Хорошо, вот что я хочу сделать: на хост-узле можно ли выполнить следующее для повышения безопасности узла:

1. Запретить вход под root по SSH  
2. Заставить остальных пользователей использовать ключи  
3. Поменять порт SSH на другой  

В графическом интерфейсе PROXMOX:  
4. Отключить PAM как способ аутентификации, то есть удалить запись PAM  
5. Включить аутентификацию pve с мультифакторной защитой (yubikey)

Я знаю, как сделать пункты 4 и 5, но интересно, не сломает ли это движок proxmox, если сделать пункты 1-3.  

Если это не сработает, можно ли просто через iptables разрешить доступ к порту 22 только с 127.0.0.1 и другого хост-узла?

Proxmox использует аккаунт root для многих задач (например, запуск виртуальной машины на node2 с node1). Поэтому нельзя отключить его в конфиге sshd и нельзя изменить порт ssh.

Всем привет, я совсем новичок в Proxmox и давно хотел этим заняться самостоятельно. Мне удалось изменить порт, не сломав ничего (надеюсь!), поменяв его и в ssh_config, и в sshd_config на всех узлах Proxmox. Отключение доступа для root сразу же вызвало проблемы, поэтому пока пришлось вернуть разрешение на вход для root. Я добавил fail2ban, чтобы защитить и ssh, и интерфейс Proxmox — для спокойствия. Очень хочу использовать ssh-ключи и отключить вход root по ssh, кроме как для общения в кластере. Буду дальше экспериментировать.