Proxmox(PVE) Web 控制面板添加/删除二次登录验证(TFA)

Proxmox(PVE) Web 控制面板添加登录二步验证(TFA)

PVE 提供了功能非常完善的图形化控制的Web管理界面,我们很多的操作都可以在这个管理界面上完成,但是,同样是因为这个管理界面有着比较高的权限,因此如果出现了账号密码泄漏,则会出现较为严重的影响。所以,给Web管理界面再加上二步验证机制,能提升我们系统的安全等级。

PVE 官网也提供了教程,不过这个教程需要在命令行下完成。但最近我发现了一个非常简便的方法,不需要使用PVE的命令行,也不需要借助生成oathkey脚本,只需要在Web管理界面上简单鼠标操作即可。

准备工作

在开始配置前,需要先准备好以下内容:

  • 安装好 Proxmox 系统
  • 在手机上安装好 OTP 软件 iOS推荐使用FreeOTP,安卓可以选择AndOPT、谷歌身份验证器或者其他相似功能的软件
  • 使用 AndOPT成功。

配置

登录PVE管理界面,在最右上方用户选项栏点击呼出下拉菜单。

点击 TFA ,进入二次验证设置选项框。

使用手机APP扫描出现的二维码,如果无法扫描,请手动添加。

并将手机上显示的数字输入到Web管理界面的验证码输入框内。

点击应用即可。

随后注销登录,重新登录Web管理界面,这时,输入完成账号密码后,系统会提示输入验证码,然后输入手机上对应的动态验证码即可登录。

Tips

使用这个方法,如果想更换TFA密钥,只需要在 二次验证 的选项框内点击 随机化 然后重新使用手机APP扫描,或者手动添加。

M1 macOS 技巧

如果是使用 M1 处理器的 macOS 用户,因为可以安装iOS的软件,所以可以在自己常用的电脑上安装FreeOTP(当然macOS也有提供专门的OTP软件,但是……FreeOTP免费而且简单),然后就可以不需要在登录的时候找手机了。

但是目前macOS上的FreeOTP并没有针对macOS进行优化,所以需要在系统出现二维码扫码的阶段,用手机拍下二维码,然后PVE二步验证设置成功后,再使用macOS上的FreeOTP扫描刚刚用手机拍下的二维码即可。

小结

本文介绍了如果使用PVE的Web管理界面来设置二步验证登录从而实现提高安全性,希望本文对你有帮助。如果你觉得文章有用,不要吝啬你的点赞、收藏,你的分享和关注是继续更新文章的动力。

删除二次登陆认证

ssh 
vim /etc/pve/user.cfg
user:root@pam:1:0:::::x:
改为
user:root@pam:1

保存即可