be lobo head
LoboGuard

Dokumentation

LoboGuard Konfigurationshandbuch

Einführung

Allgemeine Beschreibung

LoboGuard ist eine erweiterte und sichere Überwachungs-, Alarmierungs-, Management- und Berichtslösung für Proxmox-Infrastrukturen, die Telegram als Fernsteuerung und Alarmierungsschnittstelle verwendet. Dieses Handbuch bietet eine vollständige Anleitung für die erste Systemeinrichtung.

Voraussetzungen

  • Zugang zu Telegram (mobile App, Desktop oder Web)
  • Gültiger LoboBrothers Lizenzschlüssel
  • LoboGuard Server bereitgestellt und erreichbar
  • Proxmox Cluster mit API-Zugang von LoboGuard

Hauptfunktionen

Überwachung

Kontinuierliche Überwachung von:

  • CPU und Speicher
  • Festplatten und Status
  • VMs/LXCs
  • Knoten
  • Speicher
  • Netzwerke
  • Backups
  • CEPH

Intelligente Alarme

Automatische Benachrichtigungen über Telegram mit mehreren Alarmtypen:

  • Ressourcen-Alarme (CPU, RAM, Festplatte)
  • SSL/TLS-Zertifikat-Alarme
  • Zeitsynchronisations-Alarme
  • Firewall- und Sicherheits-Alarme
  • Hochverfügbarkeits-Alarme
  • Ceph und ZFS Speicher-Alarme
  • Backup- und Snapshot-Alarme
  • System-Abonnement-Alarme

Berichte

Manuell und geplant für:

  • Allgemeiner Status
  • VM/LXC Status
  • Speicher
  • Backups
  • Netzwerke
  • Ceph

Erweiterte Sicherheitsarchitektur

LoboGuard implementiert mehrere Sicherheitsebenen zum Schutz Ihrer Infrastruktur:

  • Multi-Faktor-Authentifizierung
  • Granulare Zugriffssteuerung
  • Anti-Brute-Force-Schutz
  • Vollständige Protokollierung
  • Eindeutige Token
  • Sitzungszeitsperren

Fernverwaltung

Steuerung über Telegram mit sicherer Authentifizierung:

  • Ein-/Ausschalten, Neustarten von VMs/LXCs
  • Backup-Verwaltung und -Ausführung
  • Snapshot-Verwaltung und -Ausführung

Multi-Cluster

Unterstützung für mehrere Proxmox-Umgebungen je nach Lizenz

  • Basic 1 Cluster
  • Pro 3 Cluster
  • Max 10 Cluster

Telegram Bot Einrichtung

BotFather Zugang

Schritt 1: Telegram-Anwendung öffnen

  1. Telegram öffnen (mobil, Desktop oder Web)
  2. In der Suchleiste eingeben: @BotFather
  3. Auf den offiziellen verifizierten Bot mit ✅ klicken
  4. START drücken oder /start senden

Neuen Bot erstellen

Schritt 1: Erstellung starten

Befehl: /newbot

Schritt 2: Bot-Name konfigurieren

  • BotFather wird nach dem Bot-Namen fragen
  • Mit einem beschreibenden Namen antworten: LoboGuard Management Bot

Schritt 3: Bot-Benutzername konfigurieren

  • Muss mit "bot" enden
  • Muss auf der gesamten Telegram-Plattform eindeutig sein
  • Kann nur Buchstaben, Zahlen und Unterstriche enthalten
  • Beispiel: loboguard_mgmt_bot

Bot-Token erhalten

Sobald der Prozess abgeschlossen ist, wird BotFather Folgendes bereitstellen:

WICHTIG
  • Token sofort kopieren und speichern
  • Token NICHT mit Dritten teilen
  • Dieser Token ist der Zugangschlüssel zu Ihrem Bot

Telegram IDs

Ihre persönliche Chat-ID erhalten

Methode 1: Hilfsbot verwenden

  1. Nach @userinfobot in Telegram suchen
  2. /start an ihn senden
  3. Der Bot wird mit Ihren Informationen antworten:
ID: 123456789 ← Dies ist Ihre Chat-ID
First: Ihr Name
Lang: de

Methode 2: Ihren eigenen Bot verwenden

  1. /start an Ihren neu erstellten Bot senden
  2. Im Browser öffnen: https://api.telegram.org/bot/getUpdates
  3. durch Ihren Bot-Token ersetzen
  4. Das "id"-Feld in "from" suchen: 12345678910

Private Gruppe für Alarme erstellen und konfigurieren

Schritt 1: Private Gruppe erstellen

  • "Neue Gruppe" in Telegram erstellen
  • Beispielname: "LoboGuard Alarme"
  • Administratoren hinzufügen, die Alarme erhalten sollen

Schritt 2: Bot zur Gruppe hinzufügen

  • Zu Gruppeninfo → Bearbeiten gehen
  • Mitglieder hinzufügen auswählen
  • Nach Ihrem Bot suchen: @loboguard_mgmt_bot
  • Ihn zur Gruppe hinzufügen

Schritt 3: Berechtigungen konfigurieren

In den Gruppeninformationen:

Nachrichten senden
Medien senden
Nachrichten anheften

Gruppen-Chat-ID erhalten

Einfache Methode: In Telegram Web

  • Die Gruppe auswählen
  • In der Browser-Leiste: https://web.telegram.org/k/#-4819707521
  • Die Gruppen-ID ist: -4819707521 (immer mit Minuszeichen für private Gruppen)

Erster Zugang und Konfiguration

Systemzugang

Schritt 1: Auf den Server zugreifen

  • Navigieren zu: https://SERVER_IP:8443
  • Beispiel: https://192.168.1.139:8443

Schritt 2: Zertifikatwarnung behandeln

Browser zeigen Warnungen wie:

  • Chrome: "Ihre Verbindung ist nicht privat"
  • Firefox: "Warnung: Potenzielles Sicherheitsrisiko"

Schritt 3: Zertifikat akzeptieren

  • Auf Erweiterte Einstellungen klicken
  • Zu [IP] fortfahren (nicht sicher) auswählen
Sicherheitshinweis

Das selbstsignierte Zertifikat ist sicher und ein neues wird bei jeder Installation generiert, obwohl Sie, wenn Sie Browser-Warnungen vermeiden möchten, später Ihr eigenes SSL-Zertifikat über das Verwaltungsinterface hochladen können.

Erster Zugang und Passwort-Änderung

Standard-Anmeldedaten:
Benutzername: lobo
Passwort: guard

Obligatorische Passwort-Änderung: Das System wird automatisch zur Passwort-Änderung weiterleiten.

Neue Passwort-Anforderungen:

Mindestens 8 Zeichen
Ein Großbuchstabe (A-Z)
Ein Kleinbuchstabe (a-z)
Eine Zahl (0-9)

Auf Konfigurationsbereich zugreifen

Nach der Passwort-Änderung:

  1. Auf Konfiguration im oberen Menü klicken
  2. Sie gelangen zum schrittweisen Konfigurationsassistenten

Bot Konfiguration (Assistent)

Der Assistent führt durch 6 wesentliche Schritte zur vollständigen Konfiguration von LoboGuard.

Lizenz-Konfiguration (Schritt 1/6)

Konfiguration:

  1. Den von LoboBrothers bereitgestellten Lizenzschlüssel eingeben
  2. Auf Weiter klicken zum Validieren
Wichtig

Einmal auf einer Maschine aktiviert, kann die Lizenz nicht auf eine andere übertragen werden. Für Änderungen den Support kontaktieren.

Telegram-Konfiguration (Schritt 2/6)

Feld Beschreibung Beispiel
Bot Token Vollständiger Token von BotFather 8452961006:AAHWhRkptJ937RgUgd5vC-Ml6biyyrME76I
Chat ID Persönliche ID für Verwaltung 123456789
Alarm Chat ID Gruppen-ID für Alarme -123456789 oder -100123456789
Tipp:

Bei Problemen mit der Alarm Chat ID versuchen Sie das Präfix -100 vor der Gruppen-ID hinzuzufügen, manchmal ist die echte ID für die API mit -100 davor.

Verbindung testen: Auf Telegram-Verbindung testen klicken. Bei Erfolg erhalten Sie Bestätigungsnachrichten in beiden Chats.

Sicherheits-Konfiguration (Schritt 3/6)

Parameter Beschreibung Empfehlung
Bot Secret Anfangszugangscode Sicheres Passwort verwenden
Admin ID Bot-Superadministrator Ihre persönliche Chat-ID
Sperre-Dauer Sperrzeit nach Fehlversuchen 3600 Sekunden (1 Stunde)
Max Auth-Versuche Versuche vor Sperre 5 Versuche
Max Sperre-Anzahl Sperren vor permanenter Sperre 3 Versuche
Bestätigungs-Methode PIN und OTP (für kritische Aktionen) OTP (sicherer und empfohlen für Produktion) PIN (Entwicklung oder Bequemlichkeit)
Max PIN-Versuche PIN-Versuche 3 Versuche
Max OTP-Versuche OTP-Code-Versuche 3 Versuche
OTP-Ablauf Code-Gültigkeit 300 Sekunden (5 Min)

Admin-Funktionen:

Nur der Admin wird diese zusätzlichen Funktionen in Telegram haben, die anderen erhalten eine verbotene Nachricht.

  • /auth_status: Authentifizierte Benutzer anzeigen
  • /reset_auth: Authentifizierungen und Sperren zurücksetzen

E-Mail-Konfiguration (Schritt 4/6)

Feld Gmail Outlook Benutzerdefiniert
SMTP-Server smtp.gmail.com smtp.outlook.com ihr.smtp.server
SMTP-Port 587 (STARTTLS) 587 (STARTTLS) 587/465/25
Sicherheitstyp STARTTLS STARTTLS Nach Anbieter
Benutzername sie@gmail.com sie@outlook.com ihr.benutzer
Passwort App-Passwort Normales/App-Passwort Ihr Passwort
Für Gmail:

In Ihrem Gmail-Konto:

  1. 2-Schritt-Verifizierung aktivieren
  2. Anwendungspasswort generieren
  3. Schnell-Setup → Gmail-Voreinstellung verwenden (Wichtig, bei manueller Eingabe funktioniert es nicht)

OTP-Empfänger konfigurieren: E-Mails hinzufügen, die Verifizierungscodes für kritische Aktionen erhalten.

Überwachungs-Konfiguration (Schritt 5/6)

Überwachungsfunktionen

Abonnements überwachen: Überwachung von System-Abonnements und -Lizenzen aktivieren
Zeit-Synchronisation überwachen: System-Zeitsynchronisationsstatus überwachen
Zertifikate überwachen: SSL/TLS-Zertifikatablauf überwachen
Firewall überwachen: Firewall-Status und -Regeln überwachen
Hochverfügbarkeit überwachen: Status des Hochverfügbarkeits-Clusters überwachen. Das Wort "critical" zu Maschinennotizen hinzufügen
Ceph-Speicher überwachen: Ceph verteiltes Speichersystem überwachen
ZFS-Speicher überwachen: ZFS-Pools, Datasets und Replikationsstatus überwachen
Backups überwachen: Backup-Alter überwachen
Snapshots überwachen: Snapshot-Alter überwachen

Grundlegende Überwachungseinstellungen

Parameter Beschreibung Standardwert
Überwachungsintervall (Sekunden) Häufigkeit der Systemstatus-Prüfungen 60 Sekunden

Ressourcenschwellen

Metrik Alarmschwelle Alarmzeit
CPU-Schwelle (%) 90% 300 Sekunden
RAM-Schwelle (%) 90% 300 Sekunden
Festplatten-Schwelle (%) 90% -

Abschließende Überprüfung (Schritt 6/6)

Finale Überprüfung:

Lizenz konfiguriert
Telegram konfiguriert
Sicherheit konfiguriert
E-Mail konfiguriert (optional aber erforderlich für OTP)
Überwachung konfiguriert (Standardwerte werden verwendet wenn nicht geändert)

Auf Abschluss klicken, um die Grundkonfiguration zu vervollständigen.

Schnellaktions-Leiste:

Wir haben eine Schnellaktions-Leiste, wo wir die Konfiguration testen, zu Protokollen gehen, unsere Konfiguration sichern, exportieren, importieren und Backups verwalten können.

Wichtig:

Diese Sicherung speichert die gesamte Hauptkonfiguration unseres Bots und die Cluster, die wir als nächstes im Cluster-Abschnitt hinzufügen, da unser Bot momentan nicht starten würde, weil er zwar die Hauptkonfiguration hat, wir aber noch nicht die Cluster registriert haben, die wir verwalten, überwachen und berichten möchten.

Cluster Konfiguration

Proxmox Cluster hinzufügen

Auf Cluster zugreifen:

  • Zum Cluster-Menü gehen
  • Auf Cluster hinzufügen klicken
Feld Beschreibung Beispiel
Cluster-Name Beschreibender Name PVE-LAB
API-URL Vollständiger Proxmox-Endpunkt https://192.168.1.211:8006/api2/
Benutzername Benutzer mit API-Berechtigungen monitor@pve
Token-ID Token-Identifikator monitorcluster
Token-Secret API-Token-Secret xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

API-Berechtigungen-Konfiguration

In Proxmox VE:

1. Nur für Überwachung (nur lesen):

  • Rolle: PVEAuditor
  • Berechtigungen: Status, Ressourcen und Konfigurationen lesen

2. Für vollständige Verwaltung:

  • Rollen: PVEAuditor + PVEVMAdmin
  • Berechtigungen: Lesen + Kontrolle von VMs/LXCs + Backups + Snapshots

SSL-Verifizierung:

  • ✅ Aktiviert: Für gültige Zertifikate
  • ❌ Deaktiviert: Für selbstsignierte Zertifikate

Verbindungstest: Wenn die Konfiguration korrekt ist, sehen Sie: ✅Erfolgreich mit Proxmox VE X.X.X verbunden

Ausnahmen-Verwaltung

Wofür ist das? Stellen Sie sich vor, Sie haben Container und Maschinen ausgeschaltet und schalten sie für spezifische Probleme oder Tests ein, nun können Sie diese Maschinen oder Container durch Überwachungs-ID ausschließen. Dasselbe mit Speicher, wir geben einfach den Speichernamen an.

Arten von Ausnahmen:

  • Virtuelle Maschinen: VMs nach ID ausschließen (z.B: 100, 101, 102)
  • Container: LXCs nach ID ausschließen (z.B: 200, 201)
  • Speicher: Speicher nach Name ausschließen (z.B: local-lvm, backup-storage)

Anwendungsfälle:

  • Test-VMs/LXCs die gelegentlich eingeschaltet werden
  • Temporärer oder Entwicklungsspeicher
  • Ressourcen, die keine kontinuierliche Überwachung benötigen

Sobald dies erledigt ist, könnten wir unseren Bot starten, dafür gehen wir zum Dashboard.

Bot starten:

Wie Sie sehen können, läuft unser Bot nicht, wir müssen auf Start klicken, um zu beginnen.

Einmal gestartet wird er in unserem Telegram-Chat, wenn alles korrekt konfiguriert wurde, uns sagen:

Da es das erste Mal ist, dass wir darauf zugreifen, wird er nach dem Bot-Secret oder PIN fragen, je nach der in der Sicherheit gewählten Methode

Wir können nicht mit ihm sprechen, bis wir unser Bot-Secret schreiben oder in diesem Fall, da wir PIN in der Sicherheit gewählt haben, die PIN. Als Sicherheitssystem und wie wir erwähnt haben, hat es eine Grenze von Versuchen und eine Grenze von Sperren, wenn Sie die Anzahl der Sperren erfüllen, das heißt 3 Sperren standardmäßig wenn es nicht geändert wurde, wird es dauerhaft gesperrt.

Jede Sperre hat verschiedene zufällige und lustige Phrasen.

Wenn Sie OTP in der Sicherheit gewählt haben, wird es zuerst nach dem BOT_SECRET fragen und dann nach dem OTP, daher ist die Sicherheit sehr hoch.

Wichtig:

Jede Änderung in der Konfiguration oder dem Cluster von der Web-Oberfläche aus, damit sie reflektiert wird, müssen Sie zum Dashboard gehen und den Bot neustarten.

Damit hätten wir unseren Bot vollständig konfiguriert und funktionsfähig. Bevor wir zu den Bot-Funktionalitäten übergehen, werden wir die restlichen Abschnitte der Oberfläche erklären.

Systemverwaltung

SSL-Zertifikat-Verwaltung

Verfügbare Funktionen:

  • Aktuellen Status anzeigen: Informationen zum aktiven Zertifikat
  • Zertifikat hochladen: Ihr eigenes Zertifikat hochladen
  • CSR: CSR für Zertifizierungsstelle generieren
  • Selbstsigniert generieren: Neues temporäres Zertifikat erstellen
  • Sichern/Wiederherstellen: Zertifikat-Backups verwalten

Protokoll-Verwaltung

Eigenschaften:

  • Manuelle Bereinigung: Protokolle älter als N Tage löschen
  • Automatische Bereinigung: Täglich um 02:00 geplant
  • Flexible Konfiguration: Anpassbare Aufbewahrung

System-Einstellungen-Konfiguration

Profil-Informationen:

  • Benutzername und vollständiger Name ändern
  • E-Mail-Konfiguration für Benachrichtigungen
  • Benutzeroberflächen-Sprache und -Thema

Sicherheit:

  • Passwort-Änderung
  • Zwei-Faktor-Authentifizierung (2FA)
  • Sitzungs-Timeout

E-Mail-Konfiguration:

  • SMTP für Web-Oberflächen-Benachrichtigungen
  • Erforderlich für Passwort-Wiederherstellung
  • E-Mail-Alarme für System-Ereignisse

Alarm-Typen:

Anmelde-Alarme: Zugangs-Benachrichtigungen
Sicherheits-Alarme: Sicherheitsereignisse
Bot-Status-Alarme: Bot-Statusänderungen
Passwort-Änderungs-Alarme: Passwort-Änderungen
Benutzername-Änderungs-Alarme: Benutzername-Änderungen

Überprüfung und Tests

Verbindungstests

Bot starten:

  1. Zum Dashboard gehen
  2. Auf Bot starten klicken
  3. Status überprüfen: "Läuft"

Willkommensnachricht:

Der Bot sendet Bestätigungsnachrichten mit:

Gültige Lizenz und Gültigkeit
Aktivierte Cluster
Anweisungen zum Start (/start)

Fehlerbehebung bei häufigen Problemen

Fehler: "Bot-Token ungültig"

Ursachen:
  • Token falsch kopiert oder unvollständig
  • Zusätzliche Leerzeichen am Anfang/Ende
  • Token in BotFather neu generiert
Lösung:
  • Vollständigen Token ohne Leerzeichen überprüfen
  • Bei Bedarf neu generieren: /mybots → Bot auswählen → API Token → Aktuellen Token widerrufen

Fehler: "Chat nicht gefunden" für Chat-ID

Ursachen:
  • Falsche oder nicht initialisierte ID
  • Bot vom Benutzer blockiert
  • Hat /start nicht an Bot gesendet
Lösung:
  • /start an persönlichen Bot senden
  • Überprüfen, dass Bot nicht blockiert ist
  • Positive ID für persönliche Chats bestätigen

Fehler: "Chat nicht gefunden" für Alarm-Chat-ID

Ursachen:
  • Bot nicht zur Gruppe hinzugefügt
  • Falsche Gruppen-ID
  • Fehlender -100-Präfix
Lösung:
  • Überprüfen, dass Bot in der Gruppe ist
  • Mit -100 + Gruppen-ID versuchen
  • Bot-Berechtigungen in Gruppe bestätigen

Fehler: "Verboten: Bot wurde blockiert"

Lösung:
  • Zum Chat mit dem Bot gehen
  • START oder ENTSPERREN drücken
  • Bot im Dashboard neustarten

Sicherheits-Best-Practices

Für Bot-Token

  • 🔒 Token niemals öffentlich teilen
  • 💾 Im Passwort-Manager speichern
  • 🔄 Neu generieren wenn kompromittiert wie wir vorhin gesehen haben /mybots → Bot auswählen → API Token → Aktuellen Token widerrufen

Für Gruppen

  • 🔐 Gruppen privat halten
  • 👥 Nur notwendige Administratoren
  • ⚙️ Berechtigungen regelmäßig überprüfen

Für das System

  • 🌐 Nicht ins Internet stellen, wenn Sie Zugang von anderen Orten wollen, VPN oder sichere Systeme verwenden
  • 🛡️ Firewall angemessen konfigurieren
  • 💾 Regelmäßige Backups durchführen
  • 🔐 2FA in Web-Oberfläche und Bot aktivieren
  • 📧 Sicherheits-Benachrichtigungen konfigurieren

Konfigurations-Zusammenfassung

Nach Abschluss dieses Handbuchs haben Sie:

Telegram-Bot mit eindeutigem Token erstellt
Persönlichen Chat für direkte Verwaltung konfiguriert
Private Gruppe für System-Alarme konfiguriert
LoboGuard vollständig konfiguriert und betriebsbereit
Proxmox-Cluster überwacht und verwaltbar
Sicheres System mit robuster Authentifizierung

Der Bot wird vollständig betriebsbereit sein, um Ihre LoboGuard-Infrastruktur von Telegram aus zu verwalten mit vollständigen Überwachungs-, Alarmierungs-, Fernverwaltungs- und Berichtsfähigkeiten.

1 / 8