如何保护proxmox？

Question

如何才能最好地保护Proxmox？

我所做的：

• 添加SSL
• 添加双因素身份验证

我的计划是：

• 将默认端口8006更改为随机端口，如3462
• 通过SSH添加隧道，并将SSH端口更改为随机端口，例如3462 (在进行双因素身份验证时是否需要隧道？)

我还能做什么？

Answer 1

如果没有必要的话，没有理由向Internet公开任何虚拟机管理程序web。我建议使用VPN (如Wireguard)，然后将web配置为只侦听来自VPN的IP。

如果这是您所说的“隧道”的意思，那么是的，如果您使用基于密钥的SSH身份验证，那就足够了。

Answer 2

这个问题读起来很奇怪。

添加SSL

默认情况下，在Proxmox上启用TLS。如果你需要“添加”一些东西，那么一些东西开始就坏了。

除非还阻止对Proxmox端口的非本地访问，否则提供SSH隧道是没有意义的--当您这样做时，更改Proxmox正在监听的端口没有好处。

当我有双因素认证时，是否需要隧道？

你在比较苹果和橘子。

您应该从一个安全模型开始-谁需要访问，您想要防御什么-然后调整您的设计与之。如果您需要远程访问，没有其他人需要，而ssh密钥对适合您的用例/将被使用，那么Proxmox中的MFA没有什么可获得的。

安全是关于保密的。可用性和完整性。如果对目标应用了所有可能的访问限制，则会增加损害可用性的风险。

对于homelab类型的安装，假设物理访问不是一个重大的风险因素，我建议一组更合适的控制措施是：

1. 将对Proxmox主机上端口8006的访问限制在回送地址上
2. 对Unix帐户使用复杂密码
3. 使用ssh转发
4. 不允许通过ssh登录密码或根登录(即仅限键盘)。
5. 对于ssh访问，可以考虑以下内容：

• fail2ban
• 外交部
• 非标准端口
• 港口敲击