Ein Proxmox-Host ist kein normaler Server.
Er ist der Hypervisor – und damit die Kontrolle über alles:
- VMs
- Container
- Storage
- Backups
- Netzwerk
Wer hier Root-Zugriff erhält, kontrolliert die gesamte Infrastruktur.
Ausgangssituation
Initial war SSH funktional, aber nicht gehärtet:
- Root-Login erlaubt
- Passwort-Authentifizierung aktiv
- Kein verpflichtender SSH-Key
- Proxmox-Firewall noch nicht aktiviert
- Zugriff ausschließlich über Zero-Trust-Tunnel (Pangolin)
Kein akutes Risiko – aber auch keine saubere Sicherheitsarchitektur.
Ziel
- Kein Passwort-Login mehr
- Root nur noch via SSH-Key
- Minimierte Angriffsfläche
- Klare Trennung zwischen Komfort und Sicherheit
Umsetzung
Datei:
/etc/ssh/sshd_config
Konfiguration:
PermitRootLogin prohibit-password
PasswordAuthentication no
PubkeyAuthentication yesZusätzlich:
- ED25519 SSH-Key auf dem Mac erzeugt
- Public Key in
/root/.ssh/authorized_keyshinterlegt - Berechtigungen korrekt gesetzt (
700/600) - SSH-Dienst neu gestartet
Ergebnis
✔ Root-Login nur noch per SSH-Key
✔ Passwort-Authentifizierung vollständig deaktiviert
✔ Kein direkt exponierter SSH-Port
✔ Zugriff ausschließlich über Zero-Trust-Architektur
Die Angriffsfläche wurde deutlich reduziert, ohne die Administrierbarkeit einzuschränken.
Sicherheitsbewertung (Homelab)
Für ein privates Setup ist dieser Zustand bewusst gewählt:
- Kein öffentlich erreichbarer SSH-Port
- Kein Passwort-Login
- Keine zusätzlichen Benutzer
- Tunnel-basierter Zugriff
Das System ist nicht „unverwundbar“ – aber architektonisch sauber abgesichert.
Architekturgedanke
Security beginnt nicht mit Tools, sondern mit Entscheidungen.
Ein Hypervisor sollte nicht per Passwort erreichbar sein – auch dann nicht, wenn er nur privat betrieben wird.
Referenz
Für eine generische SSH-Baseline siehe: