Zum Inhalt springen

XRDP/Sicherheit: Unterschied zwischen den Versionen

Aus Foxwiki
Versionsgeschichte interaktiv durchsuchen
← Zum vorherigen Versionsunterschied
VisuellWikitext
Keine Bearbeitungszusammenfassung
 
(18 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''{{BASEPAGENAME}}''' - Beschreibung
'''XRDP/Sicherheit''' - Beschreibung


== Beschreibung ==
== Beschreibung ==
 
{| class="wikitable options big"
== Installation ==
|-
<syntaxhighlight lang="bash" highlight="1" line copy>
! Parameter !! Beschreibung
< /syntaxhighlight>
|-
 
| Zugriff || Zugriff auf TCP/3389 auf vertrauenswürdige Netze beschränken (Firewall/VPN)
== Aufruf ==
|-
<syntaxhighlight lang="bash" highlight="1" line copy>
| TLS || TLS aktivieren und eigene Zertifikate verwenden
< /syntaxhighlight>
|-
 
| PAM || Zugriff per PAM auf definierte Benutzer/Gruppen begrenzen
=== Optionen ===
|-
{| class="wikitable sortable options gnu big"
| Updates || Regelmäßige Updates für ''xrdp'' und Backend-Komponenten einspielen
|-
| Brute-Force-Schutz ||  durch Login-Ratenbegrenzung bzw.&nbsp;Fail2ban-Integration (Logbasis) vorsehen
|-
|-
! Unix !! GNU !! Parameter !! Beschreibung
| 3389/TCP || Direkte Exponierung von 3389/TCP ins Internet vermeiden
|-
|-
| || || ||
| Zugriff über VPN || Jump Host oder Tunnel bereitstellen
|-
|-
|}
| Eingehende Verbindungen || Auf bekannte Quellnetze beschränken (Firewall-Allowlist)
 
=== Parameter ===
=== Umgebungsvariablen ===
=== Exit-Status ===
{| class="wikitable options col1center big"
|-
|-
! Wert !! Beschreibung
| TLS aktivieren || Schwache Modi vermeiden
|-
|-
| 0 || Erfolg
| Nicht benötigte Kanäle || Deaktivieren (z.&nbsp;B.&nbsp;Laufwerksumleitung ''rdpdr'', Zwischenablage ''cliprdr'')
|-
|-
| >0  || Fehler
| Brute-Force-Schutz || vorsehen
|}
|}


== Anwendung ==
== Anwendung ==
<syntaxhighlight lang="bash" highlight="1" line copy>
<syntaxhighlight lang="bash" highlight="1" line copy>
< /syntaxhighlight>
</syntaxhighlight>


<!-- output -->
<!-- output -->
<syntaxhighlight lang="bash" highlight="" line>
<syntaxhighlight lang="bash" highlight="" line>
< /syntaxhighlight>
</syntaxhighlight>


=== Problembehebung ===
=== Problembehebung ===
Zeile 58: Zeile 55:
=== Siehe auch ===
=== Siehe auch ===
<div style="column-count:2">
<div style="column-count:2">
<categorytree hideroot=on mode="pages">{{BASEPAGENAME}}</categorytree>
<categorytree hideroot=on mode="pages">xrdp</categorytree>
</div>
</div>
----
----
Zeile 80: Zeile 77:
-->
-->


[[Kategorie:new]]
[[Kategorie:XRDP]]


</noinclude>
</noinclude>
= TMP =
== Sicherheit ==
* Zugriff auf TCP/3389 auf vertrauenswürdige Netze beschränken (Firewall/VPN)
* TLS aktivieren und eigene Zertifikate verwenden
* Zugriff per PAM auf definierte Benutzer/Gruppen begrenzen
* Regelmäßige Updates für ''xrdp'' und Backend-Komponenten einspielen
* Brute-Force-Schutz durch Login-Ratenbegrenzung bzw.&nbsp;Fail2ban-Integration (Logbasis) vorsehen
* Direkte Exponierung von 3389/TCP ins Internet vermeiden
* Zugriff über VPN, Jump Host oder Tunnel bereitstellen
* Eingehende Verbindungen auf bekannte Quellnetze beschränken (Firewall-Allowlist)
* TLS aktivieren, schwache Modi vermeiden
* Nicht benötigte Kanäle deaktivieren (z.&nbsp;B.&nbsp;Laufwerksumleitung ''rdpdr'', Zwischenablage ''cliprdr'')
* Brute-Force-Schutz vorsehen
=== Verschlüsselung ===
XRDP unterstützt TLS
* Für produktiven Betrieb ist ein eigenes Zertifikat üblich
; /etc/xrdp/xrdp.ini
<syntaxhighlight lang="ini" highlight="" copy line>
[Globals]
security_layer=tls
certificate=/etc/xrdp/cert.pem
key_file=/etc/xrdp/key.pem
</syntaxhighlight>
; Hinweis
Schlüsseldateien restriktiv berechtigen
:* Certificate
chown root:root /etc/xrdp/cert.pem root:root
chmod 644 /etc/xrdp/cert.pem
:* Key
chown root:xrdp /etc/xrdp/key.pem
chmod 640 /etc/xrdp/key.pem

Aktuelle Version vom 11. Januar 2026, 13:50 Uhr

XRDP/Sicherheit - Beschreibung

Beschreibung

Parameter Beschreibung
Zugriff Zugriff auf TCP/3389 auf vertrauenswürdige Netze beschränken (Firewall/VPN)
TLS TLS aktivieren und eigene Zertifikate verwenden
PAM Zugriff per PAM auf definierte Benutzer/Gruppen begrenzen
Updates Regelmäßige Updates für xrdp und Backend-Komponenten einspielen
Brute-Force-Schutz durch Login-Ratenbegrenzung bzw. Fail2ban-Integration (Logbasis) vorsehen
3389/TCP Direkte Exponierung von 3389/TCP ins Internet vermeiden
Zugriff über VPN Jump Host oder Tunnel bereitstellen
Eingehende Verbindungen Auf bekannte Quellnetze beschränken (Firewall-Allowlist)
TLS aktivieren Schwache Modi vermeiden
Nicht benötigte Kanäle Deaktivieren (z. B. Laufwerksumleitung rdpdr, Zwischenablage cliprdr)
Brute-Force-Schutz vorsehen

Anwendung

Problembehebung

Konfiguration

Dateien

Datei Beschreibung


Anhang

Siehe auch

Dokumentation

Links

Projekt

Weblinks


Abgerufen von „https://wiki.foxtom.de/index.php?title=XRDP/Sicherheit&oldid=159795