Bin gestern auf deinen Kanal gestoßen! Sehr gute Videos, bitte weiter so!

Ich finde deine Videos gut, du bringst die Sachen auf den Punkt und quatschst nicht zu viel, zu schnell oder zu langsam. Mach weiter so! Deine Begeisterung für Fail2ban kann ich nicht ganz teilen. Die Idee dahinter ist gut, aber die Logs zu nutzen halte ich für den falschen Ansatz. Wenn man wirklich das Login schützen möchte, würde ich eher zu pam_shield github.com/jtniehof/pam_shield oder/und pam_tally2 raten, die brauchen deutlich weniger Ressourcen, werden direkt als Modul bei der Authentifikation eingeklinkt und bieten dadurch weniger Potential für Fehler/Fehlverhalten. Diese beiden Module funktionieren allerdings nur für PAM, für andere Dienste werden andere Lösungen gebraucht. Fail2ban als zusätzlicher Layer kann auch durchaus eine Option sein, es wäre aber definitiv nicht meine Goto-Lösung, jedenfalls nicht als alleinige Absicherung.

Super interessante Videoreihe! Abbo ist gesetzt! Habe selber nun ein Proxmox auf einer dedizierten Kiste eines Anbieters aufgesetzt. Aktuell noch über die öffentliche IP erreichbar. Wollte mir da jetzt eine opnsense aufsetzen, um Wireguard zu meinem Homenetzwerk aufzubauen und meine container/vms über die sense zu managen. Wäre super interessant, wenn du mal ein bisschen über deine/eure Netzwerkstruktur in Verbindung mit der Pfsense zeigst. Habe da auch Mailserver etc bei euch gesehen. Videomaterial ist auf jeden Fall genug da 😄. Mach weiter so!

Mega. Danke. Gute Tipps dabei

Gutes Video und gut erklärt👍 Hätte da mal eine Frage: Habe folgenden Aufbau geplant: router -> firewall -> proxmox (fw hat nur 1 nic für wan und 1 nic für lan) Lohnt es sich da vlans einzurichten für die vms und Administration oder einfach am proxmox eine zweite nic nur für Administration einbauen (wo man sich dann nur über diese nic auf die proxmox gui schalten kann?). Proxmox selber würde ich planen nur für Updates nach wan eine Verbindung zu haben. Aber wie mache ich das dann für die vms? Die brauchen ja auch internet. Also dafür die vlans? Da muss ich mir dann nur switche suchen, die vlan fähig sind. Also habe ich das richtig verstanden, dass über 1 nic beim proxmox das vlan in der firewall erlaubt werden kann neben dem proxmox, dass dann keine wan Verbindung bekommt?

Ich finde Proxmox eine super Hypervisor Lösung. Kostenlos und hat viele Features. Hast du auch Mal ESXi genutzt?

Kann ich die Firewall auf dem WAN Port des Proxmox Host (vmbr0?) weglassen, wenn ich direkt dahinter eine pfSense-Instanze betreibe, die das Filtern übernimmt?

4:40 hängt das Ding im Internet

I wish I could understand.. I don't speak English. Did you happen to get this info from an English website.

Zum Thema "Erst mal alles zu": Ich teile deine Meinung nicht. Ja, das ist anfangs unbequem. Aber man gewöhnt sich daran. Die "Mach alles zu"-Politik hat sich nach Pentests bei uns etabliert, denn nur auf dem Weg kommt man sauber durch. Nur das Minimalprinzip führt zu einigermaßen sicheren Systemen. Das gilt auch für die installierten Pakete. Wenn ich dein Szenario noch ergänzen darf: Setz einen Reverse Proxy vor den Proxmox, so dass du Client-Zertifikate einsetzen kann. Und falls du eine feste IP daheim hast oder in der Firma, sorge dafür, dass nur von diesen IPs das Webinterface erreichbar ist. Naja, und dann natürlich das übliche Hardening durchführen. Abschalten, was abzuschalten geht, wenn es nicht gebraucht wird.

Gibt es von Proxmox eine API oder eine Lösung dass ich wie die Hoster per Website VMs erstellen, starten und stoppen kann? Edit: Ich habe gesehen das es so eine API mit sehr vielen Funktionen gibt, kannst du vielleicht mal zeigen wie man diese effizient und vorallem sicher verwendet? Es soll dadurch ja keine Sicherheitslücke entstehen

Das mit der Firewall kann ich dir gerne mal erklären und unzählige echte Beispiele nennen wieso man IMMER genau in der FW definieren sollte wer wohin und wie spricht. Eigentlich sollte man immer DMZen bauen. Security ist mühselig aber mittlerweile notwendig. Für privat muss man es aber nicht so krass übertreiben.

Ich würde da lieber eine pfsense Vorhängen, nur da habe ich das Problem das ich wenn ich verschiedene ct/VMs habe ich alle Ports von den verschiedenen VMs über eine IP und dann verschiedene Ports nutzen muss

ICMP!=Ping, sehr wichtig! Ping zu verbieten ist wirklich doof. Generell ICMP zu erlauben, leider auch. Echo request, echo reply, time exceeded, destination unreachable, pmtud sind ok, rest DROP. Aber sonst super Videos. Danke.

Ich glaube für meinen Server interessiert sich eh niemand