Proxmox — бұл виртуализация үшін ашық бастапқы кодты қуатты және икемді платформа, бірақ ол басқа жүйелер сияқты қауіпсіздік қаупіне ұшырауы мүмкін. Осы мақалада біз Proxmox гипервизорын бұзудан қорғау үшін нақты қадамдар мен стратегияларды қарастырамыз, жүйені және виртуализацияланған жұмыс жүктемелерін қорғауды қамтамасыз ету үшін платформаның мүмкіндіктері мен таралған шабуыл әдістерін ескере отырып талдаймыз.
1. Жүйені жаңарту және патчтар
Қауіпсіздіктің негізгі элементтерінің бірі — жүйенің барлық компоненттерін, оның ішінде Proxmox-ты, операциялық жүйені және ядроны үнемі жаңартып отыру.
Жаңартулар үшін қадамдар:
-
Proxmox жүйесін жаңарту: Proxmox-тың соңғы нұсқасын пайдалануға кепілдік беру үшін репозиторийлер мен жүйені үнемі жаңартып отырыңыз:
apt update && apt dist-upgradeБұл тек Proxmox пакеттерін ғана емес, оған тәуелді барлық пакеттерді де жаңартады. Серверде соңғы нұсқаның орнатылғанына әрқашан көз жеткізіңіз, себебі бұл қауіпсіздік патчтарын алуға мүмкіндік береді.
-
Ядроны жаңарту: Ядроны жаңартып, оның белгілі бір осалдықтардан арылғанына көз жеткізу үшін келесі команданы пайдаланыңыз:
apt install --install-recommends linux-image-amd64Бұл Debian үшін соңғы ядро жаңартуларын орнатады, ол Proxmox негізінде жұмыс істейді. Ядро орнатылғаннан кейін серверді қайта іске қосыңыз:
reboot -
Қауіпсіздік компоненттерін жаңарту: Қауіпсіздікке қатысты маңызды жаңартулар үшін келесі команданы пайдаланыңыз:
apt-get upgrade -y
Сонымен қатар, автоматты жаңартуларды қосып, жүйенің қауіпсіздік патчтарын автоматты түрде қолдануын қамтамасыз ету ұсынылады. Ол үшін unattended-upgrades қызметін орнатыңыз:
apt install unattended-upgrades
dpkg-reconfigure --priority=low unattended-upgrades
2. Брандмауэр және трафикті сүзу
Дұрыс конфигурацияланған брандмауэр және трафикті сүзу — қауіпсіздіктің ең маңызды қадамдарының бірі. Тек жүйе үшін қажетті порттарды ғана ашып, сырттан қол жеткізуді шектеу көмектеседі.
ufw (Uncomplicated Firewall) орнату
Proxmox Debian жүйесін қолданатындықтан, брандмауэрды ufw көмегімен оңай баптай аласыз. Негізгі конфигурация мысалы:
-
ufwорнату:apt install ufw -
Оны қосу:
ufw enable -
Тек қажетті порттарды ашыңыз. Мысалы, Proxmox үшін веб-интерфейске 8006 порты, SSH-ға 22 порты және VPN (егер пайдаланылса) үшін порттарды ашыңыз:
ufw allow from <trusted_ip> to any port 8006 proto tcp ufw allow from <trusted_ip> to any port 22 proto tcp ufw allow 1194/udp # Егер OpenVPN қолдансаңыз -
Қолданылмайтын барлық порттарды жабу:
ufw default deny incoming ufw default allow outgoing -
Брандмауэрдың күйін тексеру:
ufw status
Күрделі конфигурация үшін iptables немесе nftables қолдануға болады, бірақ көбінесе ufw құралдары жеткілікті.
3. Proxmox веб-интерфейсін қорғау
Proxmox веб-интерфейсі — ең осал орындардың бірі, себебі оған қол жеткізу жүйеге кең мүмкіндіктер береді.
HTTPS қолдану
HTTPS орнату деректерді тасымалдау кезінде қорғауды қамтамасыз ету үшін өте маңызды. Бұл үшін SSL сертификатын орнату қажет.
-
Өзіндік қолтаңба сертификаты: Егер сізде сертификат жоқ болса, өзіндік қолтаңба сертификатын жасауға болады:
openssl req -new -newkey rsa:2048 -days 365 -nodes -x509 -keyout /etc/ssl/private/proxmox.key -out /etc/ssl/certs/proxmox.crt -
Proxmox-ты SSL пайдалану үшін конфигурациялау: Сертификатты Proxmox конфигурация каталогына көшіру:
mv /etc/ssl/private/proxmox.key /etc/pve/local/pve-ssl.key mv /etc/ssl/certs/proxmox.crt /etc/pve/local/pve-ssl.pem -
Proxmox-ты қайта іске қосу:
systemctl restart pveproxy
Енді Proxmox веб-интерфейсі HTTPS арқылы байланысады.
Көп факторлы аутентификация (MFA)
Қауіпсіздікті арттыру үшін Google Authenticator немесе басқа қосымша арқылы көп факторлы аутентификацияны қосуға болады.
-
MFA орнату үшін пакетті орнату:
apt install pam_google_authenticator -
Пайдаланушы үшін MFA орнату: MFA қосу үшін
google-authenticatorпәрменін пайдаланыңыз:google-authenticator -
PAM конфигурациясын MFA қосу үшін баптау: SSH конфигурациясын ашып, келесі жолды қосыңыз:
vi /etc/pam.d/sshd auth required pam_google_authenticator.so -
SSH-ны қайта іске қосу:
systemctl restart sshd
Енді жүйеге кіру үшін тек құпия сөз ғана емес, сонымен бірге Google Authenticator қосымшасынан алынған код қажет болады.
IP бойынша қолжетімділікті шектеу
Веб-интерфейске шабуылдардың ықтималдығын азайту үшін IP бойынша қолжетімділікті шектеу ұсынылады. Мұны ufw немесе Proxmox деңгейінде брандмауэр арқылы орнатуға болады.
Мысалы:
ufw allow from <your_trusted_ip> to any port 8006 proto tcp
4. SSH арқылы серверге қол жеткізуді қорғау
SSH сессияларын қауіпсіз ету үшін оларды максималды қауіпсіздік үшін баптау керек.
Құпия сөзбен кіруді өшіру
Құпия сөзбен кірудің орнына SSH кілттерін пайдалану жүйесін орнату қажет.
-
SSH кілттерімен аутентификацияны қосу: Парольмен кіруді өшіру үшін SSH конфигурациясын баптаңыз:
vi /etc/ssh/sshd_config PasswordAuthentication no -
SSH-ны қайта іске қосу:
systemctl restart sshd
Брутфорс шабуылдарынан қорғау
Парольдерді жоюдан кейін де, брутфорс шабуылдарынан қорғау маңызды. Ол үшін fail2ban құралын орнату керек.
-
fail2banорнату:apt install fail2ban -
SSH арқылы логиндерге шектеу қою үшін
fail2banконфигурациясын орнату:/etc/fail2ban/jail.localфайлын ашып, келесі баптауларды қосыңыз:[sshd] enabled = true port = ssh logpath = /var/log/auth.log maxretry = 3 bantime = 600 -
fail2banқайта іске қосу:systemctl restart fail2ban
Енді 3-тен артық сәтсіз кіруге тырысқан IP адресі 10 минутқа блокталады.
5. Контейнерлер мен виртуалдық машиналарды қорғау
Proxmox виртуалдық машиналарды (VM) және контейнерлерді (LXC) іске қосуға мүмкіндік береді. Оларды қорғау маңызды, себебі бір контейнерден немесе виртуалды машинаның ішінен басқа контейнерге немесе виртуалды машинаға шабуыл жасау оңай болуы мүмкін.
Пайдаланушы құқықтарын шектеу
Пайдаланушыларға виртуалды машиналарға немесе контейнерлерге толық құқықтар бермеңіз. Оның орнына, қолданушылардың әрекеттерін шектеу үшін рөлдер бойынша қолжетімділікті (RBAC) пайдаланыңыз.
Шектеулі пайдаланушы жасау мысалы:
pveum useradd limited_user@pve -password yourpassword
pveum aclmod /vms/100 -user limited_user@pve -role PVEVMUser
Бұл пайдаланушы тек 100 ID-і бар виртуалды машинаны басқаруға қол жеткізе алады.
SELinux немесе AppArmor қолдану
SELinux немесе AppArmor жүйелерді қорғау үшін қолданылуы мүмкін. Олар контейнерлер мен виртуалды машиналарға қатал қауіпсіздік саясаттарын орнатуға көмектеседі.
SELinux орнату:
apt install selinux-utils
AppArmor орнату:
apt install apparmor apparmor-utils
Қорытынды
Proxmox гипервизорын қорғау үшін кешенді тәсіл қажет: жаңартулар мен патчтардан бастап SSH, веб-интерфейс және виртуалды машиналар үшін қауіпсіздік баптауларына дейін. Бұл әдістер мен құралдарды пайдалану жүйеңіздің қауіпсіздігін айтарлықтай арттыруға және шабуылдардан қорғауға көмектеседі.
| Реклама Google |
 |
Назар аударыңыз! Бұл мақала ресми құжат емес.Ақпаратты сақтықпен және сынақ ортасында пайдалану керек.
Заманауи сақтық көшірме жасау, репликациялау, деректерді синхрондау және төлемдік бағдарламадан қорғау жүйелерін құру туралы сұрақтарыңыз болса, қазіргі заманғы деректердің сақтық көшірмесін жасау және қалпына келтіру технологиялары бойынша кеңес алу үшін біздің компанияға хабарласыңыз . Біздің компанияның осы салада 20 жылдан астам тәжірибесі бар. |
||||
Қазақстандағы резервтік көшірудің ең жақсы он тәжірибесі
- oVirt гипервизорын қорғау — терең талдау
- oVirt жүйесінен Proxmox жүйесіне виртуалды машинаны көшіру
- Proxmox-тан oVirt-ке виртуалды машинаны көшіру
- Kubernetes контейнерлерін қорғау — терең талдау
- Proxmox гипервизорын бұзудан қалай қорғауға болады - Терең талдау
- Fail2Ban-ды oVirt жүйесін қорғауда қолдану - Терең талдау
- oVirt гипервизорын сақтандыруды ұйымдастыру — Терең талдау
- Виртуалды машинаны гипервизорлар арасында Proxmox арқылы көшіру
- Proxmox гипервизорын виртуалды машиналардың оңтайлы жұмысын қамтамасыз ету үшін конфигурациялау
- Proxmox-те SSH арқылы root құқықтарының бұзылуынан қорғау: терең талдау
