# Sécurisation basique de son Proxmox

Je vois sur Internet des serveurs Proxmox pas sécurisés voire pire, des conseils qui préconisent d’utiliser un firewall comme pfSense installé en machine virtuelle pour sécuriser l’hyperviseur, alors que ce dernier est hébergé chez un fournisseur dont on ne sait rien du réseau. Votre fournisseur peut proposer un firewall comme chez OVH avec son système [anti-DDoS](https://www.ovh.com/fr/anti-ddos/), mais cela ne vous protège que de l’extérieur, pas de l’intérieur du réseau, qui lui comporte une multitude de serveurs d’autres clients.

La logique pour un réseau en entreprise ou chez soi, pour un home lab ou de l’auto-hébergement sera la même.

**Quel que soit l’hyperviseur, il faut que celui-ci soit sécurisé. S’il n’est pas sécurisé, toutes vos machines virtuelles ou vos conteneurs sont potentiellement compromis.**

Pour citer [Andy Grove, ](https://fr.wikipedia.org/wiki/Andrew_Grove)co-fondateur d'[Intel,](https://fr.wikipedia.org/wiki/Intel) dans son livre autobiographique qui porte le même nom : « [Seuls les paranoïaques survivent](https://livre.fnac.com/a1581225/Andrew-Grove-Seuls-les-paranoiaques-survivent) ».

\[Wikipedia\]: Il explique dans sa biographie *Seuls les paranoïaques survivent* que le moteur psychique qui lui a permis de mener son entreprise au sommet a été durant 38 ans

Ce concept est parfaitement adapté pour la sécurité.

## 1. Protection physique

Le ou les serveurs doivent être à minima protégés physiquement, comme une salle sécurisée, ou si dans un datacenter, dans une baie fermée à clefs. Mais il est aussi important de protéger l’accès au BIOS/UEFI par un mot de passe costaud et interdire le boot sur autre chose que l’hyperviseur.

Il serait dommage qu’une personne avec une clef usb boote sur un autre OS, et modifie le mot de passe root, formate le ou les disques où sont installés Proxmox, etc.

Les sociétés qui fournissent des serveurs comme OVH, Scaleway, etc. peuvent avoir dans leurs employés des personnes mal intentionnées, tout comme dans vos collègues de travail ou prestataires.

## 2. Firewall

Proxmox intègre un firewall agissant sur 3 parties distinctes :

<div class="page-content" id="bkmrk-datacenter-serveur-p"><div dir="auto">- Datacenter
- Serveur Proxmox alias PVE
- Machines virtuelles et conteneurs LXC

</div></div>La partie machine virtuelle et conteneurs est indépendante des deux autres. Elle n’a pas d'intérêt dans la sécurisation du serveur Proxmox.

Je me base seulement pour un seul hôte Proxmox, qui dans ce cas le fait de faire les règles au niveau du data center ou du node n’aura pas forcément d’impact.

### 2.1 Ports utilisés par Proxmox

Proxmox utilise par défaut ces ports pour fonctionner.

Si vous modifiez le port SSH, utilisez le même port sur tous les serveurs du cluster au risque d’avoir des surprises.

<div class="page-content" id="bkmrk-services-protocole-p"><div dir="auto"><table id="bkmrk-services-protocole-p-1"><thead><tr><th>Services</th><th>Protocole</th><th>Ports</th></tr></thead><tbody><tr><td>Web interface</td><td>TCP</td><td>8006</td></tr><tr><td>SSHd</td><td>SSH</td><td>22</td></tr><tr><td>pvedaemon (en écoute)</td><td>TCP</td><td>85</td></tr><tr><td>rpcbind</td><td>TCP</td><td>111</td></tr><tr><td>corosync multicast (pour les clusters)</td><td>UDP</td><td>5404, 5405</td></tr><tr><td>SPICE proxy</td><td>TCP</td><td>3128</td></tr></tbody></table>

</div></div>[Source](https://pve.proxmox.com/wiki/Ports)

### 2.2 Alias

Alias se trouve dans la partie firewall du Datacenter et va permettre de nommer les IP ou les plages d’IP à utiliser dans le firewall.

C’est une habitude de travail de créer des alias, ça évite les oublis, ça permet aussi d’aller plus vite quand on a une correction à effectuer sur une grosse quantité de règles de filtrage.

[![01.png](https://doc.vainsta.fr/uploads/images/gallery/2024-11/scaled-1680-/cElYjpXKLaYiCNQ3-01.png)](https://doc.vainsta.fr/uploads/images/gallery/2024-11/cElYjpXKLaYiCNQ3-01.png)

#### 2.2.1 Plage d’IP

[![02.png](https://doc.vainsta.fr/uploads/images/gallery/2024-11/scaled-1680-/77dOmEtJrQBhNsHO-02.png)](https://doc.vainsta.fr/uploads/images/gallery/2024-11/77dOmEtJrQBhNsHO-02.png)

#### 2.2.2 Une IP

[![03.png](https://doc.vainsta.fr/uploads/images/gallery/2024-11/scaled-1680-/aIh8NsvBq8KLYI9M-03.png)](https://doc.vainsta.fr/uploads/images/gallery/2024-11/aIh8NsvBq8KLYI9M-03.png)

### 2.3 Règles de firewall

Rien de compliqué, on autorise en entrée le port 8006, le SSH, le ping. Et comme ce n'est qu’un seul node, pas besoin de préciser la destination (pas idéal, mais cela simplifie les choses) ni l’interface sur laquelle le trafic doit passer, qui de toute façon pour un seul node sera vmbr0.

<div class="page-content" id="bkmrk-direction-action-sou"><div dir="auto"><table id="bkmrk-direction-action-sou-1"><thead><tr><th>Direction</th><th>Action</th><th>Source</th><th>Protocol</th><th>Destination Port</th><th>Log Level</th><th>Comment</th></tr></thead><tbody><tr><td>in</td><td>ALLOW</td><td>  
</td><td>tcp</td><td>8006</td><td>nolog</td><td>web GUI</td></tr><tr><td>in</td><td>ALLOW</td><td>  
</td><td>tcp</td><td>22</td><td>nolog</td><td>ssh</td></tr><tr><td>in</td><td>ALLOW</td><td>  
</td><td>icmp</td><td>  
</td><td>nolog</td><td>ping</td></tr></tbody></table>

</div></div>#### 2.3.1 Macro

Il est possible d’utiliser des macros de configuration pour certains protocoles comme le SSH ou le protocole SMB qui a besoin d’ouverture de plusieurs ports (TCP 445, TCP 139, UDP 138-139), cela facilite grandement la lecture des règles si vous devez l’utiliser.

[![04.png](https://doc.vainsta.fr/uploads/images/gallery/2024-11/scaled-1680-/IWeW4YdLVLq3EfdW-04.png)](https://doc.vainsta.fr/uploads/images/gallery/2024-11/IWeW4YdLVLq3EfdW-04.png)

#### 2.3.2 Protocole

[![05.png](https://doc.vainsta.fr/uploads/images/gallery/2024-11/scaled-1680-/EOnDMm4so3lXp3q4-05.png)](https://doc.vainsta.fr/uploads/images/gallery/2024-11/EOnDMm4so3lXp3q4-05.png)

### 2.4 Chef, je me suis coupé la main !

En console, il est possible de désactiver le firewall

Éditez le fichier */etc/pve/firewall/cluster.fw* et remplacez la valeur **1** par 0.

```shell
[OPTIONS]

enable: 1

```

<div class="page-content" id="bkmrk--10"><div dir="auto"><div id="bkmrk--11"></div></div></div>### <span class="md-plain">2.5 Utilisation de pfsense pour les VM</span>

<span class="md-plain">Je vous oriente sur le site de </span><span class="md-meta-i-c  md-link">[<span class="md-plain">zwindler</span>](https://blog.zwindler.fr)</span><span class="md-plain"> qui a 3 articles sur le sujet :</span>

<div class="page-content" id="bkmrk-proxmox-ve-6-%2B-pfsen"><div dir="auto">- <span class="md-meta-i-c md-link">[<span class="md-plain">Proxmox VE 6 + pfsense sur un serveur dédié (1/2)</span>](https://blog.zwindler.fr/2020/03/02/deploiement-de-proxmox-ve-6-pfsense-sur-un-serveur-dedie/)</span>

- <span class="md-meta-i-c md-link">[<span class="md-plain">Proxmox VE 6 + pfsense sur un serveur dédié (2/2)</span>](https://blog.zwindler.fr/2020/03/09/proxmox-ve-6-pfsense-sur-un-serveur-dedie-2-3/)</span>

- <span class="md-meta-i-c md-link">[<span class="md-plain">Optimisation de PFsense dans Proxmox VE</span>](https://blog.zwindler.fr/2020/07/06/optimisation-de-pfsense-dans-proxmox-ve/)</span>

</div></div><span class="md-plain">Et aussi le script bash de </span><span class="md-meta-i-c  md-link">[<span class="md-plain">Noa</span>](https://twitter.com/_Akanoa_)</span><span class="md-plain"> disponible sur son GitHub :</span>

<div class="page-content" id="bkmrk-iptables-proxmox-for"><div dir="auto">- <span class="md-meta-i-c md-link">[<span class="md-plain">Iptables Proxmox Forward pfsense</span>](https://gist.github.com/Akanoa/afef9cbc6b4f90a78f2c841017932589#file-iptables-proxmox-forward-pfsense)</span>

</div></div>## 3. Fail2Ban

### 3.1 Installation de Fail2Ban

```
apt install fail2ban
```

### 3.2 Configuration de fail2Ban

Editez le fichier :/etc/fail2ban/jail.local

```
[proxmox]
enabled = true
port = https,http,8006
filter = proxmox
backend = systemd
maxretry = 3
findtime = 2d
bantime = 1h

[sshd]
enabled = true
port = ssh
filter = sshd
logpath = journal
backend = systemd
maxretry = 2
findtime = 300
banaction = iptables-allports
bantime = 86400
ignoreip = 127.0.0.1
```

<div class="page-content" id="bkmrk--12"><div dir="auto"><div id="bkmrk--13"></div></div></div>/etc/fail2ban/filter.d/proxmox.conf

```
[Definition]
failregex = pvedaemon\[.*authentication failure; rhost=<HOST> user=.* msg=.*
ignoreregex =
journalmatch = _SYSTEMD_UNIT=pvedaemon.service
```

<div class="page-content" id="bkmrk--14"><div dir="auto"><div id="bkmrk--15"></div></div></div>Relancer le service de Fail2Ban

```shell
systemctl restart fail2ban.service
```

<div class="page-content" id="bkmrk--16"><div dir="auto"><div id="bkmrk--17"></div></div></div>Sources : [wiki Proxmox](https://pve.proxmox.com/wiki/Fail2ban)

### 3.3 Les commandes utiles de Fail2Ban

#### 3.3.1 Bannir une IP

```shell
fail2ban-client set [nom du jail] banip [IP à bannir]
```

<div class="page-content" id="bkmrk--18"><div dir="auto"><div id="bkmrk--19"></div></div></div>#### 3.3.2 Enlever le ban d’une IP

```shell
fail2ban-client set [nom du jail] unbanip [IP concerné]
```

<div class="page-content" id="bkmrk--20"><div dir="auto"><div id="bkmrk--21"></div></div></div>#### 3.3.3 Lister les règles

```shell
fail2ban-client status

Status
|- Number of jail:      1
`- Jail list:   sshd
```

<div class="page-content" id="bkmrk--22"><div dir="auto"><div id="bkmrk--23"></div></div></div>#### 3.3.4 Détails d’une règle

```shell
fail2ban-client status sshd

Status for the jail: sshd
|- Filter
|  |- Currently failed: 0
|  |- Total failed:     5
|  `- File list:        /var/log/auth.log
`- Actions
   |- Currently banned: 1
   |- Total banned:     1
   `- Banned IP list:   192.168.1.21
```

<div class="page-content" id="bkmrk--24"><div dir="auto"><div id="bkmrk--25"></div></div></div>Et si l’on veut en savoir plus sur les tentatives de connexion, il faut regarder dans /var/log/auth.log

```shell
tail /var/log/auth.log

Dec  9 12:46:14 pve sshd[3769206]: Failed password for nidouille from 192.168.1.21 port 39516 ssh2
Dec  9 12:46:18 pve sshd[3769206]: Failed password for nidouille from 192.168.1.21 port 39516 ssh2
Dec  9 12:46:22 pve sshd[3769206]: Failed password for nidouille from 192.168.1.21 port 39516 ssh2
Dec  9 12:46:23 pve sshd[3769206]: Connection closed by authenticating user nidouille 192.168.1.21 port 39516 [preauth]
Dec  9 12:46:23 pve sshd[3769206]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.21  user=nidouille
```

<div class="page-content" id="bkmrk--26"><div dir="auto"><div id="bkmrk--27"></div></div></div>## 4. SSH

Par défaut, Proxmox ne propose qu’un compte utilisateur : root. On va le sécuriser à minima pour les connexions SSH.

Voici les options activées après une installation d’un node dans /etc/ssh/sshd\_config, et ce n’est pas fou.

```shell
PermitRootLogin yes

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no

UsePAM yes
X11Forwarding yes
PrintMotd no

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

# override default of no subsystems
Subsystem       sftp    /usr/lib/openssh/sftp-server
```

<div class="page-content" id="bkmrk--28"><div dir="auto"><div id="bkmrk--29"></div></div></div>Fail2Ban amène une protection pour les attaques par brute force, mais si on garde l’utilisateur root pour l'accès distant en ssh, on va monter d’un cran la sécurité en obligeant la connexion via clefs. Je ne saurais que trop conseiller la désactivation de l’utilisateur SSH au profit d’un autre compte système.

Je pars du principe que vous avez vos clefs SSH privés et publique.

Dans /root/.ssh/authorized\_keys, vous allez renseigner votre clef publique

Puis modifier /etc/ssh/sshd\_config pour forcer l'authentification par clefs.

```shell
#PermitRootLogin yes
PermitRootLogin prohibit-password
PubkeyAuthentication yes
PasswordAuthentication no
PermitEmptyPassword no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no

UsePAM yes
X11Forwarding no
PrintMotd no

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

# override default of no subsystems
Subsystem       sftp    /usr/lib/openssh/sftp-server
```

<div class="page-content" id="bkmrk--30"><div dir="auto"><div id="bkmrk--31"></div></div></div>## 5. Comptes utilisateurs

<span class="md-plain">La gestion des comptes utilisateurs peut être précise et déroutante.</span>

<span class="md-plain">De base, on a deux types de comptes utilisateur :</span>

<div class="page-content" id="bkmrk-pam-%28compte-syst%C3%A8me%29"><div dir="auto">- <span class="md-plain">PAM (compte système)</span>
- <span class="md-plain">Proxmox</span>

</div></div><span class="md-plain">Auquel on peut rajouter d'autre source d'utilisateur via le menu Realms (non traité ici) :</span>

<div class="page-content" id="bkmrk-active-directory-lda"><div dir="auto">- <span class="md-plain">Active Directory</span>
- <span class="md-plain">LDAP</span>
- <span class="md-plain">OpenID Connect</span>

</div></div><span class="md-plain">Puis, on donne aux utilisateurs deux permissions :</span>

<div class="page-content" id="bkmrk-path-role"><div dir="auto">- <span class="md-plain">Path</span>
- <span class="md-plain">Role</span>

</div></div><span class="md-plain">Il est bien sûr possible de créer des groupes d'utilisateurs, de nouveaux rôles en associant les privilèges que l'on désire et de créer des pools regroupant des VM et des datastores pour encore affiner les droits si besoin. </span>

### 5.1 Les rôles

Les rôles regroupent les privilèges.

<div class="page-content" id="bkmrk-nom-privil%C3%A8ges-admin"><div dir="auto"><table id="bkmrk-nom-privil%C3%A8ges-admin-1" style="width: 791px; height: 405px;"><thead><tr><th style="width: 150.922px;">Nom</th><th style="width: 639.078px;">Privilèges</th></tr></thead><tbody><tr><td style="width: 150.922px;">Administrator</td><td style="width: 639.078px;">Tous les droits</td></tr><tr><td style="width: 150.922px;">NoAccess</td><td style="width: 639.078px;">Aucun droits donc aucun accès</td></tr><tr><td style="width: 150.922px;">PVEAdmin</td><td style="width: 639.078px;">Tout sauf les paramètres systèmes (Sys.PowerMgmt, Sys.Modify, Realm.Allocate)</td></tr><tr><td style="width: 150.922px;">PVEAuditor</td><td style="width: 639.078px;">Accès en lecture seule</td></tr><tr><td style="width: 150.922px;">PVEDatastoreAdmin</td><td style="width: 639.078px;">Administration des espaces de stockage et des templates (inclus le backup)</td></tr><tr><td style="width: 150.922px;">PVEDatastoreUser</td><td style="width: 639.078px;"><span class="td-span md-focus"><span class="md-plain md-expand">Allocation des espaces de stockage et des templates (inclus le backup)</span></span></td></tr><tr><td style="width: 150.922px;">PVEPoolAdmin</td><td style="width: 639.078px;">Administration des pools</td></tr><tr><td style="width: 150.922px;">PVEPoolUser</td><td style="width: 639.078px;">Consultations des pools</td></tr><tr><td style="width: 150.922px;">PVESysAdmin</td><td style="width: 639.078px;">ACLs utilisateur, audit, console système et journaux système</td></tr><tr><td style="width: 150.922px;">PVETemplateUser</td><td style="width: 639.078px;">visualiser et cloner des templates</td></tr><tr><td style="width: 150.922px;">PVEUserAdmin</td><td style="width: 639.078px;">administration des utilisateurs</td></tr><tr><td style="width: 150.922px;">PVEVMAdmin</td><td style="width: 639.078px;">administrations des VM</td></tr><tr><td style="width: 150.922px;">PVEVMUser</td><td style="width: 639.078px;">visualisation, sauvegarde, CDROM de configuration, console VM, gestion de l’alimentation VM</td></tr></tbody></table>

</div></div>### 5.2 Comptes système (PAM)

Les comptes PAM sont des comptes systèmes. Les seuls à pouvoir se connecter en SSH ou console.

Pour la création de ce type de compte, en dehors du compte systèmes, le reste peut se faire en console ou via la GUI.

#### Configuration des permissions  


Il faut en premier crée un groupe est configurer ses permission avant de crée l'utilisateur (cela peux aussi être faire après la création de compte)

[![4.png](https://doc.vainsta.fr/uploads/images/gallery/2024-12/scaled-1680-/V4yO0Q9IXWo4RuDl-4.png)](https://doc.vainsta.fr/uploads/images/gallery/2024-12/V4yO0Q9IXWo4RuDl-4.png)

puis nous allons sur la page permission est ajouter les permission voulus a ce groupe

[![5.png](https://doc.vainsta.fr/uploads/images/gallery/2024-12/scaled-1680-/23wU2OGaOnoGU0X0-5.png)](https://doc.vainsta.fr/uploads/images/gallery/2024-12/23wU2OGaOnoGU0X0-5.png)

#### Création du compte système

On ajoute en premier le compte depuis Datacenter -&gt; user

[![1.png](https://doc.vainsta.fr/uploads/images/gallery/2024-12/scaled-1680-/B65maWlpD6dit7ME-1.png)](https://doc.vainsta.fr/uploads/images/gallery/2024-12/B65maWlpD6dit7ME-1.png)

Il faut aussi l'ajouter manuellement sur la machine car il n'existe pas par défaut

[![2.png](https://doc.vainsta.fr/uploads/images/gallery/2024-12/scaled-1680-/9v4qTBTKj6fH5a9v-2.png)](https://doc.vainsta.fr/uploads/images/gallery/2024-12/9v4qTBTKj6fH5a9v-2.png)

<div class="page-content" id="bkmrk--32"><div dir="auto"><div id="bkmrk--33"></div></div></div>#### Configuration du mot de passe  


Après avoir ajouter le compte sur la machine on peux retourner sur la page Utilisateur et editer le mot de passe

[![3.png](https://doc.vainsta.fr/uploads/images/gallery/2024-12/scaled-1680-/LBTHMludHGuGgpSt-3.png)](https://doc.vainsta.fr/uploads/images/gallery/2024-12/LBTHMludHGuGgpSt-3.png)

#### Configuration du Shell

Vu que l'utilisateur a été crée a la main par défaut il n'utilise pas bash il faut donc utiliser cette commande est se déconnecter et reconnecter

```bash
chsh -s /bin/bash USER
```

<div class="page-content" id="bkmrk--38"><div dir="auto"><div id="bkmrk--39"></div></div></div>### 5.3 Authentification à double facteurs TOTP

Pour la mise en place rapide d’une double authentification, la solution du TOTP est idéal. Il faut juste un gestionnaire de mot de passe qui possède cette fonctionnalité comme Bitwarden, LastPass via son application dédiée Authentificator, NordPass, etc., ou des applications dédiées comme LastPass, Authentificator, etc.

Pour en savoir plus sur le TOTP:

<div class="page-content" id="bkmrk-site-de-la-soci%C3%A9t%C3%A9-f"><div dir="auto">- site de la société française Synestis spécialisé en cybersécurité : [lien](https://www.synetis.com/authentification-totp/)
- blog de l’hébergeur IONOS : [lien](https://www.ionos.fr/digitalguide/serveur/securite/totp/)

</div></div>Pour le tutoriel, j’utilise Bitwarden (produit très utilisé) pour la génération du code aléatoire. Mais il n’est pas possible sur l’application d’effectuer des captures d’écran, les captures faites le sont sur mon client Bitwarden installé sur mon PC.

[![06.png](https://doc.vainsta.fr/uploads/images/gallery/2024-11/scaled-1680-/RhmqROdAlpqhuqdi-06.png)](https://doc.vainsta.fr/uploads/images/gallery/2024-11/RhmqROdAlpqhuqdi-06.png)

Ouvrir Bitwarden sur votre téléphone

Créer un nouvel élément de type identifiant

<div class="page-content" id="bkmrk-nom-pour-bitwarden-n"><div dir="auto">- Nom pour Bitwarden
- Nom d’utilisateur
- Le mot de passe de l’utilisateur (facultatif)
- Clé authentification (TOTP) : prenez en photo le QR code généré et cela remplira la ligne

</div></div>[![07.png](https://doc.vainsta.fr/uploads/images/gallery/2024-11/scaled-1680-/rQClVUAMDQov1pZK-07.png)](https://doc.vainsta.fr/uploads/images/gallery/2024-11/rQClVUAMDQov1pZK-07.png)

Sauvegarder identifiant créé et ensuite, ouvrez-le. Vous verrez un code généré avec un temps avant la génération d’un nouveau code (30 secondes).

[![08.png](https://doc.vainsta.fr/uploads/images/gallery/2024-11/scaled-1680-/XyKkNeqQMw2rRwm1-08.png)](https://doc.vainsta.fr/uploads/images/gallery/2024-11/XyKkNeqQMw2rRwm1-08.png)

![](http://192.168.1.43:1313/images/Proxmox_secu/08.png)Rentrer le code dans la boite de dialogue de création de compte TOTP de Proxmox pour activer le TOTP du compte.

[![09.png](https://doc.vainsta.fr/uploads/images/gallery/2024-11/scaled-1680-/2LUuFV4oHkUwKx0h-09.png)](https://doc.vainsta.fr/uploads/images/gallery/2024-11/2LUuFV4oHkUwKx0h-09.png)

[![10.png](https://doc.vainsta.fr/uploads/images/gallery/2024-11/scaled-1680-/9aMpQ3xEnKDkPsZK-10.png)](https://doc.vainsta.fr/uploads/images/gallery/2024-11/9aMpQ3xEnKDkPsZK-10.png)

[![11.png](https://doc.vainsta.fr/uploads/images/gallery/2024-11/scaled-1680-/vMa4xsgiz5KDQRss-11.png)](https://doc.vainsta.fr/uploads/images/gallery/2024-11/vMa4xsgiz5KDQRss-11.png)

<div class="page-content" id="bkmrk--48"><div class="text-muted text-small"><div class="entity-meta">  
</div></div></div>