Proxmox installation auf Debian (Optional mit Verschlüsselung)

Installation Debian 11 Bullseye (Grundeinstellungen Sprache Benutzerkonten)

  1. Installation Debian 11 Bullseye von der Debian Net install ISO Starten
    https://www.debian.org/distrib/
    wir wählen den Textbasierten installer
  2. Installtion starten mit Install für Textmodus
    Auswahl_733.png
    Sprache wählen, Ich bevorzuge Deutsch
    Auswahl_734.png
    Sprache auswählen, ich wähle hier Deutsch:
    Auswahl_735.png
    Tastatursprache wählen
    Auswahl_736.png
    Rechner / Hostname vergeben
    Auswahl_737.png
    Domainnamen festlegen
    Auswahl_738.png
    Root Passwort festlegen und wiederholen
    Auswahl_739.png
    neuen Admin Benutzer erstellen z.b administrator
    Auswahl_740.png
    Benutzername angeben z.b administrator, wird auch vorgeschalgen
    Auswahl_741.png
    Passwort vergeben und wiederholen
    Auswahl_742.png





Installation Debian 11 Bullseye (Installation mit Verschlüsselung)

  1. Soll unverschlüsselt gewählt werden vollständige Festplatte verwenden oder manuell
    Soll verschlüsselt werden, dann gesamte Platte mit verschlüsseltem LVM auswählen.
    oder manuell wenn alles selbst ausgewählt werden soll.
    Wir wählen hier:

    Soll verschlüsselt werden, dann gesamte Platte mit verschlüsseltem LVM auswählen.
    Auswahl_744.png
    Festplatte auswählen
    Auswahl_745.png
    Alle Dateien auf eine Partition auswählen.
    Auswahl_746.png
    Änderungen speichern und schreiben
    Auswahl_747.png

    Festplatte wird überschrieben um Datenwiederherstellung zu vermeiden, ich drücke hier jetzt abbrechen, ihr solltest das durchlaufen lassen um weil sonst eine geringere Verschlüsselungsqualität zur Verfüng steht.
    Auswahl_749.png
    Kennwort / Passephrase eintippen.
    Wir nutzen hier zur demonstration:
    aaaaaBBBBBcccccDDDDDeeeee!!!!!

    Diesen Kennwort natürlich nicht nutzen sondern logischerweise ein eigenes verwenden.
    Auswahl_751.png
    und noch einmal
    Auswahl_752.png
    Größe fürs LVM Volume festlegen
    es kann auch max für die Gesamte Größe angegeben werden.
    Hier der Vorschlag vom System
    Auswahl_753.png
    mit dem Wert max die gesamten Speicher für die Volumegroup nehmen
    Auswahl_754.png
    Partionierung durchführen und Anderungen speichern
    Auswahl_755.png
    Änderungen auf Festplatten schreiben Ja
    Auswahl_756.png
    Festplatte wird formatiert und Installation Grundsystem
    Auswahl_757.png
    Auswahl_758.png
    Weiteres installationsmedium verwenden? Nein
    Auswahl_760.png
    Sprache Paketmanager, hier Deutsch
    Auswahl_761.png
    Archiv Server auswählen, debian.org
    Auswahl_762.png
    Proxy angeben, wenn vorhanden, hier haben wir keinen Proxy
    Auswahl_763.png
    APT wird konfiguriert und software auswählen und installieren, simply wait
    Auswahl_764.png
    Auswahl_765.png
    Paketverwendungserfassungteilnehmen. ich sag hier nein muss aber jeder selbst wissen
    Auswahl_766.png
    Sofware auswählen
    ssh-Server und Standardsystemwerkzeuge
    alles andere abhaken
    Auswahl_767.png
    Installation läuft...
    Auswahl_768.png
    Grubloader auf auf Ihrem primären Laufwerk installieren? Ja auswählen
    Auswahl_769.png
    Festplatte auswählen.
    Auswahl_770.png
    Installation abgeschlossen system wird neu gestartet
    Auswahl_771.png
    Nach dem neustart steht der Bildschirm zum Passphrase eingeben
    Auswahl_772.png
    wir geben unser Kennwort an und e voila drin
    login screen
    nun können wir usn mit dem root passwort einloggen
    Auswahl_773.png
    Drin
    Auswahl_774.png

Einloggen per SSH Preauthentication ,damit Kennwort nicht per VNC eingeben weden muss

  1.  Da es natürlich immer sehr mühselig ist, das Kennwort per Tastatur über VNC oder wenn es Bare Metal ist, direkt am Server einzutippen, installieren wir einen SSH Server in initramfs wo wir uns dann hin verbinden können um die Passphrase per copy und paste, einzufügen / eingeben zu können.

  2.  root login per ssh freischalten und ssh-key kopieren macht 

     nano /etc/ssh/sshd_config

    auf yes ändern und dann den dienst neustarten    

     PermitRootLogin yes 
    service ssh restart

    Nun kann ein login per ssh stattfinden. Jetzt kopieren wir mit

    ssh-copy id root@ip-adresse

    unseren public ssh key auf den Server und kommentieren danach die 

    #PermitRootLogin yes

    wieder aus. Nun Dienst wieder neustarten.

    service ssh restart
  3. Dropbear initramfs
    apt update && apt install dropbear-initramfs
update-initramfs -u
    Mit y bestätigen

    Nun bekommen wir die Meldung invalid authorized file
    Auswahl_775.png
    Dazu einen Pub key, am besten einen aderen als der der fürs eigentliche System benutzt wird in die Datei
    /etc/dropbear-initramfs/authorized_keys

    nano /etc/dropbear-initramfs/authorized_keys

    und dort den Pub key rein und speichern.
    Es empfiehlt sich einen aderen SSH-Port zu wählen
    Dazu die Datei /etc/dropbear-initramfs/config öffnen

    nano /etc/dropbear-initramfs/config

    Und dort bei, sollte dropbear options auskemmntiert sein, das raute symbol natürlich entfernen
    DROPBEAR_OPTIONS="-p 12345"
    den Port angeben. In diesem Beispiel ist unser Port 12345

    Nur durchführen wenn kein DHCP-Server vorhanden oder man die IP-Adresse selbst vergeben will

    /etc/initramfs-tools/initramfs.conf

    Inhalt:

    IP Address=192.168.1.27
Gateway=192.168.1.1
Subnet Mask: 255.255.255.0
Hostname=nothing.local.lan



    nun initramfs aktualisieren
    update-initramfs -u

    Nun keine Fehler mehr. SSH config dropbear scheint richtig zu sein. ;-)
    Nun neustart

    reboot

    Nun steht beim starten die IP Adresse von drop-bear (DCHP-Server vorrausgesetzt)
    in unserem Falle. 192.168.178.212
    Auswahl_777.png
    Nun per ssh verbinden (denkt daran port 12345

    ssh root@192.168.178.212 -p 12345

    in der busybox wird uns schon verraten das der Befehl zum entschlüsseln cryptroot-unlock ist

    cryptroot-unlock

    Nun das Passwort über die Zwischenablage oder Keepass einfügen
    Danach wird man ausgeloggt und der Server startet.
    Auswahl_779.png

    Die VNC Konsole oder Echter Bildschirm mit dem Login Fenster
    Auswahl_780.png


 

 



   
   


    

Die eigentliche Proxmox installation

Die hosts Datei anpassen.
und in unserem Beispiel hat die Prox node die 192.168.178.222

127.0.0.1       localhost
192.168.178.222 prox-node-01.locallan prox-node-01 pvelocalhost
  1. Netzwerkconfig anpassen
    nano /etc/network/interfaces

    Inhalt

    iface ens18 inet manual

auto vmbr0
  iface vmbr0 inet static
  address 192.168.178.222
  netmask 255.255.255.0
  gateway 192.168.178.1
  bridge_ports ens18
  bridge_stp off
  bridge_fd 0

    Diese an seinen eigenen Interface Namen und ip Adressen anpassen
    Danach 

    service networking restart

    ausführen.

  2. Nun die Pakete installieren und nicht benötigte entfernen
    Repo hinzufügen
    echo "deb [arch=amd64] http://download.proxmox.com/debian/pve bullseye pve-no-subscription" > /etc/apt/sources.list.d/pve-install-repo.list
wget https://enterprise.proxmox.com/debian/proxmox-release-bullseye.gpg -O /etc/apt/trusted.gpg.d/proxmox-release-bullseye.gpg

    Pakete installieren. Bei der Postfix installation. Den Typ lokal auswählen.

    apt update && apt full-upgrade
apt install proxmox-ve postfix open-iscsi
apt remove linux-image-amd64 'linux-image-5.10*'
update-grub
apt remove os-prober
update-grub
    Nun neustart mittels reboot, system entsperren und über https://192.168.178.222:8006 anmelden.

    Dieser Abschnitt gillt nur wenn Verschlüsselung aktiv
    Nach dem neustart bekommt der ssh-server bei der Verschlüsselung, wenn verschlüsselung vorhanden, die gleiche Adresse wie der Proxmox host, in unserem beispiel auch die 192.168.178.222 was vorher ja noch die 212 war.
    siehe Monitor / VNC Konsole
    Auswahl_781.png
    Wieder unlock fertig.
    Auswahl_782.png
    Dieser Abschnitt gillt nur wenn Verschlüsselung aktiv
    ende des Abschnittes
    Nun sehen wir auf dem Bildschirm KVM Konsole den Login Bildschirm von proxmox
    Auswahl_783.png

  3. Nun mit dem Webbrowser per https://192.168.178.222:8006 aufrufen, selbsigniertes Zertifikat zur Ausnahme hinzufügen
    Auswahl_784.png
    und mit dem root Benutzer und Kennwort Anmelden. Fertig.
    Auswahl_785.png
    Auswahl_786.png