Wie erstelle ich einen Reverse Proxy auf meinem Proxmox Server?

Sleedy · January 19, 2025, 8:15pm

Hallo,

Ich möchte meinen Proxmox Server nutzten um einige Websites zu hosten. Da ich nur eine Öffentliche IP für meinen Proxmox Server habe möchte ich einen Reverse Proxy nutzen. Wie setzte ich das am besten um ?

Tobias · January 19, 2025, 8:19pm

Ich würde dir den Nginx Proxy Manager für Proxmox empfehlen. Der Nginx Proxy Manager oder kurz NPM kann über eine Weboberfläche konfiguriert werden und die Installation ist dank den Proxmox Helper Scriptes ganz einfach: Proxmox VE Helper-Scripts

Sleedy · January 19, 2025, 8:21pm

Danke! Das ist eine einfache Lösung um einen Reverse Proxy auf Proxmox zu installieren. Wenn ich es richtig sehe ist das ein LCX Container. Ist das denn genau so sicher wie eine VM?

Tobias · January 19, 2025, 8:24pm

Unterschiede bei der Sicherheit: VM vs. LXC

1. Isolierung

VMs: Jede VM hat ihren eigenen Kernel und läuft komplett isoliert. Selbst wenn eine VM gehackt wird, kann das nicht so einfach auf den Host oder andere VMs übergreifen. Die Isolation ist hier echt top.
LXC-Container: Container teilen sich den Kernel des Hosts. Das heißt, wenn jemand einen Container knackt, gibt es theoretisch ein Risiko, dass der Host oder andere Container betroffen sein könnten. Hier ist die Isolation also nicht ganz so stark wie bei VMs.

2. Angriffsfläche

VMs: Hier ist die größte Angriffsfläche der Hypervisor (in Proxmox z. B. KVM/QEMU). Solche Exploits sind selten und meistens gut abgesichert.
LXC-Container: Da sich Container den Kernel teilen, kann ein Exploit im Kernel den Host gefährden. Besonders kritisch wird es bei falsch konfigurierten oder privilegierten Containern.

3. Root-Zugriff

VMs: Wenn jemand Root-Zugriff in einer VM bekommt, bleibt das Problem auf die VM beschränkt (es sei denn, der Hypervisor wird irgendwie ausgenutzt).
LXC-Container: Bei privilegierten Containern sieht das anders aus. Hier hat Root im Container auch Root auf dem Host – nicht so geil. Deswegen: Unprivilegierte Container sind Pflicht, wenn’s sicher sein soll!

4. Netzwerk

VMs: Netzwerkschnittstellen sind komplett virtualisiert, und man kann jede VM mit eigener Firewall absichern.
LXC-Container: Container teilen sich oft Bridge-Netzwerke des Hosts. Da sollte man echt aufpassen, dass nichts falsch konfiguriert ist, sonst könnte ein Container den Netzwerkverkehr von anderen Containern „belauschen“.

VMs: Die sicherere Wahl, besonders für Dienste, die öffentlich erreichbar sind oder wo absolute Isolation wichtig ist.
LXC-Container: Perfekt für weniger kritische Anwendungen oder interne Services. Wenn sie unprivilegiert laufen und der Host gut abgesichert ist, sind sie auch ziemlich sicher.

Sleedy · January 19, 2025, 8:25pm

Also wäre eine VM Sicherer für einen Reverse Proxy?

Tobias · January 19, 2025, 8:26pm

Genau. Aber bei unprivilegierten LXC Containern ist das Risiko auch schon sehr gering.