howto:vps:proxmox-ve:security
Rozdíly
Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revizePředchozí verzeNásledující verze | Předchozí verze | ||
howto:vps:proxmox-ve:security [2017/07/18 19:28] – harvie | howto:vps:proxmox-ve:security [2018/05/29 16:38] (aktuální) – harvie | ||
---|---|---|---|
Řádek 1: | Řádek 1: | ||
====== Zabezpečení Proxmox VE ====== | ====== Zabezpečení Proxmox VE ====== | ||
+ | ===== Cluster ===== | ||
+ | |||
+ | Minimalisticky quorum server (lze nainstalovat do kontejneru, pokud je na hostiteli povoleno FUSE) | ||
+ | <code bash> | ||
+ | apt install pve-cluster | ||
+ | pvecm add node1 | ||
+ | pvecm status | ||
+ | </ | ||
+ | |||
+ | Jeste lehci setup by nejspis sel udelat ciste pomoci baliku corosync-qnetd. To jsem zatim nezkousel. | ||
===== Reverzní proxy před pveproxy ===== | ===== Reverzní proxy před pveproxy ===== | ||
- | Návod volně založen na http:// | + | Návod volně založen na |
+ | * http:// | ||
+ | * https:// | ||
<file bash / | <file bash / | ||
Řádek 16: | Řádek 28: | ||
<file c / | <file c / | ||
- | ## Momentalne koliduje s letsencryptem, | ||
- | #server { | ||
- | # listen 80; | ||
- | # server_name _; | ||
- | # return 302 https:// | ||
- | # | ||
- | #} | ||
- | |||
server { | server { | ||
- | | + | listen 80; |
- | server_name _; #place your domain or ip here if needed | + | server_name _; |
+ | return 302 https:// | ||
+ | } | ||
+ | |||
+ | server { | ||
+ | listen 443 ssl; #choose your port or just use 443 | ||
+ | server_name _; #place your domain or ip here if needed | ||
- | | + | #root / |
- | | + | ssl_certificate / |
- | ssl_certificate_key / | + | ssl_certificate_key / |
+ | |||
+ | #Internal letsencrypt: | ||
+ | # | ||
+ | # | ||
- | | + | proxy_redirect off; |
auth_basic " | auth_basic " | ||
Řádek 40: | Řádek 54: | ||
# | # | ||
- | | + | location ~ ^.+websocket$ { |
- | proxy_pass https:// | + | proxy_pass https:// |
- | proxy_set_header Upgrade $http_upgrade; | + | proxy_set_header Upgrade $http_upgrade; |
- | proxy_set_header Connection " | + | proxy_set_header Connection " |
- | } | + | } |
- | | + | location / { |
- | proxy_pass https:// | + | proxy_pass https:// |
- | } | + | } |
} | } | ||
</ | </ | ||
Řádek 57: | Řádek 71: | ||
''/ | ''/ | ||
+ | |||
+ | |||
+ | ===== Spolecna nastaveni LXC ===== | ||
+ | Todo: zamyslet se jestli to nepatri do / | ||
+ | |||
+ | <file ini / | ||
+ | #Pripojime tmpfs | ||
+ | lxc.mount.entry = tmpfs tmp tmpfs defaults, | ||
+ | |||
+ | #Omezime pocet procesu/ | ||
+ | lxc.cgroup.pids.max = 600 | ||
+ | |||
+ | #Povolime tun/tap (openvpn) | ||
+ | lxc.cgroup.devices.allow = c 10:200 rwm | ||
+ | lxc.hook.autodev = sh -c " | ||
+ | |||
+ | #Povolime FUSE (pozor, ma problemy s lxc-freeze, takze zadny snapshoty, zalohy, migrace, replikace, atd...) | ||
+ | lxc.hook.autodev: | ||
+ | </ | ||
+ | |||
+ | Po editaci tohodle souboru je vhodny zkontrolovat syntaxi treba prikazem '' | ||
+ | |||
+ | Zakazat dmesg | ||
+ | |||
+ | pridat na konec souboru: | ||
+ | <file ini / | ||
+ | syslog errno 1 | ||
+ | </ | ||
+ | Pozor, soubor se prepisuje po upgradu, TODO: doresit lepsi umisteni | ||
howto/vps/proxmox-ve/security.txt · Poslední úprava: 2018/05/29 16:38 autor: harvie