Pve-Zsync über zwei Standorte nur als root möglich ?

[achim22]

Hallo,
ich würde gerne 2 Standorte per Pve-Zsync jede Stunde synchronisieren. Server B holt die Daten vom Server A

Nach diesem Muster sollte es klappen:

pve-zsync create --source ServerA:114 --dest rpool/data --verbose --maxsnap 5 --name test1
pve-zsync create --source ServerA:115 --dest rpool/data --verbose --maxsnap 5 --name test2
usw.


Damit der Server B die Daten von Server A holen kann muss ich auf dem Server B das Public-Key-Verfahren einrichten, oder?
Ich würde das aber ungerne als Root machen, oder brauche ich mir da keine Gedanken machen was die Sicherheit angeht ?

VG

 

[H4R0]

Standardmäßig hat nur root direkten Zugriff auf Festplatten. Du kannst zwar ZFS auch konfigurieren und anderen Nutzern Zugriff geben, würde ich aber im Fall von Backups nicht unbedingt machen, du pullst ja bereits was sehr sicher ist. Proxmox unterstütz nur ein Root Setup.

Standardmäßig ist sowieso der Passwort Login erlaubt und dementsprechend sehr unsicher. Je nach dem wie dein root passwort aussieht ist das sehr schnell gebruteforced. Solltest dein pve node also nicht per ssh nach außen öffnen ohne Vorkehrungen getroffen zu haben. Passwort Login deaktivieren (empfohlen) oder fail2ban installieren. Generell sollte die Kommunikation nur über ein VPN laufen und nicht öffentlich.

 

[achim22]

Also pve zsync nur über vpn und root login auch, das hört sich schon sehr gut an.

fail2ban habe ich am laufen und das root PW ändere ich wöchentlich, mindestens 8 zeich n!

Was hälst Du im allgemeinen von dem Google Authenticator über Shell?

 

[H4R0]

Also pve zsync nur über vpn und root login auch, das hört sich schon sehr gut an.

fail2ban habe ich am laufen und das root PW ändere ich wöchentlich, mindestens 8 zeich n!

Was hälst Du im allgemeinen von dem Google Authenticator über Shell?

2fa über die shell an sich ist eine gute Idee, allerdings halte ich persönlich nicht viel davon. Weitere Abhängigkeiten die man installieren muss, was ist wenn dein Smartphone mal nicht vor Ort oder kaputt ist.. Du brauchst quasi weiterhin eine Hintertür für den Notfall.

Mit Fail2ban und gutem Passwort bist du zu 97% sicher. Zusätzlich eine User Whitelist, somit ist der Login auf root und einem Admin Benutzer begrenzt. Es kommt schnell mal vor dass man einen Benutzer mit schlechtem Passwort anlegt und ihn dann vergisst. Dann bist du quasi bei 99%. Beachte das Fail2ban bruteforce verlangsamt, mit etwas wissen oder genug Ressourcen kann man dennoch sehr viele Passwörter durchtesten. Da sind 8 Zeichen schon sehr knapp.

Persönlich deaktiviere ich immer Passwort Login bei SSH, du kannst dich weiterhin an der Proxmox Gui mit Passwort anmelden. Public Key verschlüsselt mit Passwort ist zu 100% sicher, solange niemand Zugriff auf deinen Private Key hat. Ich hab immer einen USB stick dabei, wo diverse Private Keys drauf gespeichert sind.

Im Grunde ändert sich ja nichts zwischen Passwort und Private Key Login, bei beiden gibst du ein Passwort zum Anmelden ein. Beim Private Key hingegen wird halt dein Key durch das Passwort entschlüsselt und es wird der 4096bit Schlüssel an den Server gesendet und nicht ein 8 Zeichen langes Passwort.

Für die Proxmox Gui verwende ich 2fa fido, wird von proxmox aus unterstützt. So einen usb fido stick bekommt man ab 5€