Proxmox 家庭實驗室的安全防護:逐步指南

為了更深入了解 Proxmox 的特點與特性,新使用者通常會選擇建立一個稱為"Proxmox 家庭實驗室"的測試環境。在設定 Proxmox 家庭實驗室時,務必採取適當的安全措施。本文將介紹您應實施的 Proxmox 安全最佳實踐,以防止資料遺失並抵禦網路威脅。

NAKIVO for Proxmox 備份

NAKIVO for Proxmox 備份

適用於 Proxmox VE 的無代理、應用程式感知備份解決方案,提供多種備份目標,包括不可變雲端備份。具備多種即時細粒度還原與完整還原選項。

為何確保 Proxmox Home Lab 的安全性至關重要

若未採取適當的安全措施,您的 Proxmox 環境將可能面臨網路威脅、資料外洩及未經授權存取的風險。無論是個人或專業用途,Proxmox 家庭實驗室的安全性都至關重要。未經授權的使用者若存取 Proxmox 主機,將可能危及主機、虛擬機器、 NAS設備 以及連接到該網路的其他主機。未經授權的存取可能導致惡意軟體和勒索軟體感染,進而造成資料外洩與損失。

由於 Proxmox 主機通常運行於實體硬體上,攻擊者可利用這些硬體資源進行加密貨幣挖礦、從事其他網路犯罪活動、將 Proxmox 主機納入殭屍網路、執行惡意腳本等。這些因素可能會大幅降低主機與虛擬機器的效能。

Proxmox 的基本安全措施

為了降低 Proxmox 家庭實驗室遭未經授權存取的風險,您應了解如何保護 Proxmox 環境,並實施必要的安全措施。

設定強密碼並啟用雙重驗證

為管理帳戶設定強密碼是第一道防線。請使用至少 8 個字元的獨特密碼。密碼應包含小寫字母、大寫字母、數字及特殊字元。您可使用符合這些需求的密碼短語,以便於記憶。符合複雜度需求的強密碼能有效阻擋攻擊者,因為暴力破解攻擊難以攻破此類密碼。

為提升安全性,您可以設定雙因素驗證(多因素驗證(MFA 或 2FA)。Proxmox 支援透過多種方式設定雙因素驗證,例如使用基於時間的一次性密碼(TOTP)或 YubiKey OTP。您可以在 Permissions > Two Factor 在 Proxmox VE 的網頁介面中。

加強 SSH 存取安全性

Proxmox 的管理是透過圖形化網頁使用者介面進行,但最詳細的設定可透過 SSH 連線在命令列中完成。Proxmox 主機上提供 SSH 伺服器,其運作方式類似於 Linux 機器上用於主機管理的 SSH 伺服器。若攻擊者能取得主機的 SSH 存取權限,便能獲得完整控制權並執行惡意軟體。

您可以實施額外的安全措施以降低未經授權存取的風險。例如,您可以將標準 SSH 埠 (22) 變更為自訂埠 (9522)。停用 root 登入並使用 sudo 以取得管理員權限。透過 SSH 登入時,使用公鑰取代密碼雖然需要更複雜的設定,但能提供更高的安全性。

實施 VLAN 以進行網路區隔

您應考慮設定一個 VLAN 若您想將任何可能存在安全漏洞的裝置連接到 Proxmox 主機或虛擬機器所屬的網路中,VLAN 可在 OSI 模型的第二層進行網路分段,讓您在同一物理網路中邏輯性地隔離裝置。

在 Proxmox VE 家用實驗室中,VLAN 的應用範例包括:

  • 管理 VLAN: 僅適用於 Proxmox 圖形介面、SSH 及管理工具。
  • 虛擬機器 VLAN: 適用於特定工作負載,例如網頁伺服器、資料庫或開發環境。
  • 儲存 VLAN: 專用於 NAS、NFS、iSCSI 或 Proxmox 備份伺服器。
  • 物聯網 VLAN: 將智慧家庭裝置與關鍵基礎設施隔離。

使用 VLAN 可將攻擊面降至最低,並提供以下優勢:

  • 限制惡意軟體在不同 VLAN 之間的傳播。
  • 防止遭入侵的虛擬機器存取 Proxmox 管理介面。
  • 在服務之間實施嚴格的存取控制。

例如,若惡意軟體感染了連接到 VLAN 20 的虛擬機器並在網路上擴散,它將無法存取連接到 VLAN 10 的 Proxmox 主機管理介面。

建議您除了在 OSI 模型的第二層配置 VLAN 之外,還應在第三層配置 Proxmox 防火牆及防火牆規則。

  • 僅允許從管理 VLAN 10(192.168.10.0/24)存取 Proxmox 的 SSH 服務。
  • 禁止訪客 VLAN 30(192.168.30.0/24)與 Proxmox 管理 VLAN 之間的所有通訊。
  • 僅允許需要 NAS 存取權限的虛擬機器存取 NAS,而非整個網路。

下表展示了一個適用於 Proxmox 家庭實驗室的 VLAN 架構範例。

VLAN ID 目的 子網 存取
10 管理 192.168.10.0/24 Proxmox 圖形介面、SSH、虛擬化平台管理
20 伺服器/虛擬機器網路 192.168.20.0/24 網頁伺服器、應用程式伺服器、資料庫虛擬機器
30 訪客 VLAN 192.168.30.0/24 信任程度最低的裝置(訪客筆記型電腦、物聯網裝置)
40 儲存 VLAN 192.168.40.0/24 NFS、iSCSI、NAS、Proxmox 備份伺服器
50 DMZ(對外公開) 192.168.50.0/24 公開網頁伺服器、反向代理伺服器

請使用管理型交換器來建立 VLAN,並為連接至 Proxmox 的埠加上標籤。您可以在 Proxmox 的網路設定中,透過編輯 /etc/network/interfaces

以下是於橋接介面上建立 VLAN 的設定檔內容範例:

auto vmbr0

iface vmbr0 inet manual

bridge-ports eno1

bridge-stp off

bridge-fd 0

 

# Management VLAN (ID 10)

auto vmbr0.10

iface vmbr0.10 inet static

address 192.168.10.2/24

vlan-raw-device vmbr0

 

# VM VLAN (ID 20)

auto vmbr0.20

iface vmbr0.20 inet static

address 192.168.20.2/24

vlan-raw-device vmbr0

 

限制不必要的端口存取

攻擊者可能會利用各種服務的開放埠,透過現有漏洞存取 Proxmox 主機。請透過防火牆關閉不必要的埠,或將存取權限限制在 Proxmox IP 位址及特定埠上,僅允許手動定義的可信 IP 位址進行存取。由於 Proxmox 是一款 基於 Linux 在 Proxmox VE 系統中,採用了基於 iptables 的強大防火牆。若您使用的是 Proxmox 叢集,防火牆會將設定儲存並在每個叢集節點上運行。

若要在 Proxmox VE 網頁介面中存取 Proxmox 防火牆設定,請前往 Datacenter > Firewall > Security rules 並新增一個具有自訂防火牆規則的群組。

建立防火牆或路由器虛擬機器

在 Proxmox 主機或叢集上運行防火牆,不僅能保護 Proxmox 家庭實驗室中的 Proxmox 主機,還能提供更廣泛的防護。 您可以設定一台專用的虛擬機器(VM)來執行防火牆任務,藉此保護整個網路及所有連線裝置。此種架構通常被稱為"虛擬防火牆"或"防火牆 VM"架構。像 pfSense、OPNsense 這樣的熱門防火牆解決方案,或是基於 Linux 的防火牆(例如 iptables),皆可透過此方式部署。

請注意,若 Proxmox 主機處於持續運行狀態,這種配備防火牆 VM 的 Proxmox 家庭實驗室架構會相當便利。 若主機會定期關機,用於保護整個網路的防火牆虛擬機器也會隨之關閉。若該防火牆虛擬機器負責為網路中所有裝置提供網際網路存取服務,此情況可能引發問題(在此情況下,使用配置為防火牆的實體設備可能更為便利)。在決定是否採用防火牆虛擬機器之前,您應先評估此配置在您環境中的優缺點。

為資料保護而加密 ZFS 磁碟

如果您在 Proxmox 主機上使用 ZFS 檔案系統,且需要最高的安全等級,請考慮為 Proxmox 啟用 ZFS 加密功能,以加密儲存池並防止未經授權存取含有資料的磁碟機。在對磁碟和檔案系統執行任何操作前,請務必謹慎。變更儲存配置前,請先備份重要資料

以下是在 Proxmox 主機上加密 ZFS 儲存池的範例:

zfs create pool-name/safe -o encryption=on -o keyformat=passphrase

切勿將 Proxmox 暴露於公共網際網路中

請勿允許從網際網路直接存取 Proxmox 主機。若您需要從外部位置存取 Proxmox 主機,請透過在防火牆中明確指定 IP 位址和連接埠號碼,來設定僅允許特定 IP 位址存取您的 Proxmox 主機。 您可以透過防火牆的端口轉發功能來達成此目的。或者,您也可以在 Proxmox 家庭實驗室的部署位置上設定 VPN 伺服器,並透過 VPN 連線從外部網路存取 Proxmox 主機。

監控與稽核 Proxmox 安全性

監測 在家庭實驗室中部署 Proxmox 主機有助於提升整體安全性。請監控 Proxmox 主機的日誌,並密切關注 CPU、記憶體及磁碟的使用狀況。

請確保已啟用 Proxmox 的內建日誌功能:

  • Syslog: /var/log/syslog – 一般系統日誌。
  • Authentication: /var/log/auth.log – 透過 SSH 和圖形介面進行的登入嘗試。
  • Proxmox-specific logs: /var/log/pve/ – 與 Proxmox 服務相關的日誌。

此外,您可使用專用的集中式監控工具(免費或付費方案)來監控 Proxmox 主機及虛擬機器上的客體作業系統。設定警示與通知,以便盡快解決可能出現的問題。

設定自動驗證時,請注意以下條件:

  • 5 分鐘內 SSH 登入嘗試超過 5 次。
  • 某台虛擬機器的 CPU 使用率持續超過 10 分鐘,且維持在 90% 以上。
  • 在 Proxmox 主機上偵測到一個未預期的開放埠。

定期執行稽核與安全掃描。定期安裝安全修補程式與更新,以修復已知漏洞。檢視防火牆規則,確保其設定最佳化,並考量最新的基礎架構變更。

保護 Proxmox 備份來自勒索軟體

Proxmox 備份功能可協助您保護 Proxmox 虛擬環境中的資料。請定期備份虛擬機器,並將備份儲存於安全之處。若勒索軟體感染虛擬機器並將資料不可逆地加密,您可還原備份以避免資料遺失。然而,備份本身也是勒索軟體的攻擊目標。請確保僅授權使用者能存取備份儲存裝置及相關應用程式。

請使用空間隔離的儲存裝置,並 備份不可變性 以確保您的 Proxmox 家庭實驗室及 Proxmox 備份獲得最佳的勒索軟體防護。空間隔離儲存裝置可以是物理上與網路斷開連接的硬碟 (HDD)、光碟、磁帶盒等。備份不可變性是一項採用"一次寫入、多次讀取"(WORM)特點。一旦資料寫入,在不可變性期限屆滿前,便無法進行修改或刪除。

NAKIVO Backup & Replication 是一款專用的資料保護解決方案,支援 Proxmox 備份 適用於虛擬機器與不可變性。不可變備份可在本地端進行設定 備份儲存庫 與 Linux 相關 運輸業者, Amazon S3、雲端服務以及與 S3 相容的物件儲存。

結論

Proxmox 的高效安全措施包括:強效的驗證政策、網路分段、防火牆存取限制、Proxmox SSH 安全性、環境監控、資料備份以及勒索軟體防護。請在實驗室環境中的 Proxmox 系統中實施這些措施,以降低惡意軟體感染的風險並防止資料遺失。請使用 NAKIVO Backup & Replication 備份 Proxmox 虛擬機器,並利用不可變性機制保護備份免受勒索軟體攻擊。

試試看 NAKIVO Backup & Replication

試試看 NAKIVO Backup & Replication

立即申請免費試用,全面體驗本解決方案的所有資料保護特點。15 天免費試用。無功能或容量限制。無需提供信用卡資訊。

People also read