Moin,
Ziel ist die Absicherung der root-accounts auf pve und pbs. Am liebsten würden wir Keys oder einen TOTP-Dongle für die Accounts in den Safe legen.
Vom logischen Aufbau her haben wir einen pve-Cluster und einen pbs an den Standorten. Die pbs syncen dann noch in den nächsten Standort. Es gibt Backup-User, die von pve auf pbs schreiben und lesen können, aber nicht löschen dürfen.
Jeder node hat natürlich root-Accs, die von den Administratoren nicht verwendet werden. Die Admins selbst nutzen TOTP und können sich out of the box nicht an die shell anmelden - das kann man ja lösen.
Nun verwenden die pve-nodes meines Wissens zur Kommunikation ssh untereinander. Da wird es wohl nicht so schlau sein TOTP für root zu aktivieren, oder? Dann würde die ssh-Kommunikation ja nicht mehr funktionieren denke ich. Ist der Effekt in Bezug auf die ssh-Verbindung bei Nutzung von Recovery Keys genauso?
Kommuniziert der pbs auch per ssh mit anderen nodes, oder ist es da gefahrlos möglich dort TOTP oder Recovery Keys für root zu nutzen? Dann wäre wenigstens das Backup stärker gesichert sein.
Wie macht ihr das mit den root-Accs? 128 stelliges Passwort würde natürlich auch gehen
LG
bom
Ziel ist die Absicherung der root-accounts auf pve und pbs. Am liebsten würden wir Keys oder einen TOTP-Dongle für die Accounts in den Safe legen.
Vom logischen Aufbau her haben wir einen pve-Cluster und einen pbs an den Standorten. Die pbs syncen dann noch in den nächsten Standort. Es gibt Backup-User, die von pve auf pbs schreiben und lesen können, aber nicht löschen dürfen.
Jeder node hat natürlich root-Accs, die von den Administratoren nicht verwendet werden. Die Admins selbst nutzen TOTP und können sich out of the box nicht an die shell anmelden - das kann man ja lösen.
Nun verwenden die pve-nodes meines Wissens zur Kommunikation ssh untereinander. Da wird es wohl nicht so schlau sein TOTP für root zu aktivieren, oder? Dann würde die ssh-Kommunikation ja nicht mehr funktionieren denke ich. Ist der Effekt in Bezug auf die ssh-Verbindung bei Nutzung von Recovery Keys genauso?
Kommuniziert der pbs auch per ssh mit anderen nodes, oder ist es da gefahrlos möglich dort TOTP oder Recovery Keys für root zu nutzen? Dann wäre wenigstens das Backup stärker gesichert sein.
Wie macht ihr das mit den root-Accs? 128 stelliges Passwort würde natürlich auch gehen
LG
bom
