Cluster VE Proxmox lorsque SSH Port est non standard et la connexion de root est désactivé
Proxmox VE 2.0 Cluster suppose un accès root sur le port 22. Que faites-vous si vos protocoles de sécurité appellent à un port Secure Shell non-standard et la désactivation de la connexion de root?
Aucun de mes serveurs le root et utilisent un port différent pour l'accès au shell sécurisé. Cela est facile à mettre en œuvre si la configuration de votre serveur est géré par un outil comme Puppet et améliore la sécurité. Mais il est un obstacle à la mise en œuvre Proxmox VE 2.0 Groupe.
Surmonter Port 22 Limitation
Le port SSH 22 limitation peut être surmontée en changeant le port par défaut du client ssh à celui correspondant aux Promox VE noeud qui sera connecté. Cela se fait dans le fichier de configuration du client ssh /etc / ssh / ssh_config en changeant la valeur par défaut Port valeur.
Cela va affecter toutes les utilisations de client ssh sur l'hôte, mais depuis l'hôte ne sera utilisé que pour Proxmox VE il ne devrait pas être un gros problème. Notez que cette solution est de changer le comportement par défaut du client ssh.
Surmonter login root Limitation
Même si tous mes serveurs interdisent l'accès root, Je suis prêt à permettre à partir d'un serveur spécifique qui relie le réseau local afin de créer un cluster de VE Proxmox. J'active ce à travers le fichier de configuration du serveur ssh pour, /etc / ssh / sshd_config utilisant la directive AllowUsers:
Cette approche nécessite liste permet aux utilisateurs autorisés de la AllowUsers directive. Alors que l'approche la plus simple, cela peut ne pas convenir à la plupart des situations.
La prochaine solution simple consiste à permettre la connexion de root uniquement à travers les clés SSH à l'aide de la confusion "sans mot de passe" possibilité de l' PermitRootLogin directive.
En utilisant cette approche, nous devons partager les clés publiques des nœuds de cluster de VE Proxmox.
Pièges courants
Les directives SSHD AllowUsers et AllowGroups calculer une intersection (pas un syndicat) des comptes autorisés à se connecter au serveur. Si vous utilisez un de ces directives avec l' PermitRootLogin directive ci-dessus, vous aurez besoin d'inclure le compte root dans la directive.
Soyez le premier à laisser un commentaire. Laisser un commentaire