Menyiapkan Proxmox 2-FA: Langkah demi langkah untuk mengamankan login

Di dunia yang semakin terhubung dimana data sensitif sering disimpan dan diproses secara online, keamanan data menjadi semakin penting.

Kata sandi yang dibobol sudah cukup untuk membahayakan keberadaan perusahaan. Siapa pun yang memiliki akses ke antarmuka Proxmox dapat memulai, menghentikan mesin virtual, memutar kembali snapshot, atau mengubah konfigurasi. Di sinilah otentikasi dua faktor (2-FA) berperan: Selain kata sandi, Proxmox memerlukan kode satu kali berbasis waktu (TOTP). Sekalipun kata sandi jatuh ke tangan yang salah, login tetap diblokir tanpa faktor kedua (kode satu kali ini).

Dalam panduan praktis ini kami menunjukkan kepada Anda cara menyiapkan 2-FA dengan benar di Proxmox, kendala apa yang ada, dan cara membuat operasi yang sedang berjalan aman – dapat dipahami, dipahami, dan dapat diterapkan secara langsung.

Dijelaskan secara singkat: TOTP untuk Proxmox

TOTP adalah singkatan dari “Kata Sandi Satu Kali Berbasis Waktu”. Rahasia bersama antara Proxmox dan aplikasi autentikator Anda menghasilkan kode 6 digit baru setiap 30 detik, yang dibuat dengan kombinasi waktu saat ini dan angka multi-digit. Saat mendaftar, pengguna memasukkan kode ini setelah kata sandi. Aplikasi yang umum meliputi: B. Bitwarden, Aegis, FreeOTP atau Google Authenticator. TOTP bekerja secara offline di ponsel cerdas atau desktop, menjadikannya tangguh dan cepat.

Persyaratan untuk pengaturan

• Akses Proxmox dengan hak yang memadai (misalnya administrator untuk pusat data)
• Aplikasi autentikator berkemampuan TOTP di ponsel cerdas atau desktop (dalam artikel ini kami menggunakan aplikasi “TOTP Authenticator” dari Microsoft Store)
• Waktu sistem yang benar pada host Proxmox serta pada perangkat dengan aplikasi autentikator (NTP/sinkronisasi waktu sangat penting)

Tip: Periksa pengaturan waktu secara teratur pada host Proxmox dengan “status timedatectl” dan jaga agar jam tetap sinkron melalui NTP. Penyimpangan waktu adalah penyebab paling umum kegagalan login TOTP.

Langkah demi langkah: Aktifkan Proxmox 2-FA di UI web

Langkah-langkah berikut mengacu pada antarmuka web Proxmox VE standar dan menggunakan TOTP sebagai faktor kedua.

Navigasi ke konfigurasi 2-FA

1. Masuk ke antarmuka web Proxmox.
2. Klik “Pusat Data” di panel navigasi kiri.
3. Buka bagian “Izin” di sebelah kanan dan pilih “Dua Faktor”.

Buat entri TOTP baru

Sekarang klik “Tambah” dan pilih “TOTP”, maka jendela konfigurasi akan terbuka.

Di jendela ini Anda memilih pengguna yang 2-FA harus diaktifkan (misalnya andi@pam).

Opsional: Masukkan deskripsi/catatan dan periksa nama penerbit yang nantinya entri tersebut akan muncul di aplikasi autentikator Anda.

Pindai kode QR yang ditampilkan dengan aplikasi autentikator Anda atau salin “Rahasia” secara manual ke dalam aplikasi. Dalam kasus kami, klik tanda plus di kanan atas “TOTP Authenticator” dan kemudian masukkan “Rahasia” di sana.

Saat memasukkan kunci, beri nama di baris paling atas dan letakkan kunci di baris paling bawah.

Dan jangan lupa konfirmasinya 😉.

Pengaturan pengujian

Sebelum fasilitas tersebut ujiankami menyarankan Anda untuk mendapatkannya pengguna kedua tanpa 2-FA jika tidak, Anda dapat mengunci diri dari sistem Proxmox Anda sendiri jika Anda melakukan kesalahan.

• Keluar, masuk lagi dan, setelah memasukkan kata sandi, masukkan 6 digit kode TOTP untuk aplikasi Anda.
• Jika kode tidak diterima, periksa dulu sinkronisasi waktu (lihat Pemecahan Masalah).

Pilihan dalam topeng – dijelaskan dengan jelas

• Pengguna: Pengguna Proxmox tertentu yang menerima 2-FA.
• Deskripsi/Catatan: Teks bebas untuk mendokumentasikan entri 2-FA Anda (misalnya “Akun Admin Tim IT”).
• Penerbit: Nama yang muncul di aplikasi Authenticator Anda sehingga Anda dapat dengan mudah mengaitkan entri.
• Kode Rahasia / QR: rahasia bersama; Kode QR digunakan untuk kemudahan transfer ke aplikasi autentikator.

Praktik terbaik: Leverage penamaan yang konsisten di penerbit dan deskripsi deskriptif. Bagaimana caranya agar tetap sama jika Anda memiliki beberapa akun admin Ringkasan.

Keamanan dalam pengoperasian: Praktik terbaik seputar Proxmox dan 2-FA

• 2-FA untuk semua akun admin: Aktifkan TOTP secara konsisten untuk semua pengguna dengan peran admin. Hindari login bersama dan gunakan akun individual sebagai gantinya.
• Prinsip minimum untuk hak: Hanya menetapkan hak yang benar-benar diperlukan untuk aktivitas tersebut.
• Jaga waktu tetap bersih: Pastikan NTP pada host Proxmox serta perangkat autentikator Anda – TOTP berbasis waktu.
• Rute darurat yang terdokumentasi: Tetapkan proses yang jelas tentang cara melanjutkan jika perangkat hilang atau akses 2-FA diblokir (misalnya admin lain dapat mengatur ulang 2-FA untuk akun yang terpengaruh). Jaga agar proses ini tetap aman dan dapat diakses oleh tim admin.
• Mengawasi akses API: Banyak tim menggunakan token API untuk proses otomatis. Perlakukan ini seperti kunci: hak istimewa minimal yang diperlukan, validitas singkat, penyimpanan aman.

Untuk memperkuat host itu sendiri, ada baiknya juga mengamankan akses SSH. Tindakan umum adalah menonaktifkan login melalui kata sandi dan hanya mengizinkan kunci SSH – seperti yang dijelaskan dalam panduan kami “Nonaktifkan login SSH melalui kata sandi – hanya izinkan dengan kunci SSH”.

Kesalahan Umum dan Pemecahan Masalah

• Kode TOTP ditolak: Periksa waktu dan zona waktu di Proxmox (“status timedatectl”) dan di ponsel cerdas/desktop dengan aplikasi Authenticator. Konfigurasikan NTP dengan benar. Bahkan penyimpangan beberapa detik saja dapat menyebabkan masalah dalam kasus-kasus yang berada di ambang batas.
• Loop login setelah aktivasi 2-FA: Hapus cache browser, uji browser lain, dan pastikan tidak ada manipulasi waktu atau proxy.
• Perangkat pengautentikasi hilang: Gunakan rute darurat yang terdokumentasi. Dalam praktiknya, hal ini berarti: Admin kedua dengan izin yang memadai dapat mengatur ulang entri 2-FA untuk akun yang terpengaruh sehingga orang yang terpengaruh dapat menyimpan kunci TOTP baru.
• Gunakan beberapa perangkat untuk 2-FA: Saat membuat rahasia, beberapa tim juga mengamankannya di brankas yang aman (misalnya pengelola kata sandi) dan mengatur TOTP di dua perangkat (misalnya ponsel cerdas + laptop admin). Perhatikan konsep keamanan internal dan otorisasi berbasis peran Anda.

Konteks: Melacak versi dan pembaruan

Rilisan baru secara berkala membawa peningkatan dalam administrasi, keamanan, dan kegunaan. Jika Anda merencanakan perubahan versi, ikhtisar kami tentang perubahan terkini di Proxmox VE akan membantu – baca “Proxmox VE 9 – inovasi dan perubahan terpenting”. Jika Anda ingin memperbarui dari 8 ke 9, Anda akan menemukan petunjuk praktis di “Pembaruan dari Proxmox 8 ke Proxmox 9 – Tutorial”.

Pengerasan dan integrasi lebih lanjut

• Manajemen identitas terpusat: Jika banyak sistem perlu diamankan secara konsisten, ada baiknya kita melihat penyedia identitas modern dengan dukungan 2-FA dan SSO. Perbandingan kami “Penyedia Identitas: keaslian vs. Keycloak” menunjukkan kekuatan dan skenario penerapan.
• Pemantauan dan pengoperasian: Bahkan di lingkungan yang aman, transparansi dan pemantauan tetap penting – misalnya untuk pencadangan, penyimpanan, dan kesehatan host. Artikel kami tentang Proxmox dan pemantauan memberikan inspirasi praktis tambahan.

Jika Anda ingin mengamankan lingkungan Proxmox Anda secara profesional atau merencanakan peluncuran yang lebih besar termasuk 2-FA, kami akan dengan senang hati mendukung Anda – mulai dari arsitektur dan perizinan hingga pengoperasian. Anda dapat menemukan gambaran umum layanan kami di halaman “Proxmox – perencanaan, konstruksi, pengoperasian”. Jika Anda memiliki pertanyaan atau menginginkan dukungan dengan integrasi Proxmox, Anda dapat menghubungi kami langsung melalui telepon atau melalui formulir kontak di situs web kami – kami akan dengan senang hati mendukung Anda!