Proxmox VE (Virtual Environment) — Debian Linux негізіндегі виртуализация платформасы, виртуалдық машиналармен, контейнерлермен және деректер қоймаларын басқаруға арналған түрлі компоненттерді қамтиды. Жүйенің маңызды бөлігі — барлық әкімшілік құқықтарға ие root пайдаланушысы. Теориялық тұрғыдан root пайдаланушының атын өзгерту мүмкін болса да, бұл өте қажетсіз, себебі бірнеше себептермен бұл жүйенің жұмысын бұзып, қауіпсіздік мәселелерін тудыруы мүмкін.
Бұл мақалада Proxmox жүйесінде root пайдаланушысын қайта атаудың техникалық қиындықтарын және мұндай әрекеттің нәтижесінде туындайтын мәселелерді қарастырамыз.
1. root пайдаланушысын қайта атау қауіпсіздік стандарттарын бұзады
root пайдаланушысы — Unix тәрізді операциялық жүйелерде, соның ішінде Linux-та суперпайдаланушы құқықтары бар стандартты тіркелгі. Бұл ат жүйелік қызметтер, утилиталар мен конфигурациялық файлдармен тығыз байланыста болады. Егер пайдаланушы атын өзгерту қажет болса, көптеген аутентификация және авторизация механизмдері бұзылады, мысалы, Proxmox жүйесінің Web интерфейсі, SSH және API сияқты қызметтермен жұмыс істегенде мәселе туындайды.
Аутентификация мәселелері
SSH қызметінің конфигурациясы мысалы:
# /etc/ssh/sshd_config
PermitRootLogin yes
Егер root пайдаланушысының атын newroot деп өзгерткен болсаңыз, онда SSH қызметі жаңа пайдаланушыны root деп күтеді, бірақ ол newroot деген атпен жұмыс істей алмайды. Бұл жағдайда сіз SSH арқылы жүйеге кіре алмайсыз:
# SSH арқылы қосылуға әрекет жасау:
ssh root@your-proxmox-server
# Қате: Пайдаланушы root табылмады.
Осыдан кейін сіз SSH конфигурациясын өзгертуіңіз керек болады, бұл қосымша қиындықтар мен қателіктерге әкелуі мүмкін.
Proxmox веб-интерфейсімен мәселелер
Proxmox VE веб-интерфейсі виртуалдық машиналар мен контейнерлерді басқаруға арналған. Бұл интерфейс аутентификация үшін стандартты root пайдаланушысының тіркелгісін пайдаланады. Егер пайдаланушының атын өзгерткен болсаңыз, веб-браузер арқылы басқару панеліне кіру мүмкін болмайды.
Веб-интерфейстің конфигурациясы мысалы:
# /etc/pve/local/pve-ssl.key
# /etc/pve/local/pve-ssl.pem
Аутентификация процесі әлі де root пайдаланушысының тіркелгісін күтеді. Егер ат өзгертілсе, барлық сілтемелер мен жолдарды қолмен өзгерту қажет болады, бұл жүйенің тұрақсыздығына әкеледі.
2. Жүйе мен жаңартулармен үйлесімсіздік мәселелері
Proxmox Debian негізінде құрылғандықтан, көптеген конфигурациялық файлдар мен сценарийлер жүйенің стандартты пайдаланушысы root тіркелгісіне қатты байланысты. Егер сіз осы пайдаланушының атын өзгерткен болсаңыз, жүйенің жұмысы бұзылады, сондықтан қызметтердің жұмысында ақаулар туындауы мүмкін және жаңартуларды орнату мүмкін болмайды.
Пакеттерді орнату мәселелері
APT арқылы жаңартулар мен пакеттерді орнатқанда, Proxmox жүйесі орнату командаларын суперпайдаланушының құқықтарымен орындау үшін root тіркелгісін пайдаланады. Егер пайдаланушының атын өзгерткен болсаңыз, келесі қателіктер пайда болуы мүмкін:
# Пакетті орнатуға әрекет жасау:
apt-get update
# Қате: Операцияны орындау үшін жеткілікті құқықтар жоқ.
Жаңарту процесі немесе пакеттерді орнату кезінде жүйе әлі де root пайдаланушысын күтетінін ескере отырып, оның атын өзгерткен соң, бұл операциялар сәтсіз аяқталады.
Конфигурациялық файлдармен мәселелер
Proxmox жүйесінде көптеген конфигурациялық файлдар root пайдаланушысына байланысты жасалады. Мысалы, /etc/passwd файлының ішінде келесі жазба бар:
root:x:0:0:root:/root:/bin/bash
Егер пайдаланушының атын өзгерткен болсаңыз, жүйе бұл тіркелгіні дұрыс танымайтын болады, сондықтан қызметтер іске қосылмайды, ал командаларды орындау кезінде қателіктер орын алады.
3. Proxmox басқару құралдарымен үйлесімсіздік мәселелері
Proxmox бірнеше құралдар мен утилиталарды қолданады, олар әкімшілік тапсырмаларды орындау үшін root пайдаланушысының тіркелгісіне сүйенеді. Егер сіз root пайдаланушысының атын өзгерткен болсаңыз, осы құралдар дұрыс жұмыс істемейді.
Proxmox API-і
Proxmox VE REST API интерфейсі жүйемен өзара әрекеттесуге мүмкіндік береді. API сұрауларында root@pam тіркелгісін пайдалану қажет. Егер пайдаланушының аты өзгертілсе, бұл сұрауларда қате орын алады.
API сұрауының мысалы:
# API сұрауы арқылы аутентификациялау:
curl -k -X POST "https://your-proxmox-server:8006/api2/json/access/ticket" -d "username=root@pam&password=yourpassword"
Пайдаланушы аты өзгерсе, бұл сұрау аутентификацияланбайды, нәтижесінде келесі қате пайда болады:
# Қате:
{"errors":[{"message":"authentication failed"}]}
Мониторинг және автоматтандыру жүйелерімен мәселелер
Proxmox сыртқы мониторинг және автоматтандыру жүйелерімен бірге пайдаланылады, мысалы, Zabbix, Prometheus немесе Ansible. Бұл жүйелер root тіркелгісін виртуалдық машиналарды басқару және метрикаларды жинау үшін пайдаланады.
Ansible-де конфигурацияның мысалы:
# Proxmox-қа қосылу үшін playbook мысалы:
- name: Deploy VM to Proxmox
hosts: proxmox
become: true
vars:
ansible_ssh_user: root
ansible_ssh_pass: yourpassword
Егер пайдаланушының атын өзгерткен болсаңыз, барлық автоматтандырылған процестер жұмыс істемейді, бұл бизнес логикасын бұзады.
4. Құжаттама мен қолдаумен үйлесімсіздік
Proxmox құжаттамасы және үшінші тарап ресурстары әрқашан root пайдаланушысының тіркелгісін пайдалануды болжайды. Егер сіз пайдаланушының атын өзгерткен болсаңыз, шешімдерді іздеу кезінде қиындықтар туындайды, себебі көптеген нұсқаулықтар стандартты пайдаланушыны пайдалануды қарастырады.
Шешімдерді іздеу проблемалары
Proxmox құжаттамасы мен форумдарда көбінесе root пайдаланушысы бар командалар мен конфигурациялар мысалдары қолданылады. Мысалы:
# Жүйені қайта жүктеу командасының мысалы:
pveum useradd root@pam --password yourpassword
Егер пайдаланушының атын өзгерткен болсаңыз, барлық командалар мен нұсқауларды қолмен өзгертуіңіз керек, бұл жұмыс процесін айтарлықтай қиындатады және қателіктердің пайда болуына әкеледі.
5. root пайдаланушысын қайта атаусыз қауіпсіздікті қалай арттыруға болады
Егер сіздің мақсатыңыз — қауіпсіздікті арттыру болса, пайдаланушының атын өзгерту қажеттілігі жоқ. Көптеген басқа тәсілдер бар, олар жүйенің тұрақтылығын бұзбай, қауіпсіздікті арттыра алады.
SSH арқылы қолжетімділікті шектеу
root пайдаланушысына SSH арқылы қосылуды шектеуге болады, бұл жүйенің қауіпсіздігін арттырады:
# /etc/ssh/sshd_config
PermitRootLogin no
Осыдан кейін root пайдаланушысы арқылы SSH арқылы қосылуға мүмкіндік болмайды, және әкімшілік жұмыс үшін басқа тіркелгілерді қолдануға болады.
sudo пайдалану
Сіз root пайдаланушысының атын өзгертуге емес, пайдаланушыға әкімшілік құқықтарды sudo арқылы бере аласыз. Ол үшін пайдаланушыны sudo тобына қосу жеткілікті:
# Пайдаланушыны sudo тобына қосу:
usermod -aG sudo username
Осыдан кейін пайдаланушы келесі командаларды суперпайдаланушы құқықтарымен орындай алады:
sudo apt-get update
Көпфакторлы аутентификацияны қосу
Қауіпсіздікті арттыру үшін көпфакторлы аутентификацияны (MFA) қосуға болады. Бұл Google Authenticator немесе басқа құралдарды пайдалану арқылы жүзеге асырылуы мүмкін.
Қорытынды
Proxmox жүйесінде root пайдаланушысының атын өзгерту жүйенің жұмысын бұзып, көптеген техникалық мәселелерді тудыруы мүмкін, соның ішінде аутентификация қателіктері, қызметтердің дұрыс жұмыс істемеуі және құжаттамаға сәйкес келмеу.
Пайдаланушының атын өзгертуге тырысу орнына қауіпсіздікті арттырудың басқа әдістерін қолдану ұсынылады, мысалы, SSH арқылы қосылуды шектеу, sudo пайдалану және көпфакторлы аутентификацияны қосу. Бұл шаралар жүйенің қауіпсіздігін арттырып, оның тұрақтылығын сақтайды.
| Реклама Google |
 |
Назар аударыңыз! Бұл мақала ресми құжат емес.Ақпаратты сақтықпен және сынақ ортасында пайдалану керек.
Заманауи сақтық көшірме жасау, репликациялау, деректерді синхрондау және төлемдік бағдарламадан қорғау жүйелерін құру туралы сұрақтарыңыз болса, қазіргі заманғы деректердің сақтық көшірмесін жасау және қалпына келтіру технологиялары бойынша кеңес алу үшін біздің компанияға хабарласыңыз . Біздің компанияның осы салада 20 жылдан астам тәжірибесі бар. |
||||
Қазақстандағы резервтік көшірудің ең жақсы он тәжірибесі
- oVirt гипервизорын қорғау — терең талдау
- oVirt жүйесінен Proxmox жүйесіне виртуалды машинаны көшіру
- Proxmox-тан oVirt-ке виртуалды машинаны көшіру
- Kubernetes контейнерлерін қорғау — терең талдау
- Proxmox гипервизорын бұзудан қалай қорғауға болады - Терең талдау
- Fail2Ban-ды oVirt жүйесін қорғауда қолдану - Терең талдау
- oVirt гипервизорын сақтандыруды ұйымдастыру — Терең талдау
- Виртуалды машинаны гипервизорлар арасында Proxmox арқылы көшіру
- Proxmox гипервизорын виртуалды машиналардың оңтайлы жұмысын қамтамасыз ету үшін конфигурациялау
- Proxmox-те SSH арқылы root құқықтарының бұзылуынан қорғау: терең талдау
