proxmox setup configuration hardening debian sysadmin-deep-dive

Proxmox Post-Installation & Initial Configuration

Vom ersten Boot zur produktionsreifen Plattform. In diesem Deep Dive behandeln wir die kritischen Schritte nach der Installation: Repository-Härtung, Netzwerk-Bridging, Postfix-Konfiguration für Alarme und das Entfernen von 'Nag-Screens'. Wir machen aus einem Standard-Debian ein gehärtetes Hypervisor-System.

# Proxmox Initial Configuration: Das System produktionsreif machen

TL;DR / Management Summary Ein frisch installiertes Proxmox VE ist wie ein ungeschliffener Diamant. Die Standardeinstellungen sind für maximale Kompatibilität gewählt, nicht für maximale Performance oder Sicherheit. Nach dem ersten Login müssen wir die Post-Installation Tasks abarbeiten: Umstellung auf die richtigen Repositories, Absicherung des Netzwerks und Konfiguration der Alarmierung. Wer diese Schritte überspringt, wird bei den ersten Updates oder im Fehlerfall (fehlende Mails) böse Überraschungen erleben.

# 1. Einführung: Der erste Login

Nachdem Sie Proxmox via ISO installiert haben, erreichen Sie die Web-GUI unter https://<IP>:8006. Der Benutzer ist root, das Passwort das im Installer vergebene.

# Der Initial-Setup Workflow (Mermaid)

graph TD
    A[Start: Erster Login] --> B[Schritt 1: Repository Härtung]
    B --> C[Schritt 2: System Update - dist-upgrade]
    C --> D[Schritt 3: Netzwerk-Design - VLAN Aware]
    D --> E[Schritt 4: Storage Pool Optimierung]
    E --> F[Schritt 5: Mail-Relay & Alarme]
    F --> G[Fertig: Produktionsbereit]

    style B fill:#f96,stroke:#333
    style C fill:#f96,stroke:#333
    style F fill:#f96,stroke:#333

# 2. Repository-Management & Updates

Dies ist der wichtigste Schritt, um die Stabilität des Systems zu gewährleisten. Proxmox nutzt standardmäßig das Enterprise-Repository, das eine kostenpflichtige Subscription erfordert.

# Die Repository-Strategie (Mermaid)

graph LR
    subgraph "Update Quellen"
        E[Enterprise Repo - Stabil/Geprüft]
        N[No-Subscription Repo - Aktuell/Schnell]
        T[Test/Pve-No-Sub - Bleeding Edge]
    end

    subgraph "Host OS"
        OS[Proxmox Host]
    end

    E -- "Mit Subscription" --> OS
    N -- "Ohne Subscription" --> OS
    T -- "Nur zum Testen!" --> OS

# Konfiguration (Shell-Weg)

Wenn Sie keine Subscription haben, müssen Sie die Quellen manuell anpassen:

# 1. Enterprise Repo deaktivieren
sed -i 's/^deb/#deb/' /etc/apt/sources.list.d/pve-enterprise.list

# 2. No-Subscription Repo hinzufügen
echo "deb http://download.proxmox.com/debian/pve $(lsb_release -sc) pve-no-subscription" > /etc/apt/sources.list.d/pve-no-subscription.list

# 3. System aktualisieren
# WICHTIG: Immer 'dist-upgrade' nutzen, da Proxmox Kernel-Abhängigkeiten hat.
apt update && apt dist-upgrade -y

# 3. Netzwerk-Härtung: VLAN-Isolation

Standardmäßig ist die Bridge vmbr0 ein einfacher Layer-2 Switch. Für Enterprise-Umgebungen aktivieren wir VLAN Awareness.

  • VLAN Aware: Erlaubt es, VMs direkt in der Proxmox-GUI eine VLAN-ID zuzuweisen. Der Host-Kernel kümmert sich um das Tagging und Untagging der Pakete am physischen Interface.
  • Aktion: Gehen Sie zu Host -> Network -> Edit vmbr0 und setzen Sie den Haken bei VLAN Aware.
  • Senior Tipp: Installieren Sie ifupdown2, damit Sie Netzwerkänderungen ohne Reboot übernehmen können (Apply Configuration Button).

# 4. Day-2 Operations: Postfix für Alarme

Ein Hypervisor, der im Fehlerfall keine E-Mails sendet, ist eine Zeitbombe.

# Postfix Relay-Konfiguration

Proxmox nutzt Postfix. Damit E-Mails auch von externen Mailservern (Microsoft 365, Google, Eigener Exchange) akzeptiert werden, sollten wir einen Relayhost konfigurieren.

  1. Datei /etc/postfix/main.cf bearbeiten:
    relayhost = [smtp.dein-provider.de]:587
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_use_tls = yes
  2. Passwort hinterlegen:
    echo "[smtp.dein-provider.de]:587 user@deine-domain.de:DEIN_PASSWORT" > /etc/postfix/sasl_passwd
chmod 600 /etc/postfix/sasl_passwd
postmap /etc/postfix/sasl_passwd
systemctl restart postfix
  3. Testen: echo "Proxmox Online Test" | mail -s "PVE Alert" deine@mail.de

# 5. Troubleshooting & “War Stories”

# Das “Missing Repo” Desaster

Szenario: Ein Admin installierte Proxmox, konfigurierte aber keine Repositories. Symptom: Nach 6 Monaten wollte er eine neue Version von zfsutils installieren. Da keine Quellen definiert waren, nutzte Debian die Standard-Repositiories, was zu einem Versionskonflikt mit den Proxmox-Kernel-Modulen führte. Ergebnis: Der ZFS-Pool ließ sich nach einem Reboot nicht mehr mounten -> Totalverlust der Daten bis zum Restore. Lehre: Konfigurieren Sie die Proxmox-Repos vor dem ersten apt update.

# Der “Nag-Screen” Schreck

Symptom: “No valid subscription” Popup bei jedem Login. Lösung: Viele Admins nutzen Scripte zum Entfernen. Das ist legitim, aber denken Sie daran, dass das Script nach jedem Update des Pakets proxmox-widget-toolkit erneut ausgeführt werden muss. Ein sauberer Weg ist die Unterstützung des Projekts durch eine Subscription.

# 6. Experten-Checkliste für die Erstkonfiguration

  • [ ] Enterprise-Repo deaktiviert (falls keine Subscription)?
  • [ ] No-Subscription Repo aktiviert?
  • [ ] dist-upgrade durchgeführt und System neu gestartet?
  • [ ] VLAN-Awareness auf der Haupt-Bridge aktiviert?
  • [ ] Postfix-Relay für Admin-Mails getestet?
  • [ ] Shell-Timeout oder SSH-Key Login für Sicherheit eingerichtet?

Last updated: 2025-12-26 • 666

Edit on GitHub