Ist 2FA für den root-Account auf einem Node möglich?

jacotec

New Member
Nov 19, 2024
16
1
3
Kerpen, DE
Hallo allerseits,

ich bin quasi neu hier :). Ich betreibe mein Homelab mit 5 Servern seit Jahren unter ESXi und nun ist endgültig die Zeit gekommen, alles auf Proxmox zu migrieren. Ich habe das Thema Proxmox schon lange auf dem Schirm und mich immer mal wieder informiert, aber so richtig intensiv beschäftige ich mich erst seit 2 Wochen damit. Meine Migration habe ich letztes Wochenende begonnen (wird bei 5 Servern und >60 VMs auch noch 2-3 Wochen andauern) :cool:. Verzeiht mir also, wenn ich etwas hier überlesen habe und vielleicht die eine oder andere "Noob-Frage" auftaucht.

Da ich gerne von "außen" auf die Administration mein Clusters kommen möchte, dies aber ausschließlich nur in Zusammenhang mit 2FA auf meinen Webproxy legen würde, stelle ich mir gerade die Frage, ob 2FA für den Root-Login funktioniert. Einrichten kann man es ja.

Das klingt vielleicht dumm, aber die Login-Infos brauche ich ja auch um den jeweiligen Node zum Cluster hinzuzufügen und für die Kommunikation der Nodes untereinander und zum Backup-Server. Oder läuft das intern komplett über andere Ports oder SSH, wo die 2FA gar nicht angewendet wird?

Also kurz und bündig: Hat die 2FA für den root@pam Account neben der Absicherung des Logins per Webinterface noch irgendwelche negativen Auswirkungen auf das Cluster an sich, die zu bedenken sind?

Und noch die Meinung von den Experten: Habt ihr Sicherheitsbedenken, das Webinterface eines Nodes per HAProxy mit eingerichteter 2FA über eine Subdomain aus dem Internet aus zugänglich zu machen? In dem Fall bliebe es dann dabei, dass ich nur von Geräten "draufkomme", wo ich auch meinen VPN-Zugang eingerichtet habe.

Viele Grüße,
Marco
 
Herzlich willkommen in der Community :cool:

Also kurz und bündig: Hat die 2FA für den root@pam Account neben der Absicherung des Logins per Webinterface noch irgendwelche negativen Auswirkungen auf das Cluster an sich, die zu bedenken sind?
Nein. Nicht im normalen Betrieb. Der TFA muss lediglich deaktiviert werden wenn du eine neue Node zum Cluster hinzufügst. Danach kannst du TFA wieder aktivieren.

Zum Thema Sicherheit: Alles was im Internet von überall und jedem erreichbar ist, ist natürlich höherem Risiko ausgesetzt. Und wenn du schon eine VPN hast, dann würde ich diese auch damit verwenden.

Sofern deine Standorte von denen zu zugreifen möchtest eine fixe öffentliche IP aufweisen, könntest du diese als SRC IP in deinem Portforwarding eintragen, damit würde das gewünschte Service auch ohne VPN erreichbar sein, aber eben ausschließlich von den SRC-IP's (Standorten) die hinterlegt sind.
 
  • Like
Reactions: Johannes S
Ich bin da voll bei Marios Meinung. Ich habe mein Testcluster Zuhause auch von außen erreichbar, über einen Wireguard VPN mit der FritzBox.
 

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!