dienste:bytecluster0002

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
dienste:bytecluster0002 [25.06.2020 21:03] mape2kdienste:bytecluster0002 [13.07.2020 22:44] – 2FA mape2k
Zeile 72: Zeile 72:
 ==== Absicherung ==== ==== Absicherung ====
  
 +  - NFS / rpcbind deaktivieren (wird nicht benötigt, offene Ports schließen)
 +    * **systemctl stop rpcbind.socket**
 +    * **systemctl disable rpcbind.socket**
   - sudo installieren und konfigurieren   - sudo installieren und konfigurieren
     * **apt-get install sudo**     * **apt-get install sudo**
Zeile 107: Zeile 110:
 ... ...
 </file> </file>
 +
 +==== Installation ====
 +
 +  - Installation nach Anleitung: [[https://pve.proxmox.com/wiki/Install_Proxmox_VE_on_Debian_Buster#Install_Proxmox_VE]]
 +    * bei **apt full-upgrade** mit "install the package maintainer's version" die Konfiguration für grub-efi-amd64 übernehmen
 +    * für den Punkt "Install Proxmox VE packages" nur **apt install proxmox-ve postfix** ausführen,  da open-iscsi nicht benötigt wird
 +      * Modify smb.conf to use WINS settings from DHCP? **No**
 +      * Postfix 
 +        * Postfix Configuration: **Local only**
 +        * System Name: **bytecluster0002**
 +
 +==== 2FA Grundeinrichtung =====
 +
 +  - Skript anlegen<file|/usr/local/bin/pve_generate_oath>
 +#!/bin/bash
 +
 +clear
 +
 +USERNAME=$USER
 +HOSTNAME=$(hostname --fqdn)
 +OATHKEY=$(oathkeygen)
 +
 +
 +qrencode -t ANSIUTF8 -o - "$(echo otpauth://totp/Proxmox $HOSTNAME?secret=$OATHKEY)"
 +
 +read -p "Scan QR code in your application and press enter to activate. Otherwise press Ctrl+C" -n1 -s
 +sudo pveum user modify $USER@pam -keys $OATHKEY
 +</file>
 +  - Berechtigungen anpassen und ausführbar machen
 +    * **chown root:root /usr/local/bin/pve_generate_oath**
 +    * **chmod 755 /usr/local/bin/pve_generate_oath**
 +  - 2FA für PAM-Anmeldungen verpflichtend machen
 +    * **pveum realm modify pam -tfa type=oath,digits=6 -default 1**
 +
 +==== Admin-Gruppe und ersten Benutzer anlegen ====
 +
 +  - Admin-Gruppe anlegen
 +    * **pveum group add admin -comment "Administrators"**
 +    * **pveum aclmod / -group admin -role Administrator**
 +  - ersten Benutzer zuweisen und root sperren
 +    * **pveum user add mustermann@pam -groups admin -enable 1 -firstname "Max" -lastname "Mustermann"**
 +    * **pveum user modify root@pam -enable 0**
 +  - 2FA für ersten Benutzer aktivieren
 +    * **ALS BENUTZER AUSFÜHREN** - vorher also **su mustermann** (falls als root eingeloggt)
 +    * **pve_generate_oath**
 +      * QR-Code scannen und nach Enter ggf. Ausführung mit eigenem Passwort für sudo bestätigen
  • dienste/bytecluster0002.txt
  • Zuletzt geändert: 02.12.2023 22:36
  • von mape2k