Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

--- howto:vps:proxmox-ve:security [2017/07/18 20:23] – harvie
+++ howto:vps:proxmox-ve:security [2018/05/29 16:38] (aktuální) – harvie
@@ Řádek 1: / Řádek 1: @@
 ====== Zabezpečení Proxmox VE ======
+===== Cluster =====
+Minimalisticky quorum server (lze nainstalovat do kontejneru, pokud je na hostiteli povoleno FUSE)
+<code bash>
+apt install pve-cluster
+pvecm add node1
+pvecm status
+</code>
+Jeste lehci setup by nejspis sel udelat ciste pomoci baliku corosync-qnetd. To jsem zatim nezkousel.
 ===== Reverzní proxy před pveproxy =====
@@ Řádek 18: / Řádek 28: @@
 <file c /etc/nginx/sites-available/proxmox>
-## Momentalne koliduje s letsencryptem, tak to je zakazany nez to bude mozny nakombinovat
-#server {
-#        listen 80;
-#        server_name _;
-#        return 302 https://$hostname$request_uri;
-#}
 server {
-        listen 443 ssl; #choose your port or just use 443
+	listen 80;
-        server_name _; #place your domain or ip here if needed
+	server_name _;
+	return 302 https://$host$request_uri;
+}
+server {
+	listen 443 ssl; #choose your port or just use 443
+	server_name _; #place your domain or ip here if needed
-        #root /usr/share/nginx/www;
+	#root /usr/share/nginx/www;
+	ssl_certificate /etc/letsencrypt/live/pve1.spoje.net/fullchain.pem;
+	ssl_certificate_key /etc/letsencrypt/live/pve1.spoje.net/privkey.pem;
-        ssl_certificate /etc/letsencrypt/live/pve1.spoje.net/fullchain.pem;
+	#Internal letsencrypt:
-        ssl_certificate_key /etc/letsencrypt/live/pve1.spoje.net/privkey.pem;
+	#ssl_certificate /etc/pve/local/pveproxy-ssl.pem;
+	#ssl_certificate_key /etc/pve/local/pveproxy-ssl.key;
-        proxy_redirect off;
+	proxy_redirect off;
 	auth_basic "SPOJE.NET VPS";
@@ Řádek 41: / Řádek 54: @@
 	#proxy_ssl_verify off; #default
-        location ~ ^.+websocket$ {
+	location ~ ^.+websocket$ {
-                proxy_pass https://127.0.0.1:8006;
+		proxy_pass https://127.0.0.1:8006;
-                proxy_set_header Upgrade $http_upgrade;
+		proxy_set_header Upgrade $http_upgrade;
-                proxy_set_header Connection "upgrade";
+		proxy_set_header Connection "upgrade";
-        }
+	}
-        location / {
+	location / {
-                proxy_pass https://127.0.0.1:8006;
+		proxy_pass https://127.0.0.1:8006;
-        }
+	}
 }
 </file>
@@ Řádek 58: / Řádek 71: @@
 ''/etc/init.d/nginx restart''
+===== Spolecna nastaveni LXC =====
+Todo: zamyslet se jestli to nepatri do /etc/lxc/default.conf
+<file ini /usr/share/lxc/config/common.conf.d/99-spoje.conf>
+#Pripojime tmpfs
+lxc.mount.entry = tmpfs tmp tmpfs defaults,nosuid,noexec,nodev,size=256M
+#Omezime pocet procesu/threadu
+lxc.cgroup.pids.max = 600
+#Povolime tun/tap (openvpn)
+lxc.cgroup.devices.allow = c 10:200 rwm
+lxc.hook.autodev = sh -c "modprobe tun; cd ${LXC_ROOTFS_MOUNT}/dev; mkdir net; mknod net/tun c 10 200; chmod 0666 net/tun"
+#Povolime FUSE (pozor, ma problemy s lxc-freeze, takze zadny snapshoty, zalohy, migrace, replikace, atd...)
+lxc.hook.autodev: sh -c "mknod -m 0666 ${LXC_ROOTFS_MOUNT}/dev/fuse c 10 229"
+</file>
+Po editaci tohodle souboru je vhodny zkontrolovat syntaxi treba prikazem ''pct list''. Pokud je neco spatne, tak proxmox vypisuje chybovy hlasky a vsechny virtualy prestanou bejt pouzitelny a bezici se zacnou tvarit jako vypnuty!
+Zakazat dmesg
+pridat na konec souboru:
+<file ini /usr/share/lxc/config/common.seccomp>
+syslog errno 1
+</file>
+Pozor, soubor se prepisuje po upgradu, TODO: doresit lepsi umisteni