SPOJE.NET

Technická dokumentace

Uživatelské nástroje

Nástroje pro tento web


howto:vps:proxmox-ve:security

Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Obě strany předchozí revize Předchozí verze
Následující verze
Předchozí verze
howto:vps:proxmox-ve:security [2017/10/09 03:28]
harvie
howto:vps:proxmox-ve:security [2018/05/29 16:38] (aktuální)
harvie
Řádek 1: Řádek 1:
 ====== Zabezpečení Proxmox VE ====== ====== Zabezpečení Proxmox VE ======
 +===== Cluster =====
  
 +
 +Minimalisticky quorum server (lze nainstalovat do kontejneru, pokud je na hostiteli povoleno FUSE)
 +<code bash>
 +apt install pve-cluster
 +pvecm add node1
 +pvecm status
 +</​code>​
 +
 +Jeste lehci setup by nejspis sel udelat ciste pomoci baliku corosync-qnetd. To jsem zatim nezkousel.
 ===== Reverzní proxy před pveproxy ===== ===== Reverzní proxy před pveproxy =====
  
Řádek 32: Řádek 42:
  ssl_certificate /​etc/​letsencrypt/​live/​pve1.spoje.net/​fullchain.pem;​  ssl_certificate /​etc/​letsencrypt/​live/​pve1.spoje.net/​fullchain.pem;​
  ssl_certificate_key /​etc/​letsencrypt/​live/​pve1.spoje.net/​privkey.pem;​  ssl_certificate_key /​etc/​letsencrypt/​live/​pve1.spoje.net/​privkey.pem;​
 +
 + #Internal letsencrypt:​
 + #​ssl_certificate /​etc/​pve/​local/​pveproxy-ssl.pem;​
 + #​ssl_certificate_key /​etc/​pve/​local/​pveproxy-ssl.key;​
    
  proxy_redirect off;  proxy_redirect off;
Řádek 59: Řádek 73:
  
  
-===== LXC - Zakázat dmesg ===== +===== Spolecna nastaveni ​LXC ===== 
-<file ini /​usr/​share/​lxc/​config/​common.seccomp+Todo: zamyslet se jestli to nepatri do /​etc/​lxc/​default.conf  
-... + 
-syslog errno 1+<file ini /​usr/​share/​lxc/​config/​common.conf.d/​99-spoje.conf
 +#Pripojime tmpfs 
 +lxc.mount.entry = tmpfs tmp tmpfs defaults,​nosuid,​noexec,​nodev,​size=256M 
 + 
 +#Omezime pocet procesu/​threadu 
 +lxc.cgroup.pids.max = 600 
 + 
 +#Povolime tun/tap (openvpn) 
 +lxc.cgroup.devices.allow = c 10:200 rwm 
 +lxc.hook.autodev = sh -c "​modprobe tun; cd ${LXC_ROOTFS_MOUNT}/​dev;​ mkdir net; mknod net/tun c 10 200; chmod 0666 net/​tun"​ 
 + 
 +#Povolime FUSE (pozor, ma problemy s lxc-freeze, takze zadny snapshoty, zalohy, migrace, replikace, atd...) 
 +lxc.hook.autodev:​ sh -c "mknod -m 0666 ${LXC_ROOTFS_MOUNT}/​dev/​fuse c 10 229"
 </​file>​ </​file>​
  
-===== Povolit fuseomezit procesy =====+Po editaci tohodle souboru je vhodny zkontrolovat syntaxi treba prikazem ''​pct list''​. Pokud je neco spatnetak proxmox vypisuje chybovy hlasky a vsechny virtualy prestanou bejt pouzitelny a bezici se zacnou tvarit jako vypnuty!
  
-<file ini /​usr/​share/​lxc/​config/​common.conf.d/​99-spoje.conf+Zakazat dmesg 
-...+ 
 +pridat na konec souboru: 
 +<file ini /​usr/​share/​lxc/​config/​common.seccomp
 +syslog errno 1
 </​file>​ </​file>​
 +Pozor, soubor se prepisuje po upgradu, TODO: doresit lepsi umisteni
 +
howto/vps/proxmox-ve/security.1507512517.txt.gz · Poslední úprava: 2017/10/09 03:28 autor: harvie