Klucz do całej infrastruktury
Dostęp do Proxmox = możliwość uruchamiania, kasowania i klonowania maszyn oraz dostępu do konsoli każdej z nich. Phishing albo wyciek hasła administratora to scenariusz katastrofalny. 2FA zatrzymuje atakującego nawet wtedy, gdy zna hasło — bo nie ma drugiego składnika. To dziś standard i często wymóg (polityki bezpieczeństwa, NIS2, ubezpieczenia cyber).
TOTP, klucze sprzętowe i klucze odzyskiwania
- TOTP — kod z aplikacji (Google Authenticator, Aegis, 1Password). Najprostsze i darmowe; każdy użytkownik dodaje je sobie w Datacenter → Permissions → Two Factor.
- WebAuthn / FIDO2 — klucz sprzętowy (np. YubiKey) lub biometria. Najwyższa odporność na phishing — wymaga skonfigurowania URL/origin w ustawieniach 2FA.
- Recovery keys — jednorazowe kody awaryjne na wypadek utraty telefonu/klucza. Wygeneruj i przechowuj bezpiecznie.
Nie „opcja”, lecz polityka
2FA ma sens, gdy jest obowiązkowe dla kont z dostępem. Proxmox pozwala wymusić TFA na poziomie realmu (np. dla realmu Active Directory albo PVE) — wtedy logowanie bez drugiego składnika jest niemożliwe. Szczególnie chroń konto root@pam: 2FA + mocne hasło, a do codziennej pracy używaj kont imiennych z AD.
Połącz 2FA z integracją AD i rolami: tożsamość z domeny, dostęp przez grupy, a na wejściu obowiązkowy drugi składnik.
Żeby 2FA nie zablokowało Ciebie
- Klucze odzyskiwania wygeneruj od razu i schowaj offline — to ratunek przy utracie urządzenia.
- Dwa składniki sprzętowe dla adminów (np. dwa YubiKeye: główny + zapasowy).
- Nie polegaj na SMS — Proxmox go nie używa, i słusznie (SIM-swap). TOTP/FIDO2 są bezpieczniejsze.
- Procedura odzyskania na wypadek utraty 2FA przez kluczowego administratora — spisana i przetestowana.
Zabezpieczymy dostęp do Twojego Proxmoxa
Wdrożymy 2FA, wymuszenie na realmach, klucze sprzętowe i procedury odzyskiwania — spójnie z integracją AD i Twoją polityką bezpieczeństwa.
⚡ Bezpłatna konsultacja→ Uprawnienia i Active Directory