如何才能最好地保护 Proxmox Web UI?
我做了什么:
- 已添加 SSL
- 添加了双因素身份验证
我的计划是:
- 将默认端口 8006 更改为随机端口,例如 3462
- 通过 SSH 添加隧道,并将 SSH 端口更改为随机端口,例如 3462(当我进行双因素身份验证时是否需要隧道?)
我还可以做些什么?
答案1
如果没有必要,没有理由将任何虚拟机管理程序 Web GUI 暴露给互联网。我建议使用 VPN(如 Wireguard),然后将 Web GUI 配置为仅监听来自 VPN 的 IP。
如果这就是您所说的“隧道”,那么是的,如果您使用基于密钥的 SSH 身份验证,那就足够了。
答案2
这个问题读起来很奇怪。
已添加 SSL
Proxmox 默认启用 TLS。如果您需要“添加”某些内容,那么一开始就存在问题。
除非您还阻止对 Proxmox 端口的非本地访问,否则配置 SSH 隧道是没有意义的 - 而且当您这样做时,更改 Proxmox 正在监听的端口没有任何好处。
当我进行双重身份验证时,是否需要隧道连接?
你在比较苹果和橘子。
您应该从安全模型开始 - 谁需要访问,您要防御什么 - 然后让您的设计与之保持一致。如果您需要远程访问,而其他人不需要,并且 ssh 密钥对适合您的用例/将被使用,那么 Proxmox 中的 MFA 不会带来太多好处。
安全关乎机密性、可用性和完整性。如果您对目标应用所有可能的访问限制,则会增加损害可用性的风险。
对于家庭实验室类型的安装,假设物理访问不是一个重大的风险因素,我建议更合适的控制措施是:
- 将 Proxmox 主机上 8006 端口的访问限制为环回地址
- 对 Unix 帐户使用复杂的密码
- 使用 ssh 转发
- 不允许通过 ssh 进行密码登录或 root 登录(即仅限密钥对)
- 可选地考虑以下 ssh 访问:
- 失败2ban
- 外交部
- 非标准端口
- 端口敲击