SPOJE.NET

Technická dokumentace

Uživatelské nástroje

Nástroje pro tento web


howto:vps:proxmox-ve:security

Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Obě strany předchozí revizePředchozí verze
Následující verze
Předchozí verze
howto:vps:proxmox-ve:security [2017/10/09 04:17] – [Povolit tuntap (openvpn), omezit procesy] harviehowto:vps:proxmox-ve:security [2018/05/29 16:38] (aktuální) harvie
Řádek 1: Řádek 1:
 ====== Zabezpečení Proxmox VE ====== ====== Zabezpečení Proxmox VE ======
 +===== Cluster =====
  
 +
 +Minimalisticky quorum server (lze nainstalovat do kontejneru, pokud je na hostiteli povoleno FUSE)
 +<code bash>
 +apt install pve-cluster
 +pvecm add node1
 +pvecm status
 +</code>
 +
 +Jeste lehci setup by nejspis sel udelat ciste pomoci baliku corosync-qnetd. To jsem zatim nezkousel.
 ===== Reverzní proxy před pveproxy ===== ===== Reverzní proxy před pveproxy =====
  
Řádek 32: Řádek 42:
  ssl_certificate /etc/letsencrypt/live/pve1.spoje.net/fullchain.pem;  ssl_certificate /etc/letsencrypt/live/pve1.spoje.net/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/live/pve1.spoje.net/privkey.pem;  ssl_certificate_key /etc/letsencrypt/live/pve1.spoje.net/privkey.pem;
 +
 + #Internal letsencrypt:
 + #ssl_certificate /etc/pve/local/pveproxy-ssl.pem;
 + #ssl_certificate_key /etc/pve/local/pveproxy-ssl.key;
    
  proxy_redirect off;  proxy_redirect off;
Řádek 59: Řádek 73:
  
  
-===== LXC - Zakázat dmesg ===== +===== Spolecna nastaveni LXC ===== 
-<file ini /usr/share/lxc/config/common.seccomp> +Todo: zamyslet se jestli to nepatri do /etc/lxc/default.conf 
-... +
-syslog errno 1 +
-</file> +
- +
-===== Povolit tuntap (openvpn), omezit procesy =====+
  
 <file ini /usr/share/lxc/config/common.conf.d/99-spoje.conf> <file ini /usr/share/lxc/config/common.conf.d/99-spoje.conf>
Řádek 74: Řádek 83:
 lxc.cgroup.pids.max = 600 lxc.cgroup.pids.max = 600
  
-#Povolime tun/tap+#Povolime tun/tap (openvpn)
 lxc.cgroup.devices.allow = c 10:200 rwm lxc.cgroup.devices.allow = c 10:200 rwm
 lxc.hook.autodev = sh -c "modprobe tun; cd ${LXC_ROOTFS_MOUNT}/dev; mkdir net; mknod net/tun c 10 200; chmod 0666 net/tun" lxc.hook.autodev = sh -c "modprobe tun; cd ${LXC_ROOTFS_MOUNT}/dev; mkdir net; mknod net/tun c 10 200; chmod 0666 net/tun"
 +
 +#Povolime FUSE (pozor, ma problemy s lxc-freeze, takze zadny snapshoty, zalohy, migrace, replikace, atd...)
 +lxc.hook.autodev: sh -c "mknod -m 0666 ${LXC_ROOTFS_MOUNT}/dev/fuse c 10 229"
 </file> </file>
  
 Po editaci tohodle souboru je vhodny zkontrolovat syntaxi treba prikazem ''pct list''. Pokud je neco spatne, tak proxmox vypisuje chybovy hlasky a vsechny virtualy prestanou bejt pouzitelny a bezici se zacnou tvarit jako vypnuty! Po editaci tohodle souboru je vhodny zkontrolovat syntaxi treba prikazem ''pct list''. Pokud je neco spatne, tak proxmox vypisuje chybovy hlasky a vsechny virtualy prestanou bejt pouzitelny a bezici se zacnou tvarit jako vypnuty!
 +
 +Zakazat dmesg
 +
 +pridat na konec souboru:
 +<file ini /usr/share/lxc/config/common.seccomp>
 +syslog errno 1
 +</file>
 +Pozor, soubor se prepisuje po upgradu, TODO: doresit lepsi umisteni
 +
howto/vps/proxmox-ve/security.1507515439.txt.gz · Poslední úprava: 2017/10/09 04:17 autor: harvie