Proxmox Virtual Environment (VE) stellt ein System mit klar umrissenen Schnittstellen bereit, dessen Verwaltungslogik für eine vollständig automatisierbare Infrastruktur geeignet ist. Das quelloffene Tool Terraform regelt den Aufbau der Infrastruktur in der Cloud und on Premises wiederholbar und automatisiert (Infrastructure as Code, IaC). Die Arbeitsweise wirkt auf den ersten Blick schlicht: ein Provider, ein paar Konfigurationsdateien (HCL – HashiCorp Configuration Language), ein Plan, ein Apply. Sie entwickelt jedoch bei näherer Betrachtung eine eigene Tiefe.

Das Zusammenspiel von Proxmox-API, Templates, interner Providerstruktur, Anforderungen an Berechtigungen und dem Verhalten des State-Modells (Zustand der Infrastruktur) ermöglicht reproduzierbare, automatisierte Bereitstellungen ohne Nacharbeiten. Terraform arbeitet auch mit Cloud-init zusammen, um die Automatisierung einer Proxmox-Umgebung weiter voranzubringen. Der Artikel stellt das Bereitstellen einer Proxmox-Infrastruktur mit den Mitteln von Terraform vor.

Der Einstieg beginnt bei Proxmox: Dessen API bildet alle Objekte ab, die für die Provisionierung relevant sind, und Terraform nutzt das, um die Struktur einer kompletten Umgebung in einem Satz deklarativer Definitionen zu fassen. CPU-Topologien, Speicherzuweisungen, Netzwerkbrücken, Cloud-init-Parameter, Storage-Volumes, VM-IDs, Klonvorgänge und serielle Konsolen fließen in eine einheitliche Sprache, die unabhängig von der Proxmox-Oberfläche verwaltet werden kann. Die Vorgänge lassen sich in der Shell von Proxmox erledigen oder über eine SSH-Verbindung. Die folgenden Abschnitte zeigen an Beispielen, wie man diese Struktur aufbaut, wie Terraform sie interpretiert und wie der vollständige Lebenszyklus einer neuen VM kontrolliert abläuft.

Das war die Leseprobe unseres heise-Plus-Artikels „Virtualisierung: Wie man eine Proxmox-Infrastruktur mit Terraform bereitstellt“.
Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.

Dells Cloudspeicherlösungen Elastic Cloud Storage (ECS) und ObjectScale sind insgesamt über neun Softwareschwachstellen angreifbar. Sind Attacken erfolgreich, können sich Angreifer unter anderem höhere Nutzerrechte verschaffen.

Verschiedene Attacken möglich

In einer Warnmeldung finden sich weiterführende Details zu den Sicherheitslücken. Davon betreffen vier Stück Komponenten von Drittanbietern wie jacksone-core (CVE-2025-52999 „hoch“). Die verbleibenden Lücken (etwa CVE-2026-22273 „hoch“ und CVE-2026-22271 „hoch“) betreffen die Anwendungen direkt. In diesen beiden Fällen müssen Angreifer aber bereits authentifiziert sein, um Attacken einleiten zu können. Ist das gegeben, können Informationen leaken oder Angreifer bekommen höhere Nutzerrechte.

Die Entwickler geben an, die Schwachstellen in der Version 4.2.0.0 geschlossen zu haben. Bislang gibt es keine Berichte zu laufenden Attacken.

Erst kürzlich hat der Computerhersteller sein NAS-Betriebssystem PowerScale OneFS repariert.

(des)

Nutzer von macOS kennen das Problem: Nicht alle Authentifizierungsdialoge im System nutzen die bequeme Nutzererkennung per Fingerabdruck – obwohl diese sicherer ist als die oft störende Eingabe des Passworts. Die Biometrie-Funktion Touch ID ist etwa bei sudo-Kommandos deaktiviert, gleiches gilt für den ersten Login / die FileVault-Entschlüsselung beim System- oder Neustart, dem Zugriff auf den Schlüsselbund, das Hinterlegen von Konfigurationsprofilen oder das Anlegen neuer Nutzer. Die Entwickler des auf Mac-Admin-Werkzeuge spezialisierten Softwareanbieter Twocanoes haben mit Password Utility nun ein neues Werkzeug vorgestellt, das Fähigkeiten mitbringt, die den Umgang mit macOS-Authentifizierungsprozessen erleichtert.

Arbeit ohne lokales Passwort

Die App ermöglicht es, komplett ohne lokales Passwort zu arbeiten, indem sie das Systempasswort speichert und nach biometrischer Bestätigung via Touch ID in entsprechende Dialoge einfügt, die das normalerweise nicht erlauben. Die App kann außerdem Touch ID „refreshen“, also dafür sorgen, dass die regulären Authentifizierungsmethoden, die die Biometrie standardmäßig nutzen, nicht unter den Time-Out von 48 Stunden fallen. Weiterhin ermöglicht die App, ohne SSH-Aktivierung FileVault-Macs zu entschlüsseln und aus der Ferne (wieder) steuerbar zu machen.

Die Aktivierung von Password Utility erfolgt über einen Shortcut. Danach taucht der Touch-ID-Dialog auf, mit dem sich das Passwort dann einfügen lässt. Weitere Funktionen sind eine Anzeige des Secure-Token-Status samt Volume-Ownership sowie die Möglichkeit, auch den Login ohne Passwort zu erlauben: Dabei werden FIDO2-Sticks samt PIN-Eingabe unterstützt.

Software ist nicht quelloffen

Password Utility lässt sich leicht per MDM auf lokale Macs verteilen. Ein großer Vorbehalt bleibt allerdings: Wer die App nutzt, muss sich darauf verlassen, dass Twocanoes korrekt gearbeitet hat und die App nicht selbst neue Sicherheitslücken reißt. Da sie nicht quelloffen ist, lässt sich das von außen nicht kontrollieren, ein unabhängiger Audit ist bislang nicht erfolgt.

Die App kostet pro Maschine und Jahr 10 US-Dollar plus Umsatzsteuer. Es bleibt zu hoffen, dass sich Apple von Password Utility inspirieren lässt – die Funktionen wären in macOS selbst deutlich besser aufgehoben. Nutzer sollten beispielsweise entscheiden dürfen, ob Biometrie zur Standardentsperrmethode wird oder nicht. Momentan erfolgt stets der Fallback zum Passwort. Unter iOS ist dies im Rahmen der Diebstahlschutzfunktion bereits anders.

(bsc)