zdefiniowanie adresów IP i numerów portów. W tym celu można użyć przekierowania portów w zaporze sieciowej. Alternatywnie skonfiguruj serwer VPN w środowisku, w którym znajduje się domowe laboratorium Proxmox, i używaj połączenia VPN, aby uzyskać dostęp do hosta Proxmox z sieci zewnętrznych.

Monitorowanie i audyt Bezpieczeństwo Proxmox

Monitorowanie Hosty Proxmox w domowym laboratorium mogą pomóc w poprawie ogólnego poziomu bezpieczeństwa. Monitoruj logi na hoście Proxmox i zwracaj uwagę na wykorzystanie Procesora, pamięci RAM i dysku.

Upewnij się, że wbudowane logi Proxmox są włączone:

  • Syslog: /var/log/syslog – Ogólne logi systemowe.
  • Authentication: /var/log/auth.log – Próby logowania przez SSH i GUI.
  • Proxmox-specific logs: /var/log/pve/ – Logi związane z usługami Proxmox.

Dodatkowo można korzystać ze specjalnych scentralizowanych narzędzi monitorujących (rozwiązań bezpłatnych lub płatnych) do monitorowania hostów Proxmox oraz systemów operacyjnych gości na maszynach wirtualnych. Należy skonfigurować alerty i powiadomienia, aby jak najszybciej rozwiązywać ewentualne problemy.

Podczas konfiguracji automatycznego uwierzytelniania należy zwrócić uwagę na następujące warunki:

  • Ponad 5 nieudanych prób logowania przez SSH w ciągu 5 minut.
  • Wykorzystanie procesora maszyny wirtualnej utrzymuje się powyżej 90% przez ponad 10 minut.
  • Wykrycie nieoczekiwanego otwartego portu na hoście Proxmox.

Przeprowadzaj okresowe audyty i skanowanie bezpieczeństwa. Regularnie instaluj poprawki bezpieczeństwa i aktualizacje, aby naprawić znane luki w zabezpieczeniach. Sprawdź reguły zapory sieciowej, aby upewnić się, że są optymalne, biorąc pod uwagę najnowsze zmiany w infrastrukturze.

Ochrona Kopia zapasowa Proxmox przed oprogramowaniem wymuszającym okup

Kopie zapasowe Proxmox pozwalają chronić dane w środowisku wirtualnym Proxmox. Regularnie wykonuj kopie zapasowe maszyn wirtualnych i przechowuj je w bezpiecznym miejscu. Jeśli oprogramowanie ransomware zainfekuje maszyny wirtualne i nieodwracalnie zaszyfruje dane, możesz przywrócić kopie zapasowe, aby uniknąć utraty danych. Należy jednak pamiętać, że kopie zapasowe również stanowią cel dla oprogramowania wymuszającego okup. Upewnij się, że dostęp do magazynu i aplikacji służących do wykonywania kopii zapasowych mają wyłącznie uprawnieni użytkownicy.

Korzystaj z fizycznie odłączonych magazynów oraz niezmienność kopii zapasowej , aby zapewnić optymalną ochronę przed oprogramowaniem wymuszającym okup dla domowego laboratorium Proxmox i kopii zapasowych Proxmox. Pamięć masowa typu fizycznie odłączona może być dyskiem twardym (HDD), dyskiem optycznym, kasetą taśmową itp. Niezmienność kopii zapasowych to funkcja wykorzystująca podejście WORM (write-once-read-many). Po zapisaniu danych nie można ich modyfikować ani usuwać, dopóki nie upłynie okres niezmienności.

NAKIVO Backup & Replication to dedykowane rozwiązanie do ochrony danych, które oferuje wsparcie dla funkcji Wykonać kopię zapasową Proxmox dla maszyn wirtualnych oraz niezmienność. Niezmienne kopie zapasowe można skonfigurować w lokalnym repozytoria kopii zapasowych podłączonym do systemu Linux Przewoźnicy, Amazon S3, chmurze oraz magazynie obiektowym zgodnym z usługą S3.

Wnioski

Skuteczne środki bezpieczeństwa Proxmox obejmują silną politykę uwierzytelniania, segmentację sieci, ograniczenia dostępu w zaporze sieciowej, zabezpieczenia SSH Proxmox, monitorowanie środowiska, tworzenie kopii zapasowych danych oraz ochronę przed oprogramowaniem wymuszającym okup. Wprowadź te środki w swoim Proxmox w środowisku laboratoryjnym, aby zmniejszyć ryzyko infekcji złośliwym oprogramowaniem i zapobiec utracie danych. Użyj NAKIVO Backup & Replication do wykonywania kopii zapasowych maszyn wirtualnych Proxmox i chroń kopie zapasowe przed oprogramowaniem wymuszającym okup, korzystając z niezmienności.

Wypróbuj NAKIVO Backup & Replication

Wypróbuj NAKIVO Backup & Replication

Skorzystaj z bezpłatnej wersji próbnej, aby poznać wszystkie funkcje rozwiązania w zakresie ochrony danych. 15 dni za darmo. Bez żadnych ograniczeń dotyczących funkcji ani pojemności. Nie trzeba podawać danych karty kredytowej.

People also read