Comment sécuriser une infrastructure Proxmox exposée à Internet
Proxmox VE, bien que robuste et fiable, n’est pas conçu par défaut pour être exposé directement à Internet. Pourtant, dans de nombreux cas (accès à distance, supervision, API…), cette exposition est inévitable.
Dans cet article, découvrez les bonnes pratiques essentielles pour sécuriser votre infrastructure Proxmox lorsqu’elle est accessible depuis l’extérieur.
Pourquoi sécuriser Proxmox est crucial
Exposer une interface d’administration à Internet sans protection adaptée, c’est :
Offrir une porte d’entrée aux attaquants
Risquer un accès non autorisé à vos VMs
Mettre en péril vos données et vos sauvegardes
Même si Proxmox propose une base sécurisée (authentification, journalisation), renforcer la sécurité est indispensable.
1. Activer l’authentification à double facteur (2FA)
Proxmox prend en charge TOTP (Google Authenticator, FreeOTP, etc.).
Allez dans Datacenter > Permissions > Realms
Choisissez
pvepuis activez le TOTPActivez-le pour les utilisateurs admin
Cela empêche les accès non autorisés même si un mot de passe est compromis.
2. Restreindre les accès par IP ou VPN
Pare-feu intégré
Activez le pare-feu Proxmox
Créez des règles pour autoriser uniquement les IPs autorisées
VPN recommandé
Utilisez WireGuard ou OpenVPN
N’exposez jamais l’interface web sans tunnel sécurisé
Bonus : vous pouvez héberger le VPN sur un LXC à part ou une autre machine.
3. Utiliser un proxy inverse avec HTTPS (Nginx ou Apache)
N’exposez pas directement le port 8006 de Proxmox.
Installez Nginx en reverse proxy
Activez Let’s Encrypt pour un certificat HTTPS valide
Filtrez les accès avec authentification basique si besoin
4. Mettre à jour régulièrement Proxmox VE
Les failles de sécurité connues sont corrigées très rapidement. Pour se protéger :
apt update && apt dist-upgrade
Activez les dépôts officiels Proxmox
Évitez les paquets tiers non vérifiés
5. Surveiller les connexions et les logs
Utilisez :
Fail2ban pour bloquer les IP après X tentatives échouées
Auditd pour tracer les modifications système
Syslog ou Graylog pour centraliser les logs
6. Désactiver les services inutiles
Supprimez les interfaces inutilisées
Fermez les ports non nécessaires
Limitez l’accès SSH au besoin avec des clés uniquement
Checklist rapide de sécurité Proxmox exposé à Internet
| Élément | Statut recommandé |
|---|---|
| 2FA | ✅ Activé |
| Accès direct au port 8006 | ❌ Désactivé |
| VPN | ✅ Obligatoire |
| HTTPS (Let’s Encrypt) | ✅ Activé |
| Logs et monitoring | ✅ Centralisés |
| Mises à jour | ✅ Régulières |
| Pare-feu | ✅ Configuré |
Bonus : séparer interface d’administration et interface publique
Utilisez plusieurs interfaces réseau :
Interface d’administration isolée (VLAN ou LAN privé)
Interface publique avec protections renforcées
Conclusion
Exposer Proxmox à Internet n’est pas un risque si cela est bien encadré. Grâce à des pratiques simples (VPN, 2FA, pare-feu, mises à jour), vous pouvez administrer votre infrastructure en toute sécurité, même à distance.
Tu pourrais aussi aimer
Proxmox vs VMware : quelle solution choisir en 2025 ?