Proxmox 双因子认证


对于信息系统过等级保护中8.1.4 中 安全计算环境--身份签别中,有一条:

d) 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。

简称双因子认证。

如果采用proxmox 做为基础云平台,那么登陆缺省是用户名+密码的认证方式, 如果要符合要求,需要对管理用户做双因子认证。以下就是实现方式,希望能帮助到朋友们:

一、Proxmox支持两种方式的双因子认证:

1.通过认证域方式实现,也就是TOTP或YubiKey OTP实现。

  • 使用这种方式,新建用户时需要将其持有的Key信息添加到系统,不然就没办法登录。使用TOTP的用户,如果被允许先登录,可以在登录后修改TOTP信息。

  • 如果认证域未强制要求提供双因子认证,用户也可以通过TOTP选择自行启用双因子认证。如果服务器配置了AppID,且未强制开启其他双因子认证方式,用户也可以选择使用U2F认证。

2. U2F 认证:

如需使用U2F认证,服务器需要配置拥有合法https证书的域。还需要配置初始的AppID。 修改AppID会导致已有U2F注册失效。 (这要求还有点高,AppID一修改,也受影响,就略过不采用了)

二、实现方式:

  • 先用TOTP时间令牌方式来实现

  • 在用户管理中选中用户后,点TFA按钮

  • 然后下载个FfreeOTP

  • 打开扫一扫: 会出现6个数字。填到验证码里应用后就OK了。

  • 或者你是个很有安全意识的运维人员,你的管理人员没这意识,你可以自行设置TFA:

  • 如果你觉得下载个应用太烦,那可以安装个oathtool工具; 一条命令就出来了:
oathtool --totp -b <这里写你的秘钥>
  • 登陆时,除了填写密码,会强制要求输入一个OTP的code. 输入那6个数字,就OK了。

  • 还有用YuBiKEY 硬件来实现的,看下这货的价格,好几百。如果确实你的资产价值值得投入的话,还是有必要的。

装好驱动,使用界面是这样的。