Bezpieczeństwo Proxmox — firewall, 2FA i hardening dostępu krok po kroku

Przez /

Postawienie Proxmoksa to dziś kwestia kilkunastu minut — opisaliśmy to w przewodniku jak zainstalować Proxmox VE od zera. Problem w tym, że świeża instalacja jest wygodna dla administratora i… równie wygodna dla atakującego. Panel na porcie 8006 wystawiony do internetu, jedno konto root, brak drugiego składnika logowania — to przepis na kłopoty.

Dobra wiadomość: utwardzenie Proxmoksa nie wymaga dodatkowych licencji ani drogich narzędzi. Wymaga kilkunastu świadomych decyzji. Przejdźmy przez nie po kolei — od najważniejszych do tych „dla porządku”.

Zasada numer jeden: nie wystawiaj panelu do internetu

Najczęstszy błąd małych firm to udostępnienie interfejsu webowego Proxmoksa (port 8006) i SSH (22) bezpośrednio na publiczny adres IP. Tak nie powinno być nigdy.

  • Dostęp przez VPN — panel zarządzania powinien być osiągalny wyłącznie z sieci lokalnej lub przez VPN (np. WireGuard). To jedna zmiana, która eliminuje większość automatycznych ataków.
  • Oddzielna sieć zarządzania — interfejs administracyjny warto trzymać w osobnym VLAN-ie, odseparowanym od ruchu maszyn wirtualnych. Do tematu sieci i VLAN-ów wrócimy w osobnym wpisie cyklu.

Firewall — wbudowany i często niewykorzystany

Proxmox ma rozbudowany firewall działający na trzech poziomach: całego klastra (Datacenter), pojedynczego hosta i konkretnej maszyny/kontenera. Domyślnie jest wyłączony — i tu zaczyna się praca.

Praktyczna kolejność konfiguracji

  1. Najpierw zdefiniuj reguły na poziomie Datacenter, ale nie włączaj firewalla globalnie, dopóki nie dodasz reguły zezwalającej na dostęp do portu 8006 i SSH z Twojej sieci zarządzania. W przeciwnym razie odetniesz sam siebie.
  2. Utwórz IP Set z zaufanymi adresami administratorów — łatwiej zarządzać regułami przez aliasy niż wpisywać IP wszędzie.
  3. Domyślną politykę dla ruchu przychodzącego ustaw na DROP, a otwieraj tylko to, co potrzebne.
  4. Dopiero na końcu włącz firewall i przetestuj dostęp z drugiego urządzenia, zanim zamkniesz sesję.

Uwierzytelnianie dwuskładnikowe (2FA)

Samo hasło — nawet mocne — to dziś za mało dla konta z pełnym dostępem do całej wirtualizacji. Proxmox natywnie wspiera 2FA i włączenie go zajmuje chwilę:

  • TOTP (aplikacja typu Google Authenticator, Aegis) — najprostsze i darmowe rozwiązanie dla każdego konta administracyjnego.
  • Klucze sprzętowe WebAuthn/FIDO2 (np. YubiKey) — dla kont o najwyższych uprawnieniach warto rozważyć fizyczny klucz.
  • Wymóg 2FA dla całego realm-u — można go wymusić odgórnie, żeby nikt „nie zapomniał” go włączyć.

Szerzej o tym, dlaczego drugi składnik to najtańszy skok bezpieczeństwa w całej firmie, napiszemy w osobnym wpisie poświęconym MFA i menedżerom haseł.

Konta, role i koniec ery „wszyscy jako root”

Logowanie się do produkcji jako root@pam przy każdej czynności to zła praktyka. Proxmox ma rozbudowany system uprawnień (RBAC):

  • Utwórz osobne konta imienne dla każdego administratora — wiesz wtedy, kto co zrobił.
  • Przydzielaj role z minimalnymi uprawnieniami (np. PVEVMUser dla osoby, która ma tylko uruchamiać maszyny, a nie zmieniać konfigurację klastra).
  • Konto root zostaw do sytuacji wyjątkowych i obowiązkowo zabezpiecz 2FA.

To nie biurokracja — to fundament rozliczalności, której wprost oczekuje zgodność z NIS2 (pisaliśmy, jak Proxmox ją wspiera).

Aktualizacje i repozytoria

Świeży Proxmox po instalacji korzysta z repozytorium enterprise, które bez subskrypcji nie działa — i wiele firm zostaje wtedy bez aktualizacji. Rozwiązanie jest darmowe i legalne:

  • Przełącz się na repozytorium no-subscription (do środowisk bez wykupionego wsparcia) lub wykup subskrypcję dla repozytorium enterprise.
  • Regularnie instaluj aktualizacje bezpieczeństwa — to najtańsza ochrona, jaką masz.
  • Aktualizuj w oknach serwisowych i ze snapshotami, by móc się wycofać. O tym, jak robić to bez przestojów, będzie osobny wpis.

Szyfrowanie, kopie i logi

  • Szyfrowanie dysków (np. ZFS native encryption) chroni dane, jeśli sprzęt fizycznie wpadnie w niepowołane ręce.
  • Kopie zapasowe to ostatnia linia obrony — najlepiej na dedykowany Proxmox Backup Server, odseparowany od hosta produkcyjnego.
  • Centralne logi i monitoring — bez nich nie wykryjesz ani nie udokumentujesz incydentu.

Szybka checklista hardeningu

  • ✅ Panel i SSH tylko przez VPN / sieć zarządzania
  • ✅ Firewall włączony, polityka domyślna DROP
  • ✅ 2FA na wszystkich kontach administracyjnych
  • ✅ Konta imienne + role z minimalnymi uprawnieniami
  • ✅ Działające repozytorium i regularne aktualizacje
  • ✅ Szyfrowanie, kopie zapasowe poza hostem, monitoring

Co dalej w tym cyklu

Jeśli dopiero zaczynasz przygodę z wirtualizacją, zacznij od podstaw: czym jest Proxmox VE i dlaczego małe firmy go pokochały. W kolejnych wpisach zajmiemy się siecią w Proxmoksie (VLAN-y i SDN) oraz utrzymaniem i aktualizacjami bez przestojów.

Chcesz mieć pewność, że Twój Proxmox jest skonfigurowany bezpiecznie — albo potrzebujesz przeglądu istniejącego środowiska? Napisz do nas. Przeprowadzamy hardening i audyt konfiguracji tak, żeby wygoda nie odbywała się kosztem bezpieczeństwa.

Zostaw komentarz

Twój adres email nie zostanie opublikowany. Wymagane pola są oznaczone *

Przewijanie do góry