Как защитить веб-интерфейс proxmox?

Этот вопрос читается довольно странно.

Добавлен SSL

TLS включен по умолчанию в Proxmox. Если вам нужно было что-то «добавить», значит, что-то изначально было сломано.

Нет смысла обеспечивать туннелирование SSH, если вы также не заблокируете нелокальный доступ к порту Proxmox - и когда вы это сделаете, нет никакой пользы от изменения порта, который прослушивает Proxmox.

требуется ли туннелирование, если у меня есть двухфакторная аутентификация?

Вы сравниваете яблоки и апельсины.

Вам следует начать с модели безопасности (кому нужен доступ, от чего вы пытаетесь защититься), а затем согласовать с ней свой дизайн. Если вам требуется удаленный доступ, никто больше не делает, и пары ключей ssh ​​подходят для вашего варианта использования/будут использоваться, то от MFA в Proxmox мало что можно получить.

Безопасность – это конфиденциальность. доступность и целостность. Если вы примените все возможные ограничения доступа к цели, вы увеличите риск нарушения доступности.

Для установки типа домашней лаборатории, предполагая, что физический доступ не является существенным фактором риска, я бы предположил, что более подходящим набором средств управления будет:

1. ограничить доступ к порту 8006 на хосте Proxmox адресом обратной связи
2. используйте сложные пароли для учетных записей Unix
3. использовать переадресацию по SSH
4. не разрешать вход в систему с паролем или вход с правами root через ssh (т. е. только пары ключей)
5. при желании рассмотрите следующее для доступа по ssh:

• фейл2бан
• МИД
• нестандартный порт
• стук в порт

Нет никаких причин предоставлять доступ к Интернету какой-либо веб-интерфейс гипервизора, если в этом нет необходимости. Я бы предложил использовать VPN (например, Wireguard), а затем настроить веб-интерфейс так, чтобы он прослушивал только IP-адреса, исходящие из VPN.

Если это то, что вы подразумеваете под «туннелированием», то да, этого должно быть достаточно, если вы используете SSH-аутентификацию на основе ключей.