Single-Node Installation (Deutsch) Deutsche Anleitung für eine Proxmox-9 Installation auf einem einzelnen Rechner mit 3 Festplatten. Proxmox VE Einführung Proxmox Virtual Environment (Proxmox VE) ist eine Open-Source-Plattform zur Servervirtualisierung, die hypervisorbasierte virtuelle Maschinen und containerbasierte Virtualisierung in einer gemeinsamen Verwaltungslösung vereint. Basierend auf Debian Linux kombiniert Proxmox die Technologien KVM und LXC und stellt Administratoren sowohl eine einheitliche Weboberfläche als auch Kommandozeilenwerkzeuge zur Verwaltung virtueller Infrastrukturen bereit. Aufgrund seiner Flexibilität sowie der integrierten Cluster- und Backup-Funktionen wird Proxmox VE häufig sowohl in Unternehmensumgebungen als auch in Homelabs eingesetzt. Eckdaten Erstveröffentlichung: 2008 Entwickler: Proxmox Server Solutions GmbH Kerntechnologien: KVM, LXC, Debian Lizenz: GNU AGPL v3 Aktuelle stabile Version: Wird regelmäßig aktualisiert; größere Releases typischerweise alle 1–2 Jahre Architektur und Funktionen Proxmox VE wird direkt auf der Hardware installiert ( Bare-Metal-Betrieb ) und benötigt kein zusätzliches Host-Betriebssystem. Die Plattform unterstützt sowohl vollständige Virtualisierung mit KVM als auch leichtgewichtige Container mit LXC , wodurch ressourceneffiziente Deployments möglich sind. Zu den zentralen Funktionen gehören: Webbasierte Verwaltung REST-API Integrierte Firewall Rollenbasierte Zugriffskontrolle (RBAC) Hochverfügbarkeits-Cluster (High Availability) Storage und Backup Proxmox VE unterstützt eine Vielzahl von Storage-Backends, darunter: Lokale Datenträger NFS iSCSI Ceph ZFS Dies ermöglicht eine flexible Verwaltung der Daten von virtuellen Maschinen und Containern. Das integrierte Backup-System, der Proxmox Backup Server , unterstützt inkrementelle und deduplizierte Sicherungen. Planung, Durchführung und Verifikation von Backups sind direkt in die Proxmox-Oberfläche integriert. Clustering und Hochverfügbarkeit Mehrere Proxmox-Nodes können zu einem Cluster zusammengeschlossen werden, der über das Proxmox Cluster File System (pmxcfs) verwaltet wird. Dadurch werden folgende Funktionen ermöglicht: Gemeinsame Konfiguration über mehrere Nodes hinweg Live-Migration von Workloads Automatisches Failover bei Node-Ausfällen Diese Funktionen unterstützen hohe Verfügbarkeit und gute Skalierbarkeit auch in produktiven Umgebungen. Nutzung und Community Durch das Open-Source-Modell und optionalen Subskriptions-Support hat sich rund um Proxmox VE eine große internationale Community gebildet. Die Plattform wird häufig von IT-Fachleuten, Bildungseinrichtungen sowie kleinen und mittelständischen Unternehmen eingesetzt, die eine kosteneffiziente Virtualisierungslösung mit Funktionsumfang auf Enterprise-Niveau suchen. Proxmox VE bietet dabei viele Funktionen, die mit proprietären Lösungen wie VMware vSphere oder Microsoft Hyper-V vergleichbar sind. Proxmox VE Installations- und Konfigurationshandbuch Diese Anleitung beschreibt die Schritte zur Installation und Konfiguration von Proxmox VE, einer leistungsstarken Open-Source-Virtualisierungsplattform. Folge diesen Anweisungen sorgfältig, damit alles reibungslos klappt. Lade die Proxmox VE ISO herunter Geh auf die offizielle Proxmox-Website und lade das neueste Proxmox VE ISO -Image für deine Serverarchitektur herunter. https://www.proxmox.com/de/ Erstelle einen bootfähigen USB-Stick Nutze BalenaEtcher (oder ein anderes Tool, das du magst, z. B. Rufus oder dd ), um die ISO-Datei auf einen USB-Stick zu flashen. Tipp: Check nach dem Download die ISO-Prüfsumme, damit du sicher bist, dass die Datei heil ist. Starte die Installation Boote den Computer vom USB-Stick. Wichtig: Wähle während der Einrichtung sorgfältig die richtige Netzwerkschnittstelle aus. Eine falsche Auswahl ist ein super häufiger Fehler, durch den du nach der Installation keinen Netzwerkzugriff mehr hast. Falsche Schnittstelle korrigieren (ohne Neuinstallation) Falls du die falsche Schnittstelle ausgewählt hast: # Geh auf die lokale Konsole (Monitor+Tastatur oder IPMI/iLO). nano /etc/network/interfaces Passe die Zeilen „auto“ und „iface“ an deine gewünschte Netzwerkkarte an (z. B. „enp0s3“) und führ danach aus: systemctl restart networking Damit sparst du dir die komplette Neuinstallation. Konfiguration nach der Installation Enterprise-Repositorys deaktivieren Geh zu Knoten → Updates → Repositorys . Deaktiviere das Repository pve-enterprise (das braucht ein kostenpflichtiges Abo). Repository ohne Abo aktivieren Klick auf Hinzufügen → Wähle Ohne Abonnement → Trag ein: deb https://download.proxmox.com/debian/pve bookworm pve-no-subscription Bestätige und schließe. Aktualisiere das System Geh auf die Registerkarte Updates und klick auf Aktualisieren . Sobald die Paketliste durch ist, klick auf Upgrade . Schau dir die Ausgabe an, bestätige und lass das System alle Updates einspielen. Starte das System neu, wenn du dazu aufgefordert wirst , damit der neue Kernel und die neuen Dienste geladen werden. Container-Vorlagen aktualisieren Öffne die Shell (über die Weboberfläche oder per SSH) und führ folgenden Befehl aus: pveam update Damit holst du dir die neuesten LXC-Container-Vorlagen aus dem Proxmox-Repository, sodass du aktuelle Basis-Images (Ubuntu, Debian, Alpine usw.) nutzen kannst. Du betreibst jetzt einen komplett aktualisierten, abonnementfreien Proxmox VE-Knoten, der bereit ist für VMs, LXCs und Homelab-Experimente. Proxmox VE neu installieren, ohne VM/LXC-Daten zu verlieren (nur ZFS) TODO – IN ARBEIT Warnung: Diese Methode gilt nur, wenn VMs und LXCs auf einem separaten ZFS-Pool liegen, der nicht dein Proxmox-Boot-Pool ( rpool ) ist. Wählst du während der Installation die falschen Festplatten aus, löschst du deine VM-/Container-Daten für immer. Geltungsbereich: Entwickelt für Proxmox-Systeme mit einem einzigen Knoten , die ZFS nutzen. Bei einem Cluster mit mehreren Knoten brauchst du zusätzliche Schritte für die Cluster-Wiederherstellung – die werden hier nicht behandelt . Basisszenario Host-Typ: Einzelner Proxmox VE-Knoten mit ZFS Boot-Pool: rpool – ZFS-Spiegel (2× SSD) Datenpool: zfs-data – RAIDZ2 (4× NVMe) – hier liegen alle VM-/LXC-Festplatten Ziel: Proxmox VE neu installieren ohne die VM-Festplatten-Images sichern zu müssen Schritt 1: Wichtige Konfigurationsdateien sichern Die VM- und LXC- Metadaten (also quasi die „Shells“) liegen hier: /etc/pve Diese Dateien enthalten Namen, Hardware, Festplatten und Ressourcen. VM-Konfigurationsdateien /etc/pve/qemu-server/*.conf LXC-Konfigurationsdateien /etc/pve/lxc/*.conf Empfohlene zusätzliche Sicherungen /etc/network/interfaces /etc/hosts /etc/pve/storage.cfg Tipp: Nutze scp , rsync oder WinSCP, um die Dateien an einen sicheren Ort zu kopieren. Schritt 2: Alle Ressourcen sauber herunterfahren Damit die Daten konsistent bleiben: # Alle VMs stoppen qm stop $(qm list | awk ‚NR>1 {print $1}‘) # Alle LXCs stoppen pct stop $(pct list | awk ‚NR>1 {print $1}‘) Danach den Host ausschalten: shutdown -h now Schritt 3: Proxmox VE (sehr vorsichtig) neu installieren Von der Proxmox VE-ISO booten Bei der Festplattenauswahl: Wähle nur die SSDs aus, die zu rpool gehören Wähle auf keinen Fall die NVMe-Platten aus zfs-data aus Rest der Installation ganz normal durchlaufen Wichtig: Falsche Festplatten auswählen = deine VM-Daten sind für immer weg. Schritt 4: Den vorhandenen ZFS-Datenpool importieren Nach dem ersten Boot: zpool import Wenn zfs-data automatisch da ist → super, weiter. Falls nicht: zpool import -f zfs-data Check danach: zpool status zfs-data zfs list Schau, ob die Datensätze mit deinen VM-Festplatten da sind. Schritt 5: Konfigurationsdateien zurückspielen Kopier die gesicherten Dateien wieder zurück: scp qemu/*.conf root@:/etc/pve/qemu-server/ scp lxc/*.conf root@:/etc/pve/lxc/ Die sollten sofort in der Weboberfläche auftauchen. Schritt 6: Den ZFS-Pool wieder als Speicher hinzufügen Option A: Web-GUI (empfohlen) Rechenzentrum → Speicher → Hinzufügen → ZFS Auswählen: zfs-data Inhalt: Festplatten-Image, Container Option B: storage.cfg wiederherstellen scp storage.cfg root@:/etc/pve/storage.cfg systemctl restart pve-cluster Schritt 7: Prüfen, ob /etc/pve funktioniert (sehr wichtig) Falls /etc/pve leer aussieht: systemctl status pve-cluster systemctl status corosync journalctl -xe Das Cluster-Dateisystem muss laufen, sonst kannst du die Konfigurationsdateien nicht nutzen. Abschließende Überprüfung: Test-VM/LXC starten qm start 100 pct start 103 Starten beide sauber → System ist wieder einsatzbereit. Hinweis zur Wiederherstellung Falls du die Konfigurationssicherungen verloren hast, kannst du die Metadaten eventuell trotzdem retten, indem du schaust: /zfs-data oder: zfs list Die Datensatz-Namen entsprechen meist den VM-IDs. Zusammenfassung Wenn du die Konfigurationsdateien sicherst und den alten ZFS-Datenpool einfach wieder importierst, kannst du Proxmox VE neu installieren ohne riesige VM-Disk-Images zu kopieren . Das spart dir massiv Zeit, Bandbreite und Ausfallzeit. Die ganzen Prüfschritte machen den Prozess deutlich sicherer und wiederholbar. LXC-Festplattengröße in Proxmox erhöhen Ich habe kürzlich bemerkt, dass mein BookStack LXC-Container auf Proxmox nur 8 GB Speicher zugewiesen hatte. Zum Glück ist es ziemlich einfach, die Festplattengröße nachträglich zu vergrößern. Die Festplattengröße über die Proxmox-Weboberfläche vergrößern Die einfachste Methode geht direkt über die Proxmox VE Oberfläche: Melde dich in der Proxmox-Oberfläche an. Öffne deinen Container und geh auf Ressourcen . Wähle die Root Disk (Wurzel-Festplatte) aus. Im Dropdown-Menü Volume Action wählst du Resize (Größe ändern). Gib ein, wie viel zusätzlichen Speicherplatz du hinzufügen möchtest (du gibst also nur den Zuwachs an, nicht die endgültige Gesamtgröße). Wichtig: Die Festplattengröße kannst du hier nicht verkleinern . Die Festplattengröße über die Kommandozeile erhöhen Du kannst die Festplatte auch direkt auf dem Proxmox-Host vergrößern: SSH dich auf deinen Proxmox-Server. Führe den Befehl pct resize mit der neuen Größe aus: pct resize Bei mir habe ich den Root-Disk meines BookStack-Containers (ID 105) auf 64 GB erhöht: pct resize 105 rootfs 32G Wichtig: Du gibst hier die Gesamtgröße an, die der Disk danach haben soll (nicht den Zuwachs). Im Beispiel oben wird der Disk also auf insgesamt 64 GB gesetzt. Nach dem Resize meldest du dich im Container an und prüfst die neue Größe mit: df -h Beide Methoden (Web-UI und Kommandozeile) funktionieren zuverlässig. Die Weboberfläche zeigt die aktualisierte Festplattengröße sofort an. Einrichtung eines sicheren SSH-Zugangs für Proxmox und LXC Das Ziel ist es, ein einheitliches, schlüsselbasiertes Authentifizierungsmodell sowohl für den Proxmox-Host als auch für seine Container aufzubauen: keine SSH-Root-Anmeldung keine Passwortauthentifizierung Zugriff nur über einen admin -Benutzer mit einem SSH-Schlüssel bequemer Zugriff über die SSH-Konfiguration Dieser Ansatz reduziert die Angriffsfläche und macht alles deutlich einfacher zu verwalten. Teil 1: Bereite deinen lokalen Rechner vor Generiere ein SSH-Schlüsselpaar Falls du noch keins hast: ssh-keygen -t ed25519 -C "admin" Speichere es sicher, zum Beispiel hier: /home/deinname/.ssh/admin_key Optional: Füge den Schlüssel zum Agenten hinzu Wenn der Schlüssel eine Passphrase hat: ssh-add /home/deinname/.ssh/admin_key Teil 2: Sichere den Proxmox-Host Erstelle einen Administratorbenutzer Auf dem Proxmox-Host (über Web-Shell oder SSH): adduser admin usermod -aG sudo admin Stelle den SSH-Schlüssel bereit ssh-copy-id -i /home/deinname/.ssh/admin_key.pub admin@ Teste den Zugriff: ssh -i /home/deinname/.ssh/admin_key admin@ Deaktiviere die unsicheren Authentifizierungsmethoden Bearbeite /etc/ssh/sshd_config : PermitRootLogin no PasswordAuthentication no ChallengeResponseAuthentication no PubkeyAuthentication yes Wende die Änderungen an: systemctl restart sshd Der Host akzeptiert jetzt nur noch schlüsselbasierte Anmeldungen für den admin -Benutzer. Teil 3: Sichere deine LXC-Container Viele Vorlagen erlauben SSH-Zugriff als Root – teilweise sogar mit Passwort. Wende dieselben Sicherheitsmaßnahmen in jedem Container an. Erstelle einen Administratorbenutzer Gehe in den Container: pct enter Lege den Benutzer an und gib ihm sudo-Rechte: adduser admin usermod -aG sudo admin Stelle deinen Schlüssel im Container bereit Auf deinem lokalen Rechner: ssh-copy-id -i /home/deinname/.ssh/admin_key.pub admin@ Teste: ssh admin@ Deaktiviere die unsicheren Methoden im Container Bearbeite /etc/ssh/sshd_config : PermitRootLogin no PasswordAuthentication no ChallengeResponseAuthentication no PubkeyAuthentication yes Starte neu: sudo systemctl restart sshd Der Container hat jetzt exakt dieselbe Sicherheitsstufe wie der Host. Teil 4: Mach dir das Leben mit der lokalen SSH-Konfiguration leichter Erstelle oder bearbeite die Datei: ~/.ssh/config Beispiel-Inhalt: Host proxmox HostName User admin IdentityFile /home/deinname/.ssh/admin_key Host lxc-admin HostName User admin IdentityFile /home/deinname/.ssh/admin_key Schütze die Datei: chmod 600 ~/.ssh/config Ab jetzt reicht: ssh proxmox ssh lxc-admin Ergebnis Proxmox-Host und alle Container nutzen dieselbe sichere Anmeldemethode. Root-Login ist überall deaktiviert. Passwort-Authentifizierung ist überall aus. Ein einziger Schlüssel + ein einziger Benutzer ( admin ) für den administrativen Zugriff. Super einfache Verbindung über sprechende Host-Namen in der SSH-Konfiguration. Vorbereitung einer sicheren LXC-Vorlage (Proxmox) Dieses Kapitel beschreibt, wie du eine gehärtete LXC-Vorlage erstellst, die du in Proxmox klonen kannst. Jeder Container, der aus dieser Vorlage erstellt wird, bietet: SSH-Zugang ausschließlich über einen admin -Benutzer Nutzung deines lokalen SSH-Public-Keys Verbot von direktem Root-Login Deaktivierung der Passwort-Authentifizierung Dieser Ansatz sorgt für konsistente und sichere Deployments ohne manuelle Nachbearbeitungsschritte. Schritt 1: Einen Basis-Container erstellen Erstelle einen normalen LXC-Container aus deinem bevorzugten Image, zum Beispiel: pveam update pveam download local debian-12-standard_*.tar.zst Danach deploy den Container: pct create local:vztmpl/debian-12-standard_*.tar.zst Starte ihn: pct start pct enter Schritt 2: Den Admin-Benutzer in der Vorlage anlegen Innerhalb des Containers: adduser admin usermod -aG sudo admin Dieser Benutzer wird der einzige SSH-Einstiegspunkt. Schritt 3: Deinen SSH-Public-Key installieren Auf deiner lokalen Maschine stelle sicher, dass du einen Key hast: ssh-keygen -t ed25519 -C "admin@lxc" Kopiere ihn in den Container: ssh-copy-id admin@ Teste den Login: ssh admin@ Du solltest dich ohne Passwort einloggen können. Schritt 4: Die SSH-Konfiguration härten Innerhalb des Containers: sudo nano /etc/ssh/sshd_config Wende folgendes an: - PermitRootLogin yes + PermitRootLogin no - PasswordAuthentication yes + PasswordAuthentication no - ChallengeResponseAuthentication yes + ChallengeResponseAuthentication no (Optional): PubkeyAuthentication yes Starte neu: sudo systemctl restart sshd Schritt 5: Aufräumen und für die Vorlage vorbereiten Damit keine temporären Artefakte weitervererbt werden: Innerhalb des Containers: history -c rm -rf /tmp/* apt clean Nicht löschen: /home/admin/.ssh/authorized_keys den admin -Benutzer die Änderungen an der SSH-Konfiguration Diese Dinge werden für die Funktionalität der Vorlage benötigt. Schritt 6: Herunterfahren und in eine Vorlage umwandeln Verlasse den Container und stoppe ihn: pct stop Wandle ihn in eine Proxmox-Vorlage um: pct template Der Container ist jetzt als wiederverwendbare Vorlage gespeichert. Ergebnis Jeder zukünftige Container, den du aus dieser Vorlage klonst, bietet automatisch: sicheren SSH-Zugang keinen Root-Login erzwungene Schlüssel-basierte Authentifizierung konsistente sudo-Konfiguration Keine weiteren SSH-Härtungsschritte mehr nötig. Beispiel zum Klonen pct clone 120 --hostname web01 --storage local-lvm pct start 120 Danach sofort verbinden: ssh admin@web01 Proxmox VE: Warnung „ignore invalid acl token“ nach dem Löschen von Access Tokens Zusammenfassung Nach dem Löschen eines Access Tokens oder eines Benutzers in der Proxmox-GUI kann beim Zugriff auf Container oder VMs (z. B. mittels pct enter oder qm enter ) folgende Warnmeldung erscheinen: user config - ignore invalid acl token 'user@realm!tokenname' Diese Meldung ist harmlos, weist jedoch auf verwaiste Token-Einträge in der Proxmox-Konfiguration hin und sollte bereinigt werden. Der Text hier benutzt homepage@pam!homepage-192-168-10-110 als Beispielname. Symptome Die Warnung erscheint bei: pct enter qm enter teilweise auch bei API-Zugriffen Die betroffenen Container oder VMs funktionieren weiterhin normal pvesh get /access/acl zeigt keine fehlerhaften ACL-Einträge an Ursache Proxmox speichert Benutzer, Tokens und ACLs zentral in der Cluster-Konfigurationsdatei: /etc/pve/user.cfg Wichtiger Punkt (GUI-Verhalten) Beim Löschen eines Users oder Access Tokens in der GUI werden zugehörige ACL-Einträge oder Token-Definitionen nicht automatisch vollständig entfernt. Das führt zu folgendem Zustand: Der User oder Token wurde in der GUI gelöscht In user.cfg existiert jedoch weiterhin ein token: -Eintrag Beim Laden der Benutzerkonfiguration erkennt Proxmox den Token nicht mehr korrekt Ergebnis: die Warnung „ignore invalid acl token“ Die Meldung ist irreführend, da sie nicht zwingend ein ACL-Problem ist, sondern ein Konfigurationsartefakt . Diagnose ACLs prüfen pvesh get /access/acl Wenn dort kein Eintrag mit dem genannten Token erscheint, liegt das Problem sehr wahrscheinlich in user.cfg . Token-Einträge suchen grep '^token:' /etc/pve/user.cfg Oder gezielt: grep 'homepage@pam' /etc/pve/user.cfg Lösung (empfohlen) 1. Benutzerkonfiguration bearbeiten nano /etc/pve/user.cfg 2. Verwaisten Token entfernen Einen Eintrag dieser Art vollständig löschen : token:homepage@pam!homepage-192-168-10-110:privsep=1: ⚠️ Nur den betroffenen token: -Eintrag entfernen , keine anderen Benutzer-, Rollen- oder ACL-Zeilen. 3. Dienste neu laden systemctl restart pve-cluster pvedaemon pveproxy Die Änderung wird clusterweit sofort wirksam (pmxcfs). 4. Verifikation pct enter Die Warnmeldung sollte nicht mehr erscheinen. Best Practices / Prävention Tokens vor dem Löschen eines Users entfernen ACL-Zuweisungen vor dem Token-Löschen prüfen Nach umfangreichen Änderungen an Usern/Tokens: grep '^token:' /etc/pve/user.cfg Bei Automatisierung bevorzugt API / pvesh nutzen statt ausschließlich die GUI Hinweis Das manuelle Bearbeiten von /etc/pve/user.cfg ist in diesem Fall zulässig und sicher , da es sich um eine vom Cluster-Dateisystem verwaltete Konfigurationsdatei handelt. Änderungen werden sofort synchronisiert. Erstellen eines LXC-Container Wir nutzen als Beispiel die ID 110 . Allgemein: Vergib ID, Hostname und Passwort. Optional kannst du deinen öffentlichen SSH-Key hinzufügen. Template: Ubuntu 24.04 Festplatten: Mindestens 8 GB. Empfohlen: 32 GB oder 48 GB, wenn du viele Dateien oder Bilder speichern willst. CPU: 1 Kern reicht; 2 Kerne sind bei höherer Last empfehlenswert. Arbeitsspeicher: Mindestens 512 MB RAM + 512 MB Swap. Wenn möglich, erhöhe den RAM auf 1024 MB. Netzwerk: IPv4: Statische IP, z. B. 192.168.100.110/24 Gateway: Das Gateway deines Hosts, z. B. 192.168.100.1 IPv6: Deaktiviert DNS: Nutze die Einstellungen des Hosts oder passe sie bei Bedarf an. Bestätigen: Schau dir alle Einstellungen nochmal genau an. Aktiviere Nach Erstellung starten und klick auf Fertigstellen . Nach der Erstellung gehst du auf den Reiter Konsole und meldest dich als root an. Falls nur ein Cursor zu sehen ist, klick einfach ins Konsolenfenster und drück Enter – dann erscheint die Eingabeaufforderung. Melde dich mit root und deinem Passwort an. System aktualisieren und upgraden: apt update -qqy && apt upgrade -y Nach Abschluss des Upgrades einmal neu starten. Einen administrativen Benutzer anlegen und sudo-Rechte geben: adduser admin usermod -aG sudo admin Ab jetzt kannst du entweder hier weitermachen oder in ein externes Terminal wechseln. PostgreSQL Installation Diesen Schritt kannst du als admin oder root machen. Beispiel als admin : sudo apt update sudo apt install postgresql postgresql-contrib -y # Zum postgres-Benutzer wechseln sudo -u postgres psql # Innerhalb von psql: CREATE DATABASE wikijs; CREATE USER wikiuser WITH PASSWORD 'your_secure_password'; GRANT ALL PRIVILEGES ON DATABASE wikijs TO wikiuser; \q Node Installation Folge den Anweisungen von der Node.js-Website: sudo apt install curl -y curl -fsSL https://deb.nodesource.com/setup_20.x | sudo bash - sudo apt install nodejs -y node -v npm -v # npm auf die im Terminal angezeigte Version bringen sudo npm install -g npm@11.6.2 Wiki.js System-Benutzer anlegen Erstelle einen dedizierten System-Benutzer für den Wiki.js-Dienst: sudo useradd -r -s /usr/sbin/nologin wikijs sudo mkdir -p /var/www/wiki sudo chown wikijs:wikijs /var/www/wiki Wiki.js Installation Basierend auf der offiziellen Dokumentation: https://docs.requarks.io/install/linux Installation Neueste Wiki.js-Version herunterladen: wget https://github.com/Requarks/wiki/releases/latest/download/wiki-js.tar.gz Dateien entpacken: mkdir wiki tar xzf wiki-js.tar.gz -C ./wiki cd ./wiki Beispiel-Konfiguration umbenennen: mv config.sample.yml config.yml Konfiguration bearbeiten: nano config.yml (Nur bei SQLite-Installationen) : npm rebuild sqlite3 Wiki.js starten: node server Warte auf die Setup-Meldung und öffne die angegebene URL in deinem Browser. Den Setup-Wizard durchlaufen. Als Systemdienst (systemd) einrichten Service-Datei erstellen: sudo nano /etc/systemd/system/wiki.service Folgenden Inhalt einfügen (Pfade bei Bedarf anpassen): [Unit] Description=Wiki.js After=network.target [Service] Type=simple ExecStart=/usr/bin/node server Restart=always User=nobody Environment=NODE_ENV=production WorkingDirectory=/var/wiki [Install] WantedBy=multi-user.target Speichern und schließen. systemd neu laden: sudo systemctl daemon-reload Dienst starten: sudo systemctl start wiki Autostart aktivieren: sudo systemctl enable wiki Logs kannst du so anschauen: journalctl -u wiki SMB Share der NAS in einen Unpriviliged LXC Container bringen Nachdem ich zahlreiche Projekte mit Proxmox umgesetzt habe, ist es für mich die vielseitigste Virtualisierungsplattform überhaupt. Dank der großen Anzahl an Community-Skripten und der klaren Ausrichtung auf Home-Lab-Setups lässt sich mit Proxmox und etwas Geduld nahezu alles realisieren – von virtualisierten Entwicklungsumgebungen und produktiven Alltags-VMs bis hin zu vollständigen Hackintosh-Installationen. Ein NAS habe ich bislang bewusst nicht auf meinen PVE-Systemen betrieben und Storage-Server stets von meinen Proxmox-Workstations getrennt gehalten. Nach mehreren Gesprächen mit einigen Menschen im IRC und XMPP ob es möglich sei einen virtualisierten NAS-Ansatz zu betreiben, kamen wir zu dem Schluss, dass es zwar geht, aber dennoch keine optimale Sache sei und es zum testen und ausprobieren ok, aber für Produktivsysteme nicht geeignet ist. Allerdings fanden wir bei der Diskussion eine elegante Möglichkeit, Netzwerkfreigaben aus dieser VM mit unprivilegierten LXCs zu verbinden – ohne den sonst üblichen, aufwendigen Terminal-Einsatz. Und darum geht es hier. Warum macht man das? Nützlich, wenn ausschließlich unprivilegierte LXCs zum Einsatz kommen Zwischen meiner ausgeprägten Neigung, möglichst viele Serverkomponenten anzuschaffen, betreibe ich sowohl ein primäres als auch ein sekundäres NAS, wobei Letzteres für Storage-Experimente genutzt wird. Wer zum Testen kein separates NAS sein eigenen nennt, kann unter Proxmox auch ein OpenMediaVault oder ein TrueNAS in einer VM einrichten. Damit funktioniert es genauso gut. Überblick Im Hinblick auf die Netzwerkfreigaben sieht mein Setup wie folgt aus: Auf meinem Test-NAS läuft eine SMB-Freigabe, die zunächst auf dem PVE-Host eingebunden wird. Anschließend wird per Terminal ein Mountpunkt auf den Node für den LXC eingerichtet, sodass die Freigabe dort wie ein lokales Laufwerk erscheint. Dieser Umweg ist notwendig, da unprivilegierte Container häufig Berechtigungsprobleme beim direkten Einbinden von Netzwerkfreigaben verursachen. Aus Sicherheitsgründen sind unprivilegierte LXCs zwar vorzuziehen, sie erschweren jedoch genau dieses Szenario. Der beschriebene Ansatz umgeht diese Einschränkung und ermöglicht die Nutzung von SMB-Freigaben in sicheren, unprivilegierten Containern, ohne sich mit komplexen UID-/GID-Zuordnungen befassen zu müssen. Annahmen Auserdem gehen wir davon aus, dass auf dem NAS ein Nutzer namens " Testuser " mit Passwort existiert und die Freigabe unter smb://192.168.10.20/test-folder erreichbar ist. Außerdem verfügen wir über einen beliebigen LXC Container den wir zum Testen verwenden wollen. Ich habe hierzu einfach einen neuen LXC mit einer ID von 500 erstellt mit minimal CPU und RAM Angaben. Synology Nutzer und Share Einbinden des Share in Proxmox Node Nachdem die SMB-Freigabe auf der Synology eingerichtet war, wechselte ich zu meinem Proxmox-Host. Vor dem Anlegen des LXCs öffnete ich in der Proxmox-Weboberfläche den  Datastore , ging auf den Reiter  Storage  und wählte über  Add → CIFS/SMB  eine neue Netzwerkfreigabe aus. Als ID genügt ein beliebiger Name, als Server trug ich die IP-Adresse der Synology ein und hinterlegte Benutzername sowie Passwort des SMB-Kontos. Anschließend wurde die Freigabe automatisch erkannt und hinzugefügt. Als Nächstes erstellte ich ein Verzeichnis, das als Mountpunkt im LXC dienen sollte. Dafür wechselte ich in die Shell meines debianbasierten unprivilegierten Container  den ich zu Testzwecken mit der ID 500 angelegt hatte. Anstatt zunächst Anwendungen zu konfigurieren, wechselte ich in der Proxmox-Oberfläche direkt in die  Console  des Containers und legte mit  mkdir /mnt/test-folder  das entsprechende Verzeichnis an. Zum Schluss wechselte ich auf dem Proxmox-Host in die Shell, navigierte nach  /etc/pve/lxc , öffnete die Konfigurationsdatei des entsprechenden Containers ( 500.conf ) und ergänzte dort die erforderliche Mount-Konfiguration, um die SMB-Freigabe im LXC verfügbar zu machen. Hier verweist die Variable  test-folder  auf die ID, die ich der SMB-Freigabe in Proxmox zugewiesen hatte. Auch ohne einen Neustart sollte es funktionieren, zur Sicherheit aber, ist es sinnvoll einen Neustart des Containers durchzuführen und dann zu schauen, ob dar eingebundene Verzeichnis im LXC sichtbar wird. In meinem Fall hat es geklappt. Test der Verbindung und erweitern der Rechte Zur Überprüfung lud ich eine Datei auf die Synology NAS hoch, die anschließend unmittelbar im Container erschien. Damit war bestätigt, dass die Einbindung der SMB-Freigabe korrekt funktionierte. Das tut es auch soweit so gut. Innerhalb des LXC kann ich nun lesend auf die Dateien zugreifen. Schreiben jedoch nicht, da die Rechte nicht weitergereicht werden. Um es dem lokalen root Nutzer des LXC zu ermöglichen auch Daten zu schreiben, ist noch ein kleiner Handgriff von Nöten. Und zwar müssen wir auf dem Proxmox Node dazu einmal die /etc/pve/storage.cfg öffnen und folgende Zeile hinzüfugen options uid=100000,gid=100000,file_mode=0770,dir_mode=0770 Wenn wir das gemacht haben, speichern wir die Datei und starten die LXC neu. Danach sollte der Ordner nun Root gehören, und die korrekten Berechtigungen haben. Ultraleichte Linux-Optionen für Proxmox: DietPi und seine minimalistischen Alternativen DietPi ist eine extrem optimierte Debian-basierte Distribution, die speziell für minimalen Ressourcenverbrauch entwickelt wurde. Dadurch eignet sie sich hervorragend als Basis für Proxmox LXC-Container und leichtgewichtige VMs. Mit ihrem winzigen Footprint, kaum laufenden Hintergrundprozessen und einem RAM-optimierten Logging-System liefert sie beeindruckende Performance – selbst auf eher bescheidener Hardware. Das integrierte DietPi-Software -System macht die Sache noch einfacher: Beliebte Anwendungen wie Pi-hole, Docker, Home Assistant oder Nextcloud installierst und konfigurierst du mit nur wenigen Auswahlen – fertig vorkonfiguriert, ohne stundenlanges manuelles Herumgefummel. DietPi steht aber nicht allein da. Es gibt mehrere andere minimalistische Linux-Distributionen, die ähnliche Ziele verfolgen: Alpine Linux – musl-basiert, extrem klein, weit verbreitet in Containern, ideal für Security-fokussierte Setups. Tiny Core Linux – absolut minimalistisch, startet mit nur wenigen Megabyte, perfekt für richtig knappe Umgebungen. Debian Minimal / netinst – saubere Basisinstallation ohne Schnickschnack, super zum Bauen eigener Server-Setups. Ubuntu Server Minimal – abgespeckte Ubuntu-Variante mit weniger Paketen und schneller Cloud-Integration. Armbian Minimal – optimierte Debian-/Ubuntu-Builds für ARM-Geräte, speziell für SBCs wie Raspberry-Pi-Alternativen getunt. Alle diese Varianten bieten unterschiedliche Kompromisse zwischen Größe, Features und Bequemlichkeit. DietPi hebt sich vor allem durch seine Automatisierung und Optimierungs-Tools ab – du bekommst schnell eine einsatzbereite Umgebung, ohne dass der Ressourcenverbrauch explodiert. Für Proxmox-Nutzer, die maximale Effizienz ohne unnötige Komplexität wollen, bieten DietPi und seine minimalistischen Alternativen eine richtig starke und flexible Basis. LXC Post-Install: User-Setup & SSH Hardening Dieses Post-Install-Skript wird als root in einem frischen LXC-Container ausgeführt. Es automatisiert die grundlegende Einrichtung und Absicherung des Systems. Folgende Schritte werden durchgeführt: Erstellung eines neuen Standard-Benutzers. Zuweisung zur sudo -Gruppe und Einrichtung von passwortlosem sudo . Hinterlegung des öffentlichen SSH-Schlüssels (Public Key) für den neuen Benutzer. Entfernung aller hinterlegten SSH-Schlüssel für den root -Benutzer. Härtung der /etc/ssh/sshd_config (Deaktivierung von Root-Login und Passwort-Authentifizierung). 1. Vorbereitung (Host-System) Lege das Post-Install-Skript (z.B. post_install_ssh.sh ) und deinen Public Key (z.B. ADMIN.pub ) in einem gemeinsamen Verzeichnis auf deinem Rechner ab. Wechsle im Terminal in dieses Verzeichnis und starte einen temporären Python-Webserver, um die Dateien im Netzwerk bereitzustellen: python -m http.server 8080 Hinweis: Notiere dir die IP-Adresse dieses Rechners (im folgenden Beispiel 10.10.10.10 ), da diese im nächsten Schritt benötigt wird. 2. Ausführung (LXC-Container) Verbinde dich als root mit dem neuen LXC-Container. Führe den folgenden Befehl aus. Er lädt das Skript herunter, macht es ausführbar und übergibt den Inhalt deines Public Keys direkt als Argument an das Skript. (Passe die IP-Adresse 10.10.10.10 entsprechend an!) curl -fsS [http://10.10.10.10:8080/post_install_ssh.sh](http://10.10.10.10:8080/post_install_ssh.sh) -o /tmp/bootstrap.sh \ && chmod +x /tmp/bootstrap.sh \ && /tmp/bootstrap.sh "$(curl -fsS [http://10.10.10.10:8080/ADMIN.pub](http://10.10.10.10:8080/ADMIN.pub))" 3. Das Post-Install-Skript ( post_install_ssh.sh ) Wichtig: Passe den Wert USER_NAME="ADMIN" an deinen gewünschten Benutzernamen an, bevor du das Skript über den Webserver bereitstellst. #!/usr/bin/env bash set -euo pipefail USER_NAME="ADMIN" PUBKEY="${1:-}" SSHD_CONFIG="/etc/ssh/sshd_config" echo "==== SSH Bootstrap Starting ====" ######################################## # Ensure user exists ######################################## if id "${USER_NAME}" &>/dev/null; then echo "User ${USER_NAME} already exists." else echo "Creating user ${USER_NAME}..." useradd -m -s /bin/bash "${USER_NAME}" fi ######################################## # Ensure sudo privileges ######################################## if ! id -nG "${USER_NAME}" | grep -qw sudo; then echo "Adding ${USER_NAME} to sudo group..." usermod -aG sudo "${USER_NAME}" fi ######################################## # Configure passwordless sudo ######################################## echo "Installing sudo if it is not installed" apt install sudo -y -q SUDO_FILE="/etc/sudoers.d/${USER_NAME}" echo "Configuring passwordless sudo for ${USER_NAME}..." echo "${USER_NAME} ALL=(ALL) NOPASSWD: ALL" > "${SUDO_FILE}" chmod 440 "${SUDO_FILE}" # Validate sudoers syntax before proceeding visudo -cf "${SUDO_FILE}" ######################################## # Configure SSH key ######################################## SSH_DIR="/home/${USER_NAME}/.ssh" AUTHORIZED_KEYS="${SSH_DIR}/authorized_keys" mkdir -p "${SSH_DIR}" chmod 700 "${SSH_DIR}" touch "${AUTHORIZED_KEYS}" chmod 600 "${AUTHORIZED_KEYS}" chown -R "${USER_NAME}:${USER_NAME}" "${SSH_DIR}" if [[ -n "${PUBKEY}" ]]; then if ! grep -qxF "${PUBKEY}" "${AUTHORIZED_KEYS}"; then echo "Installing public key..." echo "${PUBKEY}" >> "${AUTHORIZED_KEYS}" fi else echo "WARNING: No public key supplied." fi ######################################## # Remove all root SSH authorized keys ######################################## ROOT_SSH_DIR="/root/.ssh" ROOT_AUTH_KEYS="${ROOT_SSH_DIR}/authorized_keys" ROOT_AUTH_KEYS2="${ROOT_SSH_DIR}/authorized_keys2" echo "Removing root SSH authorized keys..." if [[ -d "${ROOT_SSH_DIR}" ]]; then rm -f "${ROOT_AUTH_KEYS}" "${ROOT_AUTH_KEYS2}" chmod 700 "${ROOT_SSH_DIR}" 2>/dev/null || true chown root:root "${ROOT_SSH_DIR}" 2>/dev/null || true echo "Root authorized_keys removed." else echo "No root .ssh directory present." fi ######################################## # Backup sshd_config ######################################## BACKUP="${SSHD_CONFIG}.$(date +%F-%H%M%S).bak" cp "${SSHD_CONFIG}" "${BACKUP}" echo "Backup created at ${BACKUP}" ######################################## # Idempotent config helper ######################################## set_config() { local key="$1" local value="$2" if grep -qiE "^\s*#?\s*${key}\b" "${SSHD_CONFIG}"; then sed -ri "s|^\s*#?\s*${key}\b.*|${key} ${value}|I" "${SSHD_CONFIG}" else echo "${key} ${value}" >> "${SSHD_CONFIG}" fi } ######################################## # Apply SSH hardening ######################################## echo "Applying SSH hardening..." set_config "PermitRootLogin" "no" set_config "PasswordAuthentication" "no" set_config "KbdInteractiveAuthentication" "no" set_config "ChallengeResponseAuthentication" "no" set_config "PubkeyAuthentication" "yes" set_config "AllowUsers" "${USER_NAME}" ######################################## # Validate before restart ######################################## echo "Validating sshd config..." sshd -t ######################################## # Restart SSH ######################################## echo "Restarting SSH service..." if command -v systemctl &>/dev/null; then systemctl restart sshd 2>/dev/null || systemctl restart ssh else service ssh restart fi echo "==== SSH Hardening Complete ====" echo "✔ Root SSH disabled" echo "✔ Password auth disabled" echo "✔ Only ${USER_NAME} allowed" 4. Beispiel-Ausgabe Bei einer erfolgreichen Ausführung sollte die Ausgabe im Terminal deines LXC-Containers in etwa so aussehen: ==== SSH Bootstrap Starting ==== Creating user ADMIN... Adding ADMIN to sudo group... Installing sudo if it is not installed Reading package lists... Building dependency tree... Reading state information... sudo is already the newest version (1.9.16p2-3+deb13u1). Summary: Upgrading: 0, Installing: 0, Removing: 0, Not Upgrading: 0 Configuring passwordless sudo for ADMIN... /etc/sudoers.d/ADMIN: parsed OK Installing public key... Removing root SSH authorized keys... Root authorized_keys removed. Backup created at /etc/ssh/sshd_config.2026-03-18-191349.bak Applying SSH hardening... Validating sshd config... Restarting SSH service... ==== SSH Hardening Complete ==== ✔ Root SSH disabled ✔ Password auth disabled ✔ Only ADMIN allowed 5. Login nach der Einrichtung Sobald das Skript erfolgreich durchgelaufen ist, wurde der root -Login über SSH deaktiviert. Du kannst dich nun von deinem Client-Rechner aus (auf dem der passende Private Key liegt) sicher mit dem neu erstellten Benutzer anmelden: ssh ADMIN@ Da das Skript passwortloses sudo eingerichtet hat, kannst du administrative Befehle nun einfach mit vorangestelltem sudo ausführen, ohne ein Passwort eingeben zu müssen (z.B. sudo apt update ).