Proxmox VE (Virtual Environment) — это мощная платформа для виртуализации, которая включает в себя поддержку как виртуальных машин (VM), так и контейнеров LXC. Одной из ключевых особенностей Proxmox является система управления доступом, которая позволяет точно контролировать, какие действия могут выполнять пользователи системы.
В этой статье мы погружаемся в детали встроенных групп пользователей Proxmox, описываем их назначения, возможности настройки и демонстрируем примеры использования.
Понимание модели безопасности Proxmox
Proxmox использует двухуровневую модель безопасности для управления доступом: пользователи и роли. Пользователи могут быть объединены в группы, а для каждой группы или отдельного пользователя назначается одна или несколько ролей, определяющих доступные операции.
Роли и разрешения
Каждая роль представляет собой набор разрешений, которые определяют, что может делать пользователь с объектами системы. Разрешения могут быть очень детализированными: доступ на чтение, создание, удаление, изменение конфигурации и другие.
Пример разрешений:
- PVEVMUser — разрешения на управление виртуальными машинами.
- PVEAdmin — полный доступ, включая управление пользователями и конфигурацией кластера.
Пользователи и группы
Пользователи в Proxmox могут быть организованы в группы, что упрощает администрирование и управление доступом. Группы могут быть назначены к определенным объектам или ресурсам в системе (виртуальные машины, хранилища, сети и т. д.).
Встроенные группы пользователей в Proxmox
Proxmox предоставляет несколько встроенных групп пользователей, каждая из которых имеет свои права и ограничения.
1. root
Группа root представляет собой суперпользователя системы, обладающего полным доступом ко всем объектам и операциям. Пользователи, входящие в группу root, могут выполнять любые действия в системе без ограничений.
Примеры операций:
- Управление виртуальными машинами и контейнерами (создание, удаление, изменение настроек).
- Настройка хранилищ и сети.
- Управление пользователями, ролями и правами доступа.
- Установка и обновление программного обеспечения Proxmox.
Пример кода: Если вам нужно добавить пользователя в группу root, вы можете использовать команду:
pveum usermod username@pve -group root
2. pveadmins
Группа pveadmins представляет собой администраторов уровня Proxmox. Члены этой группы имеют доступ ко всем операциям с виртуальными машинами и контейнерами, но не могут модифицировать настройки самой системы Proxmox (например, не могут обновлять программное обеспечение или изменять конфигурацию самого Proxmox).
Примеры операций:
- Управление виртуальными машинами и контейнерами.
- Управление хранилищами данных, настройками кластера.
- Настройка прав доступа для других пользователей.
Пример кода: Чтобы добавить пользователя в группу pveadmins, выполните следующую команду:
pveum usermod username@pve -group pveadmins
3. pvectl
Группа pvectl предоставляет пользователям доступ, ограниченный управлением виртуальными машинами и контейнерами, но без возможности менять другие ресурсы системы, такие как сети и хранилища.
Примеры операций:
- Создание, удаление, изменение конфигурации виртуальных машин.
- Управление снапшотами и миграциями.
- Запуск и остановка виртуальных машин.
Однако члены группы pvectl не могут управлять сетями, хранилищами или изменять настройки кластера.
Пример кода: Чтобы назначить пользователю роль PVEVMUser (для управления виртуальными машинами), можно выполнить команду:
pveum roleadd PVEVMUser -privs VM.Config -privs VM.Monitor
pveum usermod username@pve -role PVEVMUser
4. pveusers
Группа pveusers предоставляет пользователю только права на чтение, т.е. доступ к информации о виртуальных машинах и контейнерах без возможности изменения их состояния.
Примеры операций:
- Просмотр состояния виртуальных машин и контейнеров.
- Получение статистики о нагрузке на систему и ресурсах.
Эти пользователи не могут выполнять никаких изменений, что идеально подходит для случаев, когда нужно предоставить доступ к мониторингу без возможности вмешательства в работу системы.
Пример кода: Чтобы добавить пользователя в группу pveusers, можно использовать команду:
pveum usermod username@pve -group pveusers
5. NoAccess
Группа NoAccess используется для пользователей, которым необходимо полностью ограничить доступ к системе. Пользователи этой группы не могут выполнять никакие операции в системе, включая просмотр данных.
Примеры операций:
- Нет прав на выполнение любых операций (чтение, запись, изменение конфигурации).
Это может быть полезно, например, для временных учетных записей или при необходимости полного отключения доступа.
Пример кода: Для добавления пользователя в группу NoAccess выполните команду:
pveum usermod username@pve -group NoAccess
Роли и их привязка
В Proxmox роли (roles) используются для управления доступом к различным объектам системы. Роли представляют собой набор разрешений на выполнение определённых операций.
Примеры популярных ролей:
- PVEVMAdmin: предоставляет полный доступ к виртуальным машинам (создание, удаление, изменение настроек, управление снапшотами и миграциями).
- PVEAdmin: доступ к административным операциям на уровне Proxmox (например, управление кластерами, настройка хранилищ и т.д.).
- PVEUser: доступ только на чтение, например, для мониторинга состояния виртуальных машин и контейнеров.
Пример создания и привязки новой роли
- Создание роли с набором разрешений
Для создания новой роли, которая будет включать только права на создание виртуальных машин и управление их состоянием, выполните команду:
pveum roleadd VMAdmin -privs VM.Config.Creation -privs VM.Config.Memory -privs VM.Config.CPU -privs VM.Monitor
Эта команда создаст роль VMAdmin, которая позволит создавать виртуальные машины, а также управлять их ресурсами (например, CPU, память) и мониторить их состояние.
- Привязка роли к пользователю
Чтобы назначить пользователю роль VMAdmin на конкретный объект (например, виртуальную машину), выполните команду:
pveum aclmod /vms/101 -user username@pve -role VMAdmin
В этом примере роль VMAdmin назначается пользователю для работы с виртуальной машиной с ID 101.
Настройка прав доступа для пользователей и групп
Proxmox предоставляет гибкие возможности для настройки прав доступа с помощью командной строки и веб-интерфейса.
Пример: Управление доступом через веб-интерфейс
- Перейдите в раздел Datacenter -> Permissions -> Users.
- Создайте нового пользователя, указав логин и домен.
- В разделе Permissions можно назначить роли для пользователя или группы, что позволит контролировать доступ к различным ресурсам.
Пример: Назначение прав на уровне хранилища
- Для назначения прав на доступ к хранилищу можно использовать следующую команду:
pveum aclmod /storage/my_storage -user username@pve -role PVEStorageAdmin
Эта команда предоставит пользователю username@pve права на управление хранилищем my_storage.
Заключение
Система управления пользователями и правами доступа в Proxmox предоставляет широкие возможности для точной настройки безопасности и управления ресурсами. Группы пользователей, роли и разрешения позволяют эффективно разграничивать доступ в зависимости от задач и уровня полномочий.
Использование встроенных групп, таких как root, pveadmins или pveusers, помогает упростить администрирование, а возможность создания собственных ролей и назначения их на конкретные ресурсы системы делает Proxmox гибким инструментом для виртуализации с детализированным контролем доступа.
| Реклама Google |
|
|
Внимание! Данная статья не является официальной документацией.Использование информации необходимо выполнять с осторожностью, используя для этого тестовую среду.
Если у вас есть вопросы о построении современных систем резервного копирования, репликации, синхронизации данных и защиты от программ вымогателей обратитесь в нашу компанию для получения консультации о современных технологиях резервного копирования и восстановления данных. Наша компания имеет более чем 20-летний опыт в этой области. |
||||
Десять лучших практик резервного копирования в Казахстане
- Защита гипервизора oVirt — глубокое погружение
- Перенос виртуальной машины из oVirt в Proxmox
- Как перенести виртуальную машину из Proxmox в oVirt
- Защита контейнеров Kubernetes — глубокое погружение
- Как защитить гипервизор Proxmox от взлома - Глубокое погружение
- Использование Fail2Ban для защиты oVirt - Глубокое погружение
- Организация резервного копирования гипервизора oVirt — Глубокое погружение
- Перенос виртуальной машины между гипервизорами Proxmox
- Конфигурация гипервизора Proxmox для оптимальной работы виртуальных машин
- Защита root после взлома SSH на Proxmox - глубокое погружение
