Checklist Bảo Mật Proxmox VE nên làm – dựa trên kinh nghiệm thực chiến

Proxmox VE đang trở thành nền tảng ảo hóa phổ biến nhờ chi phí hợp lý, mã nguồn mở và khả năng mở rộng tốt. Tuy nhiên, trong quá trình vận hành hạ tầng VPS thực tế, chúng tôi nhận thấy phần lớn sự cố không xuất phát từ lỗ hổng Proxmox mà đến từ cấu hình sai, phân quyền chưa chặt chẽ hoặc thiếu các biện pháp bảo vệ cơ bản.

Dưới đây là checklist bảo mật được tổng hợp từ kinh nghiệm triển khai và vận hành các cụm Proxmox phục vụ dịch vụ VPS, Hosting và Cloud.

1. Không Mở Cổng 8006 Ra Internet Nếu Không Thực Sự Cần Thiết

Đây là lỗi phổ biến nhất.

Mặc định giao diện quản trị Proxmox sử dụng cổng 8006. Nhiều đơn vị triển khai xong và mở trực tiếp ra Internet mà không có bất kỳ lớp bảo vệ nào.

Khuyến nghị:

• Chỉ cho phép truy cập từ VPN hoặc IP quản trị.
• Bật Firewall để giới hạn nguồn truy cập.
• Theo dõi log đăng nhập bất thường.

Nếu buộc phải mở ra Internet, bắt buộc sử dụng mật khẩu mạnh và xác thực hai lớp.

2. Kích Hoạt Two-Factor Authentication (2FA)

Trong thực tế, phần lớn các vụ truy cập trái phép xuất phát từ việc lộ mật khẩu quản trị.

Proxmox hỗ trợ:

• TOTP (Google Authenticator, Microsoft Authenticator)
• WebAuthn/FIDO2
• YubiKey

Việc bật 2FA cho toàn bộ tài khoản quản trị gần như loại bỏ hoàn toàn nguy cơ bị đăng nhập trái phép do lộ mật khẩu.

Bật Two-Factor Authentication (2FA)

Datacenter

Permissions
 └── Realms

Kích hoạt:

TOTP

hoặc

WebAuthn

3. Không Sử Dụng Root

Tài khoản root nên được giữ cho các tác vụ đặc biệt. Hoặc tạo tài khoản thay thế và disable root. tài khoản root là mục tiêu tấn công dò mật khẩu

Thay vào đó:

• Tạo tài khoản quản trị riêng.
• Phân quyền theo vai trò.
• Theo dõi nhật ký đăng nhập.

Điều này giúp dễ dàng audit và truy vết khi có sự cố.

Tạo user riêng:

Datacenter
 └── Permissions
      └── Users

Ví dụ:

admin01@pve

Gán role:

Administrator

4. Tắt SSH Password Login

Trong môi trường VPS thương mại, các cuộc quét SSH diễn ra liên tục mỗi ngày.

Nên cấu hình:

• Chỉ cho phép SSH bằng khóa công khai (SSH Key).
• Tắt Password Authentication.
• Hạn chế đăng nhập root trực tiếp.

Đây là biện pháp đơn giản nhưng hiệu quả nhất để giảm thiểu nguy cơ brute-force.

5. Kích Hoạt Firewall Ở Cấp Datacenter

Nhiều hệ thống chỉ cấu hình firewall bên trong VPS mà quên lớp bảo vệ trên hypervisor.

Nên bật:

• Datacenter Firewall
• Node Firewall
• VM Firewall

Các tính năng như IP Filter, MAC Filter và Reverse Path Filtering giúp ngăn chặn IP Spoofing, ARP Spoofing và nhiều hình thức tấn công nội bộ khác.

Bật Proxmox Firewall

Datacenter
 └── Firewall

Enable:

Firewall = Yes

Chính sách mặc định

Input  = DROP
Output = ACCEPT

Chỉ mở port cần thiết

Ví dụ:

22
8006
5900-5999 (nếu dùng VNC)

Chặn Spoofing

IP Filter = Yes

Bật MAC Filter

MAC Filter = Yes

Bật RPF

RPF = Yes

Giúp chống IP giả mạo.

6. Tách Riêng Mạng Quản Trị Và Mạng Khách Hàng

Một sai lầm nguy hiểm là sử dụng chung VLAN cho:

• Quản trị Proxmox
• Storage
• Public Network

Mô hình khuyến nghị:

• VLAN Management
• VLAN Storage
• VLAN Public
• VLAN Backup

Việc phân tách giúp hạn chế rủi ro lan truyền khi xảy ra sự cố hoặc tấn công mạng.

7. Kiểm Soát API Token Và Phân Quyền

API Token rất tiện lợi cho tự động hóa nhưng cũng là mục tiêu tấn công hấp dẫn.

Định kỳ:

• Kiểm tra token đang hoạt động.
• Xóa token không còn sử dụng.
• Áp dụng nguyên tắc cấp quyền tối thiểu.

Không nên sử dụng một token toàn quyền cho tất cả hệ thống.

8. Theo Dõi Lưu Lượng Bất Thường

Trong môi trường VPS, các sự cố thường gặp gồm:

• Spam mail
• DDoS outbound
• Scan mạng
• Proxy hoặc VPN trái phép

Nên thường xuyên kiểm tra:

• Kết nối bất thường
• Lưu lượng tăng đột biến
• MAC hoặc IP lạ xuất hiện trên bridge

Việc phát hiện sớm giúp tránh ảnh hưởng đến toàn bộ cụm máy chủ.

9. Sao Lưu Và Kiểm Tra Khả Năng Khôi Phục

Nhiều đơn vị có backup nhưng chưa từng kiểm tra restore.

Một bản backup chỉ thực sự có giá trị khi có thể khôi phục thành công.

Khuyến nghị:

• Backup tự động hàng ngày.
• Lưu trữ trên hệ thống riêng biệt.
• Định kỳ kiểm tra khả năng phục hồi dữ liệu.

10. Cập Nhật Hệ Thống Định Kỳ

Không nên để Proxmox, Kernel hoặc các thành phần mạng ở trạng thái quá cũ.

Tuy nhiên, với môi trường sản xuất:

• Kiểm tra changelog trước khi nâng cấp.
• Thử nghiệm trên node dự phòng.
• Lập kế hoạch rollback khi cần.

Việc cập nhật thiếu kiểm soát đôi khi còn nguy hiểm hơn việc chậm cập nhật.

Những Lỗi Bảo Mật Chúng Tôi Gặp Nhiều Nhất

Qua thực tế hỗ trợ khách hàng VPS và Cloud, các lỗi phổ biến nhất gồm:

• Mở cổng 8006 ra Internet.
• Không bật 2FA.
• SSH bằng mật khẩu.
• Không giới hạn IP quản trị.
• Không có Firewall Datacenter.
• Không tách VLAN quản trị và VLAN khách hàng.
• Không kiểm tra log đăng nhập.
• Không kiểm tra khả năng restore backup.

Kết Luận

Bảo mật Proxmox không nằm ở việc cài thêm thật nhiều phần mềm mà nằm ở việc xây dựng đúng quy trình vận hành ngay từ đầu.

Một hệ thống Proxmox an toàn nên đáp ứng tối thiểu các yêu cầu:

• SSH Key Only.
• Two-Factor Authentication.
• Firewall Datacenter được kích hoạt.
• Phân tách mạng quản trị và mạng khách hàng.
• Backup định kỳ và kiểm tra restore.
• Theo dõi lưu lượng và nhật ký truy cập thường xuyên.

Đối với các đơn vị cung cấp VPS hoặc Cloud, đây không chỉ là vấn đề bảo mật mà còn là yếu tố quyết định sự ổn định và uy tín của toàn bộ hạ tầng dịch vụ.