V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
toyst
V2EX  ›  Linux

proxmox VE 的 web 登录安全性

  •  
  •   toyst · 2022-05-31 15:43:04 +08:00 · 4071 次点击
    这是一个创建于 907 天前的主题,其中的信息可能已经有所发展或是发生改变。

    好像默认是 root 登录,这样在公网会不会不安全呀 可以加二次认证,但是担心离线时间不对又登录不上会很麻烦

    21 条回复    2023-01-05 14:57:11 +08:00
    zengxs
        1
    zengxs  
       2022-05-31 15:47:16 +08:00
    为什么要放公网?
    AoEiuV020CN
        2
    AoEiuV020CN  
       2022-05-31 15:50:51 +08:00
    我这边是公网只暴露一个 ss 端口,
    必须通过 ss 代理进来才能访问包括 pve 在内的内网设备,
    libook
        3
    libook  
       2022-05-31 15:51:09 +08:00
    最省事就是套个 VPN ,裸奔很容易被自动漏扫拿下。
    iphoneXr
        4
    iphoneXr  
       2022-05-31 15:56:55 +08:00
    pve 集群肯定是要做 ntp 时间校对的 所以还是用 mfa 把。
    henvm
        5
    henvm  
       2022-05-31 16:08:10 +08:00
    密码要用超级复杂的
    Blank10030
        6
    Blank10030  
       2022-05-31 17:43:37 +08:00
    放到公网又怕安全性,VPN 啊
    photon006
        7
    photon006  
       2022-05-31 20:12:43 +08:00
    密码设复杂点
    nginx 反代套 ssl
    apt install fail2ban
    bao3
        8
    bao3  
       2022-05-31 20:17:51 +08:00 via iPhone
    一点问题也没有,IP 是动态的,设置 fail2ban ,开 MFA 。等到破解了你的密码,你的 IP 也已经换了(我这里运营商大概 3 天换一次 IP )
    ltkun
        9
    ltkun  
       2022-05-31 20:19:41 +08:00 via Android
    我放公网了 不过开的 ipv6 能扫到没办法
    ragnaroks
        10
    ragnaroks  
       2022-05-31 20:48:43 +08:00
    简单来说,套 tls 双向认证
    yaoyao1128
        11
    yaoyao1128  
       2022-05-31 20:51:37 +08:00 via iPhone
    1. 把 root 禁止掉 需要的时候 ssh 上去打开 新建一个能登录的组的用户配合 sudo
    2. 用 pve 内置认证
    3. 用 tinc 之类的组 vpn'
    HAWCat
        12
    HAWCat  
       2022-05-31 21:49:24 +08:00 via iPhone
    vpn 连上去再操作吧
    davidyin
        13
    davidyin  
       2022-06-01 00:44:27 +08:00
    只开在内网。
    访问 web 登录,用 vpn 。
    FrankAdler
        14
    FrankAdler  
       2022-06-01 01:05:06 +08:00
    时间误差导致到二次验证失败,是可以通过 ssh 进入系统修正的,个人觉得问题不大,又不是常态。
    restkhz
        15
    restkhz  
       2022-06-01 06:23:05 +08:00 via Android
    1.不安全,很不安全。
    2.我有类似的场景,用 wireguard 做的。电脑手机有成熟的软件,所以连接都很方便。而且 wg 本身相当轻便,配置简单。
    3.上面有人说的那些比如 tinc 也可以试试。
    laoyur
        16
    laoyur  
       2022-06-01 08:06:01 +08:00
    8006 公网访问关掉,重新弄个端口转发一下就行了吧,密码设复杂一点

    话说这个 8006 是不是不好改,以前搜了一下貌似不好解决就作罢了
    lucifer9
        17
    lucifer9  
       2022-06-01 15:41:01 +08:00
    密码复杂点呗
    比如 16 位大小写+数字+合法特殊符号的无规律字符
    算算穷举需要多久
    telaviv
        18
    telaviv  
       2022-06-03 11:52:07 +08:00
    不要暴露这种服务到公网,套一层 wireguard 。
    linuxgo
        19
    linuxgo  
       2022-08-18 16:59:51 +08:00
    我用的 caddy 做 https 代理
    justaname
        20
    justaname  
       2022-12-13 22:29:39 +08:00
    假设 PVE 的 webUI 没有严重安全漏洞的前提下,强密码不泄漏的话能有啥风险,如果强密码泄漏的话理论上你用任何跳板都有风险吧
    justaname
        21
    justaname  
       2023-01-05 14:57:11 +08:00
    突然发现 pve 的二重验证本来就可以加 recovery code ,那还能有什么时间不同步的问题,把 recovery code 藏好啥事都没有吧
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2705 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 12:34 · PVG 20:34 · LAX 04:34 · JFK 07:34
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.