http://proxmox.su Новое в теме Документ по усилению безопасности Proxmox для соответствия требованиям. форума Proxmox Виртуальная Среда на сайте Аспро: ЛайтШоп [proxmox.su] ru http://backend.userland.com/rss2 Sat, 09 May 2026 15:09:27 +0300 Документ по усилению безопасности Proxmox для соответствия требованиям. Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Спасибо, что поделились. У меня есть пара уточняющих вопросов и/или предложений: как вы управляете локальными администраторами, которые могут использовать sudo? Всё делается вручную? Может, добавить TOTP локальным администраторам тоже? Еще стоит ужесточить SSH, например, с помощью этого гайда по укреплению безопасности. SSH только из управляющей сети через SSH-конфиг или через Firewall? Это не совсем понятно из документа. SIEM — это хорошо, но, насколько я знаю, нет интеграции с другими лог-файлами из PVE. Вы нашли здесь какое-то другое решение?
07.07.2025 00:26:00, LnxBil.]]> http://proxmox.su/forum/messages/forum63/message309111/75548-dokument-po-usileniyu-bezopasnosti-proxmox-dlya-sootvetstviya-trebovaniyam. http://proxmox.su/forum/messages/forum63/message309111/75548-dokument-po-usileniyu-bezopasnosti-proxmox-dlya-sootvetstviya-trebovaniyam. Mon, 07 Jul 2025 00:26:00 +0300 Proxmox Виртуальная Среда Документ по усилению безопасности Proxmox для соответствия требованиям. Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Всем привет! Я создала базовый чек-лист по комплаенсу, пока не привязанный ни к какому конкретному бенчмарку. Надеюсь, кому-то здесь пригодится. Буду рада любому фидбэку. ReadySpace.
03.07.2025 06:03:00, readyspace.]]> http://proxmox.su/forum/messages/forum63/message309110/75548-dokument-po-usileniyu-bezopasnosti-proxmox-dlya-sootvetstviya-trebovaniyam. http://proxmox.su/forum/messages/forum63/message309110/75548-dokument-po-usileniyu-bezopasnosti-proxmox-dlya-sootvetstviya-trebovaniyam. Thu, 03 Jul 2025 06:03:00 +0300 Proxmox Виртуальная Среда Документ по усилению безопасности Proxmox для соответствия требованиям. Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Очень интересный пост, полный заманчивых слов для читателей... Буду очень рад, если в итоге выйдет какой-нибудь гайд по соответствию требованиям. Спасибо всем за тестирование и работу над этим.
01.11.2024 15:41:00, waltar.]]> http://proxmox.su/forum/messages/forum63/message309109/75548-dokument-po-usileniyu-bezopasnosti-proxmox-dlya-sootvetstviya-trebovaniyam. http://proxmox.su/forum/messages/forum63/message309109/75548-dokument-po-usileniyu-bezopasnosti-proxmox-dlya-sootvetstviya-trebovaniyam. Fri, 01 Nov 2024 15:41:00 +0300 Proxmox Виртуальная Среда Документ по усилению безопасности Proxmox для соответствия требованиям. Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Сервер работает, но мы сейчас только на одном сервере, где сделана "хардёнинг"... это долгосрочный прототип.
01.11.2024 15:27:00, itNGO.]]> http://proxmox.su/forum/messages/forum63/message309108/75548-dokument-po-usileniyu-bezopasnosti-proxmox-dlya-sootvetstviya-trebovaniyam. http://proxmox.su/forum/messages/forum63/message309108/75548-dokument-po-usileniyu-bezopasnosti-proxmox-dlya-sootvetstviya-trebovaniyam. Fri, 01 Nov 2024 15:27:00 +0300 Proxmox Виртуальная Среда Документ по усилению безопасности Proxmox для соответствия требованиям. Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
@itNGO, я тоже занимался укреплением безопасности по CIS Benchmark Debian 11/12, еще и тестировал с Wazuh (печально, что есть только .yaml для Family Linux). А какой у вас опыт? Были ошибки или проблемы? У меня пока около ~75% (настроек FW пока нет, некоторые тоже ложные срабатывания). Я реализовал всё, что, по моему мнению, возможно на PVE, но, конечно, могу еще наткнуться на одну-две проблемы из-за укрепления безопасности.
31.10.2024 20:47:00, foxdeluxx_88.]]> http://proxmox.su/forum/messages/forum63/message309107/75548-dokument-po-usileniyu-bezopasnosti-proxmox-dlya-sootvetstviya-trebovaniyam. http://proxmox.su/forum/messages/forum63/message309107/75548-dokument-po-usileniyu-bezopasnosti-proxmox-dlya-sootvetstviya-trebovaniyam. Thu, 31 Oct 2024 20:47:00 +0300 Proxmox Виртуальная Среда Документ по усилению безопасности Proxmox для соответствия требованиям. Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Мы также используем дополнительный прокси между PVE и пользователями, использующими его, чтобы фактические хосты PVE вообще были недоступны. Это можно сделать с обратным прокси с привязными куками. Дополнительно (просто чтобы упомянуть): запускайте порты управления в отдельной, изолированной сети — то же самое для коммутаторов Ethernet/SAN, ИБП и т.д. Разделяйте как можно больше с помощью дополнительных VLAN или SDNs. Рассмотрите использование Keycloak или аналога для дальнейшей защиты. Имейте отдельные пользователей/роли для фактической административной работы и повседневного использования (например, администратор с несколькими ролями). Никогда не работайте от имени root (также для PVE, а не только для гостевых систем). У PVE очень полезная функция: группы безопасности. Не могу достаточно подчеркнуть, насколько это хорошо. Примените это к каждой виртуальной машине, и всё будет в порядке. Имейте внутри вашей виртуальной машины проверку, которая проверяет, применена ли группа безопасности брандмауэра по умолчанию, чтобы ничего не пропустить (у нас это реализовано со специальным JSON-endpoint, который должен быть недоступен, если мы включили нашу виртуальную DMZ группу безопасности для виртуальной машины).
24.05.2024 10:46:00, LnxBil.]]> http://proxmox.su/forum/messages/forum63/message309106/75548-dokument-po-usileniyu-bezopasnosti-proxmox-dlya-sootvetstviya-trebovaniyam. http://proxmox.su/forum/messages/forum63/message309106/75548-dokument-po-usileniyu-bezopasnosti-proxmox-dlya-sootvetstviya-trebovaniyam. Fri, 24 May 2024 10:46:00 +0300 Proxmox Виртуальная Среда Документ по усилению безопасности Proxmox для соответствия требованиям. Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Сейчас тестируем hardening-script от ovh-cloud. https://github.com/ovh/debian-cis. Используем Level 3 на PVE-сервере, и пока что вроде бы все работает нормально, но значительно "по-более" защищено. Было бы очень круто, если бы появились какие-нибудь дополнительные руководства или, скажем, более защищенная установка Proxmox по умолчанию. Сейчас при проверке с помощью "Center for Internet Security Debian Family Linux Benchmark v1.0.0" от Wazuh оценка получается очень низкая. А с учетом приближающегося NIS2, это может стать реальной проблемой для многих компаний, использующих PVE...
15.05.2024 12:44:00, itNGO.]]> http://proxmox.su/forum/messages/forum63/message309105/75548-dokument-po-usileniyu-bezopasnosti-proxmox-dlya-sootvetstviya-trebovaniyam. http://proxmox.su/forum/messages/forum63/message309105/75548-dokument-po-usileniyu-bezopasnosti-proxmox-dlya-sootvetstviya-trebovaniyam. Wed, 15 May 2024 12:44:00 +0300 Proxmox Виртуальная Среда Документ по усилению безопасности Proxmox для соответствия требованиям. Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Значительная часть укрепления безопасности на любой платформе — это изменение конфигураций по умолчанию на более защищенные. Вы правы, они обе стартуют довольно безопасно. Установите sudo, создайте пользователей, отличных от root, принудительно включите TOTP (TFA) в GUI для всех учетных записей, убедитесь в наличии TLS-сертификатов для GUI, укрепите ssh (инструкции доступны онлайн), включите и используйте брандмауэр PVE. Убедитесь, что хосты находятся в отдельных сетях от гостей, изолируйте внутренние сети, которым не требуется внешняя связь. Например, corosync, Ceph backend, миграция. И это плюс следующие дополнительные пункты для PBS: Отделите сеть от PVE, разрешите доступ к PVE только через 8007, создайте пользователя и токен для резервного копирования PVE с минимальными правами. Именно этот токен используется в PVE для подключения к PBS.
15.05.2024 09:51:00, weehooey-bh.]]> http://proxmox.su/forum/messages/forum63/message309104/75548-dokument-po-usileniyu-bezopasnosti-proxmox-dlya-sootvetstviya-trebovaniyam. http://proxmox.su/forum/messages/forum63/message309104/75548-dokument-po-usileniyu-bezopasnosti-proxmox-dlya-sootvetstviya-trebovaniyam. Wed, 15 May 2024 09:51:00 +0300 Proxmox Виртуальная Среда Документ по усилению безопасности Proxmox для соответствия требованиям. Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
У нас пара ВМ работает на production-сервере в 3-узловом кластере с использованием Proxmox и ceph. Теперь несколько аудиторов просят предоставить руководство по укреплению (hardening) установок Proxmox, так как ВМ работают в продакшене. Мы использовали ISO-файлы Proxmox VE и Proxmox Backup Server для установки на bare metal-узлы. Кажется, установка по умолчанию уже довольно укреплена. Кроме того, мы ограничили подключение к управлению, открыв его на другом порту, а не на 8006 и 8007. И мы не разрешили SSH из интернета. Теперь мой вопрос: какое руководство по укреплению мы должны подготовить для аудиторов? И какие дополнительные меры мы могли бы предпринять для дальнейшего укрепления системы?
13.05.2024 21:50:00, bsinha.]]> http://proxmox.su/forum/messages/forum63/message309103/75548-dokument-po-usileniyu-bezopasnosti-proxmox-dlya-sootvetstviya-trebovaniyam. http://proxmox.su/forum/messages/forum63/message309103/75548-dokument-po-usileniyu-bezopasnosti-proxmox-dlya-sootvetstviya-trebovaniyam. Mon, 13 May 2024 21:50:00 +0300 Proxmox Виртуальная Среда