Proxmox VE 8 入门上手系列（六）用户权限与日常维护-多人协作与安全

Proxmox VE 8 入门上手系列（六）：用户权限与日常维护——多人协作与安全

本章目标：创建普通用户并分配权限，配置邮件通知，掌握日常维护操作和安全建议。

一、Proxmox 权限体系概览

1.1 三个核心概念

Proxmox 的权限管理基于三个要素：

权限通过ACL（访问控制列表）分配：将某个角色分配给某个用户/组，作用在某个资源上。

1.2 内置角色

Proxmox 预定义了常用角色：

1.3 认证域（Realm）

Proxmox 支持多种认证方式：

本章使用Proxmox VE内置认证域。

二、创建普通用户

2.1 场景说明

假设你要给同事"张三"创建一个账号，他只能管理自己的虚拟机（ID 为 100），不能碰其他资源。

2.2 创建用户

1. 点击Datacenter→Permissions→Users
2. 点击Add→User
3. 填写参数：

4. 点击Add

2.3 设置用户密码

1. 在用户列表中，选中zhangsan
2. 点击Password按钮
3. 输入密码并确认
4. 点击Change Password

密码建议：8位以上，包含大小写字母、数字和特殊字符。

2.4 测试用户登录

1. 退出当前 root 账号，或打开浏览器的隐私窗口
2. 访问 Proxmox 登录页面
3. 输入：
   • 用户名：zhangsan
   • 密码：刚才设置的密码
   • Realm：Proxmox VE authentication server
4. 点击Login

登录后，张三应该只能看到左侧资源树的Datacenter，看不到任何虚拟机。

三、分配权限（ACL）

3.1 给用户分配虚拟机权限

让张三能管理虚拟机 100：

1. 在左侧资源树中，选中虚拟机100 (ubuntu-vm)
2. 点击Permissions标签页
3. 点击Add→User Permission
4. 填写参数：

5. 点击Add

3.2 验证权限

1. 用 zhangsan 账号重新登录（或刷新页面）
2. 在左侧资源树中，应该能看到虚拟机100 (ubuntu-vm)
3. 可以进行启动、停止、打开控制台等操作
4. 但看不到其他虚拟机（如 101、200 等）

3.3 给用户分配存储权限

如果张三需要上传 ISO 镜像或使用备份功能，还需要分配存储权限：

1. 点击Datacenter→Storage→ 选中local
2. 点击Permissions标签页
3. 点击Add→User Permission
4. 选择用户zhangsan，角色PVEAdmin（或自定义角色）

注意：存储权限比较敏感，一般只给管理员。

3.4 使用用户组批量管理

如果有多个人需要相同权限，可以创建用户组：

步骤 1：创建组

1. 点击Datacenter→Permissions→Groups
2. 点击Create
3. 组名：developers
4. 点击Create

步骤 2：添加用户到组

1. 点击Users
2. 编辑用户zhangsan
3. 在Groups中选择developers
4. 点击OK

步骤 3：给组分配权限

1. 选中虚拟机 100
2. 点击Permissions→Add→Group Permission
3. 组：developers，角色：PVEVMUser

这样所有 developers 组的成员都能管理虚拟机 100。

四、配置邮件通知

4.1 为什么需要邮件通知？

Proxmox 可以在以下情况发送邮件：

• 备份任务完成/失败
• 快照创建完成
• 系统警告和错误
• 定时任务执行结果

4.2 配置邮件网关（SMTP）

Proxmox 使用 Postfix 作为邮件服务，需要配置 SMTP 中继。

步骤 1：安装邮件工具

# 通过 Web Shell 或 SSH 登录 Proxmox 宿主机aptupdateaptinstall-ylibsasl2-modules mailutils

步骤 2：配置 Postfix

# 配置中继邮箱（以 QQ/163/企业邮箱为例）cat>/etc/postfix/main.cf<<'EOF' # 基础配置 myhostname = pve.local mydomain = local myorigin = $mydomain inet_interfaces = loopback-only mydestination = $myhostname, localhost.$mydomain, localhost # 邮件大小限制 message_size_limit = 52428800 mailbox_size_limit = 52428800 # SMTP 中继配置 relayhost = [smtp.qq.com]:587 smtp_sasl_auth_enable = yes smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd smtp_sasl_security_options = noanonymous smtp_tls_security_level = encrypt smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt EOF

如果使用其他邮箱，修改relayhost：

• QQ 邮箱：[smtp.qq.com]:587
• 163 邮箱：[smtp.163.com]:587
• Gmail：[smtp.gmail.com]:587
• 企业邮箱：咨询你的邮箱管理员

步骤 3：配置邮箱账号密码

# 创建密码文件echo'[smtp.qq.com]:587:your_email@qq.com:your_auth_code'>/etc/postfix/sasl_passwd# 生成密码数据库postmap /etc/postfix/sasl_passwd# 设置权限chmod600/etc/postfix/sasl_passwd /etc/postfix/sasl_passwd.db

注意：QQ/163 邮箱需要使用授权码，不是登录密码！

• QQ 邮箱：设置 → 账户 → 开启 SMTP → 获取授权码

步骤 4：重启 Postfix

systemctl restart postfix systemctlenablepostfix

步骤 5：测试邮件发送

echo"Proxmox 邮件测试"|mail-s"测试邮件"your_email@qq.com

检查邮箱是否收到测试邮件。

4.3 配置 Proxmox 通知邮箱

1. 点击Datacenter→Options
2. 双击Email from address
3. 填写发件人邮箱：proxmox@yourdomain.com
4. 双击Administrator e-mail
5. 填写管理员邮箱：admin@yourdomain.com

4.4 为备份任务添加邮件通知

1. 点击Datacenter→Backup
2. 编辑备份任务
3. 在Send email to中填写接收通知的邮箱
4. 在Send email notification中选择：
   • Always：总是发送
   • On failure only：仅失败时发送

五、查看日志和任务历史

5.1 任务历史

Proxmox 的所有操作都有记录：

1. 点击底部面板或Datacenter→HA→Task History
2. 可以看到所有任务的执行记录：
   • 任务类型（备份、启动、停止等）
   • 执行时间
   • 执行结果（成功/失败）
   • 详细日志

5.2 查看系统日志

通过 Shell：

# 查看 Proxmox 相关日志journalctl-upveproxy journalctl-upvedaemon# 查看最近 100 条日志journalctl-n100# 实时查看日志journalctl-f# 查看特定时间段的日志journalctl--since"2026-04-20 10:00"--until"2026-04-20 12:00"

5.3 查看虚拟机日志

# 查看虚拟机启动日志qm log100# 查看容器日志pct console200

六、日常维护操作

6.1 定期更新系统

# 更新软件包列表aptupdate# 查看可更新的包aptlist--upgradable# 升级所有包aptupgrade-y# 如果有内核更新，需要重启reboot

建议每月至少更新一次，修复安全漏洞。

6.2 监控资源使用

Web 界面查看：

1. 点击节点 →Summary
2. 查看 CPU、内存、磁盘、网络使用情况

命令行查看：

# CPU 和内存htop# 磁盘使用df-h# 内存详细free-h# 磁盘 I/Oiostat-x1# 网络流量iftop

6.3 清理旧日志和缓存

# 清理 apt 缓存aptcleanaptautoremove# 清理旧日志journalctl --vacuum-time=30d# 保留 30 天日志# 查看大文件find/-typef-size+100M-execls-lh{}\;

6.4 检查磁盘健康

# 查看 SMART 信息（机械硬盘）smartctl-a/dev/sda# 检查文件系统错误fsck-n/dev/sda2# 只检查，不修复

七、安全加固建议

7.1 修改 SSH 配置

nano/etc/ssh/sshd_config

建议修改以下配置：

# 禁止 root 登录PermitRootLogin no# 使用密钥认证（推荐）PasswordAuthentication no PubkeyAuthenticationyes# 修改默认端口（可选）Port2222# 允许特定用户AllowUsers admin zhangsan

重启 SSH：

systemctl restart sshd

7.2 配置防火墙

Proxmox 内置了防火墙功能：

1. 点击Datacenter→Firewall→Options
2. 启用防火墙：Firewall: yes
3. 点击Add添加规则：

注意：配置防火墙规则前，确保有替代访问方式（如 IPMI、KVM），避免把自己锁在外面！

7.3 启用双因素认证（2FA）

1. 点击右上角root@pam→TFA
2. 选择Add→TOTP
3. 用手机 App（如 Google Authenticator、Microsoft Authenticator）扫描二维码
4. 输入验证码确认

之后登录时，除了密码还需要输入动态验证码。

7.4 定期备份配置

# 备份网络配置cp/etc/network/interfaces /root/network.interfaces.bak# 备份存储配置cp/etc/pve/storage.cfg /root/storage.cfg.bak# 备份用户权限cp/etc/pve/user.cfg /root/user.cfg.bak# 备份防火墙规则cp/etc/pve/firewall/cluster.fw /root/cluster.fw.bak

7.5 安全更新自动安装

# 安装 unattended-upgradesaptinstall-yunattended-upgrades# 配置只安装安全更新dpkg-reconfigure-plowunattended-upgrades

八、常见问题排查

Q1：用户登录后看不到任何资源

1. 确认已给用户分配了权限（ACL）
2. 检查角色是否正确（PVEVMUser 或更高）
3. 确认资源路径正确

Q2：邮件通知没有收到

1. 检查 Postfix 是否运行：systemctl status postfix
2. 查看邮件队列：mailq
3. 检查日志：journalctl -u postfix
4. 确认邮箱授权码正确
5. 检查垃圾邮件箱

Q3：权限修改后没有生效

1. 用户需要重新登录
2. 检查是否有多条冲突的 ACL 规则
3. 确认角色权限足够

Q4：忘记 root 密码

1. 在服务器显示器上登录（本地控制台）
2. 使用passwd命令修改密码
3. 或者通过 GRUB 进入恢复模式修改

Q5：防火墙规则把自己锁在外面

1. 通过 IPMI/KVM/本地显示器登录
2. 临时禁用防火墙：systemctl stop pve-firewall
3. 修正规则后重新启用

九、本章小结

恭喜你！到这里，你已经完成了：

• ✅ 理解了 Proxmox 的权限体系（用户、组、角色、ACL）
• ✅ 创建了普通用户并分配了虚拟机管理权限
• ✅ 配置了邮件通知系统
• ✅ 掌握了日志查看和任务历史
• ✅ 学会了日常维护操作
• ✅ 了解了基本的安全加固措施

多人协作最佳实践：

1. 每个用户独立账号，不使用 root
2. 按项目/部门分组，批量分配权限
3. 只给用户最小必要的权限
4. 启用邮件通知，及时了解系统状态
5. 定期更新系统，修复安全漏洞

下一章预告：我们将在 Proxmox 虚拟机中安装 GitLab，搭建属于自己的代码仓库服务器。

附录：权限管理命令速查

# 查看所有用户pveum user list# 查看所有组pveum group list# 查看所有角色pveum role list# 查看 ACL 权限pveum acl list# 添加用户pveumuseraddzhangsan@pve--comment"张三"# 设置密码pveumpasswdzhangsan@pve# 添加用户到组pveumusermodzhangsan@pve--groupsdevelopers# 分配权限（给用户分配虚拟机 100 的 VMUser 权限）pveum acl modify /vms/100--userszhangsan@pve--rolesPVEVMUser# 删除用户pveumuserdelzhangsan@pve# 查看用户权限pveum user permissions zhangsan@pve