Ein Proxmox-Server ist schnell installiert. Aber wenn Sie ihn offen ins Netz stellen, wird er auch schnell zum Ziel für Angriffe. Deshalb reicht es nicht, einfach nur alles zum Laufen zu bringen. Sie müssen auch dafür sorgen, dass Ihr System sicher ist. In diesem Artikel zeige ich, wie Sie Ihren Proxmox-Server absichern und härten – Schritt für Schritt.
Zugänge absichern – SSH, Root und Benutzerkonten
Direkt nach der Installation läuft auf einem Proxmox-Server der SSH-Zugang mit Root-Rechten. Das ist bequem, aber auch gefährlich. Lassen Sie den direkten Root-Login per SSH nicht dauerhaft aktiviert. Legen Sie stattdessen einen eigenen Admin-User an und erlauben Sie nur ihm den Zugang über SSH – am besten mit einem SSH-Schlüssel, nicht mit Passwort. So vermeiden Sie Brute-Force-Angriffe auf das Root-Konto.
In der Datei /etc/ssh/sshd_config sollten Sie PermitRootLogin auf no setzen und PasswordAuthentication deaktivieren. Danach den SSH-Dienst neu starten. Das reduziert die Angriffsfläche sofort spürbar.
Lesen Sie meinen umfassenden Artikel zu Proxmox absichern und abhärten auf meiner Website ralf-peter-kleinert.de.
Paketquellen und unnötige Software entfernen
Nach der Installation bringt Proxmox einige Dinge mit, die nicht jeder braucht. Beispielsweise wird der Maildienst „postfix“ mitinstalliert, auch wenn der Server keine Mails versenden soll. Entfernen Sie solche Pakete, um die Angriffsfläche zu verkleinern. Alles, was nicht auf dem Server laufen muss, gehört runter.
Gleichzeitig lohnt sich ein Blick auf die Paketquellen. Entfernen Sie ungenutzte Repositories und Drittquellen, wenn Sie sie nicht brauchen. So halten Sie Ihr System schlank und sicher.
Updates regelmäßig einspielen
Ein veralteter Server ist ein unsicherer Server. Halten Sie Proxmox und das darunterliegende Debian-System immer aktuell. Verwenden Sie apt update und apt full-upgrade, um alle Sicherheitsupdates einzuspielen. Vor allem Kernel-Updates sind wichtig, da viele Sicherheitslücken direkt dort ansetzen.
Ein Hinweis: Wenn Sie einen Custom-Kernel nutzen oder Kernel-Updates vermeiden wollen, achten Sie darauf, dass Sie zumindest alle anderen Pakete regelmäßig aktualisieren.
Firewall aktivieren und sinnvoll konfigurieren
Proxmox bringt eine eigene Firewall mit. Viele Nutzer vergessen, sie zu aktivieren – und lassen den Server damit ungeschützt im Netz stehen. Gehen Sie in der Weboberfläche auf „Datacenter“ → „Firewall“ und aktivieren Sie die Firewall global. Danach können Sie Regeln auf Host-, VM- und Container-Ebene festlegen.
Blockieren Sie alle Ports außer denen, die Sie wirklich brauchen. SSH (Port 22) sollten Sie z. B. nur für bestimmte IPs öffnen, die Weboberfläche (Port 8006) ebenso. Alles andere gehört gesperrt.
Fail2Ban einsetzen
Selbst mit deaktiviertem Root-Zugang wird der SSH-Port regelmäßig attackiert. Fail2Ban kann solche Angriffe erkennen und blockieren. Es überwacht die Logdateien und sperrt IP-Adressen automatisch, wenn sie zu oft falsche Passwörter verwenden.
Installieren Sie Fail2Ban mit apt install fail2ban und konfigurieren Sie es über die Datei /etc/fail2ban/jail.local. Aktivieren Sie mindestens die SSH-Überwachung. Für die Proxmox-Weboberfläche kann ebenfalls ein eigener Filter eingerichtet werden, um auch dort Angriffe zu erkennen.
Weboberfläche absichern
Die Web-GUI von Proxmox ist praktisch, aber ebenfalls ein beliebtes Ziel. Verwenden Sie ein sicheres Passwort und deaktivieren Sie ungenutzte Benutzerkonten. Aktivieren Sie außerdem die Zwei-Faktor-Authentifizierung (2FA), wenn Sie den Zugang zur Weboberfläche über das Internet erlauben.
Wenn möglich, legen Sie den Zugriff auf die GUI nur über ein internes VPN-Netzwerk oder über einen Reverse-Proxy mit zusätzlicher Authentifizierung frei. Öffnen Sie die GUI nicht für die ganze Welt.
Backups und Wiederherstellung
Sicherheit bedeutet nicht nur, Angriffe zu verhindern – sondern auch, im Notfall vorbereitet zu sein. Ein vollständiges Backup Ihrer virtuellen Maschinen (VMs) und Container gehört zur Grundausstattung. Nutzen Sie die integrierte Backup-Funktion von Proxmox und speichern Sie die Sicherungen auf einem externen Medium oder auf einem dedizierten Backup-Server.
Testen Sie regelmäßig die Wiederherstellung – es bringt nichts, nur Backups zu haben, wenn sie im Ernstfall nicht funktionieren.
System überwachen
Zu guter Letzt: Behalten Sie den Überblick. Verwenden Sie Log-Dateien, Monitoring-Tools oder E-Mail-Benachrichtigungen, um den Zustand Ihres Servers im Blick zu behalten. Bei Proxmox lassen sich E-Mails für Systemereignisse einrichten – etwa für Backup-Erfolge oder Hardware-Probleme. So merken Sie schnell, wenn etwas nicht stimmt.
Zum Schluss
Ein frisch installierter Proxmox-Server ist kein sicheres System – er ist nur der Anfang. Erst durch gezielte Maßnahmen wird daraus eine stabile und geschützte Umgebung. Wer die Punkte aus diesem Artikel beachtet, kann seinen Proxmox-Server deutlich sicherer betreiben – ob im Heimnetz oder auf einem Root-Server im Rechenzentrum.