howto:vps:proxmox-ve:security
Rozdíly
Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revizePředchozí verzeNásledující verze | Předchozí verzePoslední revizeObě strany příští revize | ||
howto:vps:proxmox-ve:security [2017/10/09 03:35] – [Povolit fuse, omezit procesy] harvie | howto:vps:proxmox-ve:security [2018/05/29 16:37] – harvie | ||
---|---|---|---|
Řádek 1: | Řádek 1: | ||
====== Zabezpečení Proxmox VE ====== | ====== Zabezpečení Proxmox VE ====== | ||
+ | ===== Cluster ===== | ||
+ | |||
+ | Minimalisticky quorum server (lze nainstalovat do kontejneru, pokud je na hostiteli povoleno FUSE) | ||
+ | <code bash> | ||
+ | apt install pve-cluster | ||
+ | pvecm add node1 | ||
+ | pvecm status | ||
+ | </ | ||
+ | |||
+ | Jeste lehci setup by nejspis sel udelat ciste pomoci baliku corosync-qnetd. To jsem zatim nezkousel. | ||
===== Reverzní proxy před pveproxy ===== | ===== Reverzní proxy před pveproxy ===== | ||
Řádek 32: | Řádek 42: | ||
ssl_certificate / | ssl_certificate / | ||
ssl_certificate_key / | ssl_certificate_key / | ||
+ | |||
+ | #Internal letsencrypt: | ||
+ | # | ||
+ | # | ||
proxy_redirect off; | proxy_redirect off; | ||
Řádek 59: | Řádek 73: | ||
- | ===== LXC - Zakázat dmesg ===== | + | ===== Spolecna nastaveni |
- | <file ini /usr/share/lxc/config/ | + | Todo: zamyslet se jestli to nepatri do /etc/lxc/default.conf |
- | ... | + | |
- | syslog errno 1 | + | |
- | </ | + | |
- | + | ||
- | ===== Povolit tuntap, omezit procesy ===== | + | |
<file ini / | <file ini / | ||
+ | #Pripojime tmpfs | ||
+ | lxc.mount.entry = tmpfs tmp tmpfs defaults, | ||
+ | |||
#Omezime pocet procesu/ | #Omezime pocet procesu/ | ||
- | lxc.cgroup.pids.max: 500 | + | lxc.cgroup.pids.max |
- | #Povolime tun/tap | + | #Povolime tun/ |
- | lxc.cgroup.devices.allow: c 10:200 rwm | + | lxc.cgroup.devices.allow |
- | lxc.hook.autodev: sh -c " | + | lxc.hook.autodev |
- | lxc.cgroup.pids.max: 300 | + | |
+ | #Povolime FUSE (pozor, ma problemy s lxc-freeze, takze zadny snapshoty, zalohy, migrace, replikace, atd...) | ||
+ | lxc.hook.autodev: sh -c "mknod -m 0666 ${LXC_ROOTFS_MOUNT}/ | ||
</ | </ | ||
+ | |||
+ | Po editaci tohodle souboru je vhodny zkontrolovat syntaxi treba prikazem '' | ||
+ | |||
+ | Zakazat dmesg | ||
+ | |||
+ | pridat na konec souboru: | ||
+ | <file ini / | ||
+ | syslog errno 1 | ||
+ | </ | ||
+ | Pozor, soubor se prepisuje po upgradu, TODO: doresit lepsi umisteni | ||
+ |
howto/vps/proxmox-ve/security.txt · Poslední úprava: 2018/05/29 16:38 autor: harvie