Zum Inhalt springen

XRDP/Sicherheit: Unterschied zwischen den Versionen

Aus Foxwiki
Versionsgeschichte interaktiv durchsuchen
← Zum vorherigen Versionsunterschied
VisuellWikitext
 
(11 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''{{BASEPAGENAME}}''' - Beschreibung
'''XRDP/Sicherheit''' - Beschreibung


== Beschreibung ==
== Beschreibung ==
== Sicherheit ==
{| class="wikitable options big"
{|
| Zugriff auf TCP/3389 auf vertrauenswürdige Netze beschränken (Firewall/VPN) ||
|-
|-
| TLS aktivieren und eigene Zertifikate verwenden ||
! Parameter !! Beschreibung
|-
|-
| Zugriff per PAM auf definierte Benutzer/Gruppen begrenzen ||
| Zugriff || Zugriff auf TCP/3389 auf vertrauenswürdige Netze beschränken (Firewall/VPN)
|-
|-
| Regelmäßige Updates für ''xrdp'' und Backend-Komponenten einspielen ||  
| TLS || TLS aktivieren und eigene Zertifikate verwenden
|-
|-
| Brute-Force-Schutz durch Login-Ratenbegrenzung bzw. Fail2ban-Integration (Logbasis) vorsehen ||  
| PAM || Zugriff per PAM auf definierte Benutzer/Gruppen begrenzen
|-
|-
| Direkte Exponierung von 3389/TCP ins Internet vermeiden ||  
| Updates || Regelmäßige Updates für ''xrdp'' und Backend-Komponenten einspielen
|-
|-
| Zugriff über VPN, Jump Host oder Tunnel bereitstellen ||  
| Brute-Force-Schutz || durch Login-Ratenbegrenzung bzw. Fail2ban-Integration (Logbasis) vorsehen
|-
|-
| Eingehende Verbindungen auf bekannte Quellnetze beschränken (Firewall-Allowlist) ||  
| 3389/TCP || Direkte Exponierung von 3389/TCP ins Internet vermeiden
|-
|-
| TLS aktivieren, schwache Modi vermeiden ||  
| Zugriff über VPN || Jump Host oder Tunnel bereitstellen
|-
|-
| Nicht benötigte Kanäle deaktivieren (z. B. Laufwerksumleitung ''rdpdr'', Zwischenablage ''cliprdr'') ||  
| Eingehende Verbindungen || Auf bekannte Quellnetze beschränken (Firewall-Allowlist)
|-
| Brute-Force-Schutz vorsehen ||
|}
 
=== Verschlüsselung ===
; XRDP unterstützt TLS
Für produktiven Betrieb ist ein eigenes Zertifikat üblich
 
; /etc/xrdp/xrdp.ini
<syntaxhighlight lang="ini" highlight="" copy line>
[Globals]
security_layer=tls
certificate=/etc/xrdp/cert.pem
key_file=/etc/xrdp/key.pem
</syntaxhighlight>
 
; Hinweis
Schlüsseldateien restriktiv berechtigen
:* Certificate
chown root:root /etc/xrdp/cert.pem root:root
chmod 644 /etc/xrdp/cert.pem
:* Key
chown root:xrdp /etc/xrdp/key.pem
chmod 640 /etc/xrdp/key.pem
 
== Installation ==
<syntaxhighlight lang="bash" highlight="1" line copy>
</syntaxhighlight>
 
== Aufruf ==
<syntaxhighlight lang="bash" highlight="1" line copy>
</syntaxhighlight>
 
=== Optionen ===
{| class="wikitable sortable options gnu big"
|-
! Unix !! GNU !! Parameter !! Beschreibung
|-
| || || ||
|-
|}
 
=== Parameter ===
=== Umgebungsvariablen ===
=== Exit-Status ===
{| class="wikitable options col1center big"
|-
|-
! Wert !! Beschreibung
| TLS aktivieren || Schwache Modi vermeiden
|-
|-
| 0 || Erfolg
| Nicht benötigte Kanäle || Deaktivieren (z.&nbsp;B.&nbsp;Laufwerksumleitung ''rdpdr'', Zwischenablage ''cliprdr'')
|-
|-
| >0  || Fehler
| Brute-Force-Schutz || vorsehen
|}
|}


Zeile 103: Zeile 55:
=== Siehe auch ===
=== Siehe auch ===
<div style="column-count:2">
<div style="column-count:2">
<categorytree hideroot=on mode="pages">{{BASEPAGENAME}}</categorytree>
<categorytree hideroot=on mode="pages">xrdp</categorytree>
</div>
</div>
----
----

Aktuelle Version vom 11. Januar 2026, 13:50 Uhr

XRDP/Sicherheit - Beschreibung

Beschreibung

Parameter Beschreibung
Zugriff Zugriff auf TCP/3389 auf vertrauenswürdige Netze beschränken (Firewall/VPN)
TLS TLS aktivieren und eigene Zertifikate verwenden
PAM Zugriff per PAM auf definierte Benutzer/Gruppen begrenzen
Updates Regelmäßige Updates für xrdp und Backend-Komponenten einspielen
Brute-Force-Schutz durch Login-Ratenbegrenzung bzw. Fail2ban-Integration (Logbasis) vorsehen
3389/TCP Direkte Exponierung von 3389/TCP ins Internet vermeiden
Zugriff über VPN Jump Host oder Tunnel bereitstellen
Eingehende Verbindungen Auf bekannte Quellnetze beschränken (Firewall-Allowlist)
TLS aktivieren Schwache Modi vermeiden
Nicht benötigte Kanäle Deaktivieren (z. B. Laufwerksumleitung rdpdr, Zwischenablage cliprdr)
Brute-Force-Schutz vorsehen

Anwendung

Problembehebung

Konfiguration

Dateien

Datei Beschreibung


Anhang

Siehe auch

Dokumentation

Links

Projekt

Weblinks


Abgerufen von „https://wiki.foxtom.de/index.php?title=XRDP/Sicherheit&oldid=159795