2FA -- wie macht man's richtig?

[whiterabbit]

Hallo.
Ich habe die Anleitung zu 2FA gelesen. Mir ist aber nicht ganz klar, wie/ob man den bestehenden root-Zugang damit absichern kann? Wenn man nur weitere/neue Zugänge zur WebGUI damit absichert, hat man ja keinen Sicherheitsgewinn ... es müsste schon für alle gelten, oder sehe ich das falsch?

 

[CoolTux]

Hast Du es einfach mal probiert. Ich kann sowohl meinen User als auch root mit 2FA konfigurieren.

 

[whiterabbit]

Wenn root auch nur noch per 2FA reinkommt, macht die ganze Sache Sinn ... ich bin auch über diese Anleitung gestolpert:
https://www.youtube.com/watch?v=HDkGF0rCctA
Da wird ja einfach ein zusätzlicher User angelegt, der 2FA nutzt -- aber der root Login bleibt ja so erhalten wie er war. Das bringt doch keinen Mehrwert, wenn root sich wie bisher anmelden kann?!!

 

[CoolTux]

Ich verstehe die Frage einfach nicht.
Irritiert es Dich das in irgendeinem Video root kein 2FA hat oder denkst Du das es nicht geht.
Ich verstehe nicht wieso Du es nicht einfach testest. Ich habe es vor ein paar Tagen einfach aktiviert. Ist ja nun keine Hexerei.
Probier es einfach mal.

 

[whiterabbit]

Mir irritiert daran, dass 2FA für einen neuen User aktiviert wird, aber das root Konto sich scheinbar weiterhin ganz normal anmelden kann (so ist es im Video zumindest angelegt?). Wenn also das root Konto nicht anschließend gesperrt wird oder mit weniger Rechten ausgestattet wird, ist es doch kein Sicherheitsgewinn? Dann kann sich doch jeder, der es darauf anlegt, trotzdem weiterhin mit dem root-Account anmelden....

Ich habe es gerade mal versucht und einen neuen User angelegt (so wie es gezeigt wird). Aber schon im nächsten Schritt geht's nicht weiter, weil ich den User nicht anmelden kann. Wenn ich "su <mein-username>" verwende, erhalte ich "su: user <mein-unsername> does not exist".

 

[CoolTux]

Ich kenne das Video nicht. Eventuell habe ich Dich falsch verstanden.
Ich dachte Du willst Dich am Webinterface von Proxmox anmelden. Sorry mein Fehler.

 

[CoolTux]

Hab mal das Video überflogen. Darin wird ja ein Proxmoxkonto erstellt und kein Systemkonto. Kannst also in der Konsole auch kein su machen weil der User nur für das Proxmox GUI existiert.
Und 2FA ist viel einfacher in der 6er Version.

 

[whiterabbit]

OK, aber es wird gesagt, dass sich der User per SSH anmelden soll.
Gibt's eine ähnliche Anleitung für v6?

 

[CoolTux]

Wie gesagt ich habe überflogen. Und wenn der User welcher im Frontend als Proxmoxuser angelegt wurde nicht auch als Linuxuser in der Linux-Konsole angelegt wurde kann er sich nicht per SSH anmelden.
Ich kann das aber gerne nachher mal testen.
Keine Ahnung ob es für 6 eine Anleitung gibt. Ich habe keine gebraucht, ich fand es logisch wie man 2FA für einen User aktiviert.

 

[CoolTux]

Hab es getestet, ein User welcher mit Realm Proxmox VE Authentication Server angelegt wurde kann sich nicht an den Server an melden sondern lediglich an das Proxmox Gui. Du kannst natürlich auch ein Systemuser anlegen und dann diesen für Proxmox verwenden.