Защита подключений Proxmox

       Защита SSH подключений 
Создаем нового юзера
useradd -m -U -s /bin/bash -G sudo User
Задаем пароль новому пользователю
passwd User
Открываем файл конфигурации SSH сервера
nano /etc/ssh/sshd_config
Находим и приводим к такому виду следующие строки (если строки нет, дописываем её)
PermitRootLogin no - запрещает root вход по SSH
ClientAliveInterval 300 — через 300 секунд сервер отправит проверку активности клиенту.
ClientAliveCountMax 1 — если нет ответа на первую проверку, соединение будет разорвано.
AllowUsers proxmoxOperator - разрешает вход только указанным пользователям
Port - задает порт на котором будет работать SSH
MaxAuthTries 2 - Ограничивает число попыток входа по SSH
AllowTcpForwarding no - Запрещает проброс TCP-портов через SSH
X11Forwarding no - Отключает графический проброс X11 — нельзя запускать GUI-программы через SSH
AllowAgentForwarding no -Запрещает проброс SSH-агента — защита от утечки приватных ключей при использовании ssh-agent
Сохраняем файл

Делаем проверку файла конфигурации SSH на ошибки :
sshd -t

Перезагружаем службу SSH
systemctl restart sshd

Установка fail2ban (защита от брутфорса ssh)
apt install fail2ban

Копируем файл конфигурации в файл jail.local
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Открываем для редактирования файл конфиги jail.local
nano /etc/fail2ban/jail.local 
Блок для sshd
[sshd]

enabled = true

port = 2222

filter = sshd

backend = systemd

bantime = 1h

findtime = 2d

maxretry = 3

Перезагружаем службу fail2ban
systemctl restart fail2ban

Проверяем статус защиты и попытки нас брутфорсить
fail2ban-client status sshd

Конфига fail2ban для web интерфейса proxmox

После настройки, так же проверяет проверяем статус и попытки брутфорса 

fail2ban-client status proxmox

2. Добавляем разрешающие правила для входящих соединений. (в веб интерфейсе)
   
   
3. Включаем Firewall (в веб интерфейсе)
   
   
4. Останавливает службу rpcbind
   service rpcbind stop
   systemctl disable rpcbind.service
   
   
5. Через веб интерфейс proxmox проверяем состояние наших дисков (S.M.A.R.T + % износа для SSD, если 40+ износ, пишем письмо хостеру с просьбой заменить)
   
   
6. Подключаем наш LVM (storage)
   
   
7. Меняем значение параметра отвечающего за то на сколько активно ОС будет использовать swap
   nano /etc/sysctl.conf
   
   Добавляем в самом низу :
   vm.swappiness=1
   
   Применяем изменения :
   sysctl -p
   
   
8. Отключение ipv6Создаем файл конфиги :
   /etc/sysctl.d/disable-ipv6.conf
   
   Добавляем в файл :
   net.ipv6.conf.all.disable_ipv6 = 1

net.ipv6.conf.default.disable_ipv6 = 1

Cохраняем

Применяем :
sudo sysctl --system

9. Проверяем открытые порты утилитой nmap (zenmap для GUI Windows)
   nmap -p 1-65535 -T4 -A -v <HOST_IP>