Einrichtung eines sicheren SSH-Zugangs für Proxmox und LXC

~~The~~Das ~~goal~~Ziel isist toes, ~~establish~~ein aeinheitliches, ~~consistent,~~schlüsselbasiertes ~~key-based~~Authentifizierungsmodell ~~authentication~~sowohl ~~model~~für ~~across~~den ~~both~~Proxmox-Host ~~the~~als ~~Proxmox~~auch ~~host~~für ~~and~~seine ~~its~~Container ~~containers:~~aufzubauen:

nokeine ~~SSH root login~~SSH-Root-Anmeldung
nokeine ~~password authentication~~Passwortauthentifizierung
~~access~~Zugriff ~~only~~nur ~~through~~über aneinen admin-Benutzer ~~user~~mit ~~with~~einem ~~an SSH key~~SSH-Schlüssel
~~convenient~~bequemer ~~access~~Zugriff ~~via~~über ~~SSH~~die ~~configuration~~SSH-Konfiguration

~~This~~Dieser ~~approach~~Ansatz ~~reduces~~reduziert ~~attack~~die ~~surface~~Angriffsfläche ~~and~~und ~~improves~~macht ~~manageability.~~alles deutlich einfacher zu verwalten.

PartTeil 1: PrepareBereite Yourdeinen Locallokalen MachineRechner vor

GenerateGeneriere anein SSH key pairSSH-Schlüsselpaar

IfFalls ~~not~~du ~~already~~noch ~~available:~~keins hast:

ssh-keygen -t ed25519 -C "admin"

~~Store~~Speichere ites ~~securely,~~sicher, ~~for~~zum ~~example:~~Beispiel hier:

/home/username/deinname/.ssh/admin_key

Optional: AddFüge theden keySchlüssel tozum theAgenten agenthinzu

IfWenn ~~the~~der ~~key~~Schlüssel ~~has~~eine aPassphrase ~~passphrase:~~hat:

ssh-add /home/username/deinname/.ssh/admin_key

PartTeil 2: SecureSichere theden Proxmox Proxmox-Host

CreateErstelle aneinen administrative userAdministratorbenutzer

OnAuf ~~the~~dem ~~Proxmox host~~Proxmox-Host (~~web~~über ~~shell~~Web-Shell oroder SSH):

adduser admin
usermod -aG sudo admin

DeployStelle yourden SSHSSH-Schlüssel keybereit

ssh-copy-id -i /home/username/deinname/.ssh/admin_key.pub admin@<Proxmox-hostnameHostname>

~~Test~~Teste ~~access:~~den Zugriff:

ssh -i /home/username/deinname/.ssh/admin_key admin@<Proxmox-hostnameHostname>

DisableDeaktiviere insecuredie authenticationunsicheren Authentifizierungsmethoden

~~Edit~~Bearbeite /etc/ssh/sshd_config:

PermitRootLogin no
PasswordAuthentication no
ChallengeResponseAuthentication no
PubkeyAuthentication yes

~~Apply~~Wende ~~changes:~~die Änderungen an:

systemctl restart sshd

~~The~~Der ~~host~~Host ~~now~~akzeptiert ~~accepts~~jetzt ~~only~~nur ~~key-based~~noch ~~logins~~schlüsselbasierte ~~for~~Anmeldungen für den admin.-Benutzer.

PartTeil 3: SecureSichere LXCdeine ContainersLXC-Container

~~Many~~Viele ~~templates~~Vorlagen ~~allow~~erlauben ~~SSH~~SSH-Zugriff ~~access~~als asRoot ~~root,~~– ~~sometimes~~teilweise ~~with~~sogar ~~passwords.~~mit ~~Apply~~Passwort. ~~the~~Wende ~~same~~dieselben ~~hardening~~Sicherheitsmaßnahmen ~~inside~~in ~~each~~jedem ~~container.~~Container an.

CreateErstelle aneinen administrative userAdministratorbenutzer

~~Access~~Gehe ~~the~~in ~~container:~~den Container:

pct enter <CTID>

~~Create~~Lege ~~the~~den ~~user~~Benutzer ~~and~~an ~~grant~~und ~~sudo~~gib ~~access:~~ihm sudo-Rechte:

adduser admin
usermod -aG sudo admin

DeployStelle yourdeinen keySchlüssel toim theContainer containerbereit

OnAuf ~~your~~deinem ~~local~~lokalen ~~machine:~~Rechner:

ssh-copy-id -i /home/username/deinname/.ssh/admin_key.pub admin@<lxc-ip-or-oder-hostname>

~~Test:~~Teste:

ssh admin@<lxc-ip-or-oder-hostname>

DisableDeaktiviere insecuredie authenticationunsicheren insideMethoden theim containerContainer

~~Edit~~Bearbeite /etc/ssh/sshd_config:

PermitRootLogin no
PasswordAuthentication no
ChallengeResponseAuthentication no
PubkeyAuthentication yes

~~Restart:~~Starte neu:

sudo systemctl restart sshd

~~The~~Der ~~container~~Container ~~now~~hat ~~mirrors~~jetzt ~~the~~exakt ~~security~~dieselbe ~~posture~~Sicherheitsstufe ofwie ~~the~~der ~~host.~~Host.

PartTeil 4: LocalMach SSHdir Conveniencedas ConfigurationLeben mit der lokalen SSH-Konfiguration leichter

ToErstelle ~~simplify~~oder ~~access,~~bearbeite ~~create~~die ~~or edit:~~Datei:

~/.ssh/config

~~Example:~~Beispiel-Inhalt:

Host proxmox
    HostName <Proxmox-hostnameHostname>
    User admin
    IdentityFile /home/username/deinname/.ssh/admin_key

Host lxc-admin
    HostName <lxc-ip-or-oder-hostname>
    User admin
    IdentityFile /home/username/deinname/.ssh/admin_key

~~Protect~~Schütze ~~the~~die ~~file:~~Datei:

chmod 600 ~/.ssh/config

~~Now~~Ab ~~you~~jetzt ~~can connect with:~~reicht:

ssh proxmox
ssh lxc-admin

ResultErgebnis

~~Proxmox~~Proxmox-Host ~~host~~und ~~and~~alle ~~containers~~Container ~~use~~nutzen ~~the~~dieselbe ~~same~~sichere ~~secure login method~~Anmeldemethode.
~~root~~Root-Login ~~login~~ist ~~disabled~~überall ~~everywhere~~deaktiviert.
~~password~~Passwort-Authentifizierung ~~authentication~~ist ~~disabled~~überall aus.
~~one~~Ein ~~key~~einziger ~~and~~Schlüssel ~~one~~+ ~~user~~ein ~~for~~einziger ~~administrative~~Benutzer ~~access~~(admin) für den administrativen Zugriff.
~~simple~~Super ~~host~~einfache ~~selection~~Verbindung ~~through~~über ~~SSH~~sprechende ~~configuration~~Host-Namen in der SSH-Konfiguration.