Proxmox 双因子认证

Proxmox 双因子认证

---

对于信息系统过等级保护中8.1.4 中 安全计算环境--身份签别中，有一条：

d) 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。

简称双因子认证。

如果采用proxmox 做为基础云平台，那么登陆缺省是用户名+密码的认证方式，
如果要符合要求，需要对管理用户做双因子认证。以下就是实现方式，希望能帮助到朋友们：

一、Proxmox支持两种方式的双因子认证：

1.通过认证域方式实现，也就是TOTP或YubiKey OTP实现。

• 使用这种方式，新建用户时需要将其持有的Key信息添加到系统，不然就没办法登录。使用TOTP的用户，如果被允许先登录，可以在登录后修改TOTP信息。

• 如果认证域未强制要求提供双因子认证，用户也可以通过TOTP选择自行启用双因子认证。如果服务器配置了AppID，且未强制开启其他双因子认证方式，用户也可以选择使用U2F认证。

2. U2F 认证：

如需使用U2F认证，服务器需要配置拥有合法https证书的域。还需要配置初始的AppID。
修改AppID会导致已有U2F注册失效。
（这要求还有点高，AppID一修改，也受影响，就略过不采用了）

二、实现方式：

• 先用TOTP时间令牌方式来实现
  

• 在用户管理中选中用户后，点TFA按钮

• 然后下载个FfreeOTP
  

• 打开扫一扫：
  
  会出现6个数字。填到验证码里应用后就OK了。
• 或者你是个很有安全意识的运维人员，你的管理人员没这意识，你可以自行设置TFA：

• 如果你觉得下载个应用太烦，那可以安装个oathtool工具；
  一条命令就出来了：
  

oathtool --totp -b <这里写你的秘钥>

• 登陆时,除了填写密码，会强制要求输入一个OTP的code. 输入那6个数字，就OK了。

• 还有用YuBiKEY 硬件来实现的，看下这货的价格，好几百。如果确实你的资产价值值得投入的话，还是有必要的。
  

装好驱动，使用界面是这样的。