In einer zunehmend vernetzten Welt, in der sensible Daten oft online gespeichert und verarbeitet werden, gewinnt die Datensicherheit eine immer größere Bedeutung.
Ein kompromittiertes Passwort reicht, um die existenz eines Unternehmens zu gefährden. Wer Zugriff auf die Proxmox‑Oberfläche hat, kann virtuelle Maschinen starten, stoppen, Snapshots zurückrollen oder Konfigurationen ändern. Genau hier setzt die Zwei‑Faktor‑Authentifizierung (2-FA) an: Neben dem Passwort verlangt Proxmox einen zeitbasierten Einmalcode (TOTP). Selbst wenn ein Passwort in falsche Hände gerät, bleibt der Login ohne den zweiten Faktor (diesem Einmalcode) blockiert.
In diesem Praxisleitfaden zeigen wir, wie Sie 2-FA in Proxmox sauber einrichten, welche Stolperfallen es gibt und wie Sie den laufenden Betrieb sicher gestalten – verständlich, nachvollziehbar und direkt umsetzbar.
Kurz erklärt: TOTP für Proxmox
TOTP steht für „Time-Based One-Time Password“. Ein gemeinsames Geheimnis (Secret) zwischen Proxmox und Ihrer Authenticator‑App erzeugt alle 30 Sekunden einen neuen 6‑stelligen Code, der durch eine Kombination, der aktuellen Uhrzeit und einer mehrstelligen Zahl entsteht. Bei der Anmeldung geben Nutzer nach dem Passwort diesen Code ein. Typische Apps sind z. B. Bitwarden, Aegis, FreeOTP oder Google Authenticator. TOTP funktioniert offline im Smartphone oder auf dem Desktop, was es robust und schnell macht.
Voraussetzungen für die Einrichtung
- Proxmox‑Zugang mit ausreichenden Rechten (z. B. Administrator für das Rechenzentrum)
- Eine TOTP‑fähige Authenticator‑App auf Smartphone oder Desktop (in diesem Beitrag nutzen wir dazu, die „TOTP Authenticator“ App aus dem Microsoft Store)
- Korrekte Systemzeit auf dem Proxmox‑Host sowie auf dem Gerät mit der Authenticator‑App (NTP/Zeitsynchronisation ist entscheidend)
Tipp: Prüfen Sie auf dem Proxmox‑Host die Zeiteinstellungen regulär mit „timedatectl status“ und halten Sie die Uhr via NTP synchron. Zeitdrift ist die häufigste Ursache für fehlgeschlagene TOTP‑Logins.
Schritt‑für‑Schritt: Proxmox 2-FA in der Web‑UI aktivieren
Die folgenden Schritte beziehen sich auf die Standard‑Weboberfläche von Proxmox VE und nutzen TOTP als zweiten Faktor.
Navigation zur 2-FA‑Konfiguration
- Melden Sie sich an der Proxmox‑Weboberfläche an.
- Klicken Sie im linken Navigationsbereich auf „Rechenzentrum“.
- Öffnen Sie rechts den Bereich „Berechtigungen“ und wählen Sie „Zwei Faktoren“.
Neuen TOTP‑Eintrag anlegen
Nun Klicken Sie auf „Hinzufügen“ und wählen Sie „TOTP“, dann wird sich ein Konfigurations-Fenster öffnen.
In diesem Fenster wählen Sie den Benutzer aus, für den 2-FA aktiviert werden soll (z. B. andi@pam).
Optional: Hinterlegen Sie eine Beschreibung/Notiz und prüfen Sie den Aussteller‑Namen (Issuer), unter dem der Eintrag später in Ihrer Authenticator‑App erscheint.
Scannen Sie den angezeigten QR‑Code mit Ihrer Authenticator‑App oder kopieren Sie das „Secret“ manuell in die App. In unserem Fall klicken Sie auf das Plus oben rechts in dem „TOTP Authenticator“ und fügen dann dort das „Secret“ ein.
Beim Einfügen des Schlüssels vergeben Sie diesem dann in der oberen Zeile einen Namen und legen den Schlüssel in der unteren Zeile ab.
Und bestätigen („Confirm“) nicht vergessen 😉.
Einrichtung testen
Bevor Sie die Einrichtung testen, raten wir Ihnen, sich einen zweiten Benutzer ohne 2-FA anzulegen, sonst könnten Sie sich aus Ihrem eigenen Proxmox System aussperren, wenn Sie einen Fehler machen.
- Abmelden, erneut anmelden und nach Passworteingabe den 6‑stelligen TOTP‑Code Ihrer App eingeben.
- Wenn der Code nicht akzeptiert wird, prüfen Sie als Erstes die Zeit‑Synchronisation (siehe Troubleshooting).
Optionen in der Maske – verständlich erklärt
- Benutzer: Der konkrete Proxmox‑Benutzer, für den die 2-FA gilt.
- Beschreibung/Notiz: Freitext, um Ihre 2-FA‑Einträge zu dokumentieren (z. B. „Admin‑Konto Team IT“).
- Aussteller (Issuer): Name, der in Ihrer Authenticator‑App angezeigt wird, damit Sie Einträge leicht zuordnen können.
- Secret / QR‑Code: Gemeinsames Geheimnis; QR‑Code dient zur bequemen Übernahme in die Authenticator‑App.
Bewährte Vorgehensweise: Nutzen Sie konsistente Benennungen im Issuer und sprechende Beschreibungen. So behalten Sie bei mehreren Admin‑Konten die Übersicht.
Sicherheit im Betrieb: Best Practices rund um Proxmox und 2-FA
- 2-FA für alle Admin‑Konten: Aktivieren Sie TOTP konsequent für alle Benutzer mit Administrator‑Rollen. Gemeinsame Logins vermeiden, stattdessen individuelle Konten nutzen.
- Minimalprinzip bei Rechten: Weisen Sie nur die Rechte zu, die für die Tätigkeit zwingend erforderlich sind.
- Zeit sauber halten: Stellen Sie NTP auf dem Proxmox‑Host sowie auf Ihren Authenticator‑Geräten sicher – TOTP ist zeitbasiert.
- Dokumentierte Notfallwege: Legen Sie klare Prozesse fest, wie bei Geräteverlust oder gesperrtem 2-FA‑Zugang vorzugehen ist (z. B. weiterer Admin kann 2-FA für das betroffene Konto neu setzen). Bewahren Sie diese Prozesse sicher und für das Admin‑Team zugänglich auf.
- API‑Zugriffe im Blick behalten: Für automatisierte Prozesse setzen viele Teams API‑Tokens ein. Behandeln Sie diese wie Schlüssel: minimal nötige Privilegien, kurze Gültigkeit, sichere Ablage.
Für weitergehende Härtung der Hosts selbst lohnt sich zusätzlich die Absicherung des SSH‑Zugangs. Eine verbreitete Maßnahme ist, die Anmeldung per Passwort zu deaktivieren und nur noch SSH‑Keys zuzulassen – wie in unserem Leitfaden „SSH‑Login per Passwort deaktivieren – nur noch mit SSH‑Key erlauben“ beschrieben.
Häufige Fehler und Troubleshooting
- TOTP‑Codes werden abgelehnt: Prüfen Sie die Uhrzeit und Zeitzone auf Proxmox („timedatectl status“) sowie auf dem Smartphone/Desktop mit der Authenticator‑App. Richten Sie NTP korrekt ein. Schon wenige Sekunden Drift können in Grenzfällen Probleme verursachen.
- Login‑Schleife nach 2-FA‑Aktivierung: Leeren Sie den Browser‑Cache, testen Sie einen anderen Browser und stellen Sie sicher, dass keine Zeit‑ oder Proxy‑Manipulationen stattfinden.
- Authenticator‑Gerät verloren: Nutzen Sie einen dokumentierten Notfallweg. In der Praxis heißt das: Ein zweiter Admin mit ausreichenden Berechtigungen kann den 2-FA‑Eintrag für das betroffene Konto zurücksetzen, sodass die betroffene Person einen neuen TOTP‑Schlüssel hinterlegen kann.
- Mehrere Geräte für 2-FA verwenden: Einige Teams sichern das Secret beim Anlegen zusätzlich in einem sicheren Tresor (z. B. Passwortmanager) und richten TOTP auf zwei Geräten ein (z. B. Smartphone + Admin‑Laptop). Achten Sie dabei auf Ihr internes Sicherheitskonzept und rollenbasierte Berechtigungen.
Kontext: Versionen und Updates im Blick behalten
Neue Releases bringen regelmäßig Verbesserungen in Administration, Sicherheit und Usability. Wenn Sie einen Versionswechsel planen, hilft unser Überblick zu den aktuellen Änderungen in Proxmox VE weiter – lesen Sie „Proxmox VE 9 – die wichtigsten Neuerungen und Änderungen“. Wer von 8 auf 9 aktualisieren möchte, findet eine praxisnahe Anleitung in „Update von Proxmox 8 auf Proxmox 9 – Tutorial“.
Weitergehende Härtung und Integration
- Zentralisiertes Identity‑Management: Wenn viele Systeme konsistent abgesichert werden sollen, lohnt ein Blick auf moderne Identity‑Provider mit 2-FA‑Unterstützung und SSO. Unser Vergleich „Identity Provider: authentik vs. Keycloak“ zeigt Stärken und Einsatzszenarien.
- Monitoring und Operations: Auch in sicheren Umgebungen bleiben Transparenz und Überwachung essenziell – etwa für Backups, Storage und Host‑Gesundheit. Unsere Beiträge rund um Proxmox und Monitoring geben dafür zusätzliche Praxisimpulse.
Wenn Sie Ihre Proxmox‑Umgebung professionell absichern oder ein größeres Rollout inklusive 2-FA planen, unterstützen wir Sie gerne – von Architektur und Lizenzierung bis Betrieb. Einen Überblick zu unseren Leistungen finden Sie auf der Seite „Proxmox – Planung, Aufbau, Betrieb“. Bei Fragen oder wenn Sie Unterstützung bei der Integration von Proxmox wünschen, erreichen Sie uns direktper Telefon oder über unser Kontaktformular auf unserer Webseite – wir unterstützen Sie gerne!