XRDP/Sicherheit: Unterschied zwischen den Versionen

Aktuelle Version vom 11. Januar 2026, 13:50 Uhr

XRDP/Sicherheit - Beschreibung

Beschreibung

Parameter	Beschreibung
Zugriff	Zugriff auf TCP/3389 auf vertrauenswürdige Netze beschränken (Firewall/VPN)
TLS	TLS aktivieren und eigene Zertifikate verwenden
PAM	Zugriff per PAM auf definierte Benutzer/Gruppen begrenzen
Updates	Regelmäßige Updates für xrdp und Backend-Komponenten einspielen
Brute-Force-Schutz	durch Login-Ratenbegrenzung bzw. Fail2ban-Integration (Logbasis) vorsehen
3389/TCP	Direkte Exponierung von 3389/TCP ins Internet vermeiden
Zugriff über VPN	Jump Host oder Tunnel bereitstellen
Eingehende Verbindungen	Auf bekannte Quellnetze beschränken (Firewall-Allowlist)
TLS aktivieren	Schwache Modi vermeiden
Nicht benötigte Kanäle	Deaktivieren (z. B. Laufwerksumleitung rdpdr, Zwischenablage cliprdr)
Brute-Force-Schutz	vorsehen

Anwendung

Problembehebung

Konfiguration

Dateien

Datei	Beschreibung

Anhang

Siehe auch

/etc/xrdp/xrdp.ini

Xrdp

Xrdp/Installation

Xrdp/Installation/Dateien

XRDP/Sicherheit/Verschlüsselung

Dokumentation

Links

Projekt

Weblinks

@@ Zeile 6: / Zeile 6: @@
 ! Parameter !! Beschreibung
 |-
-| Zugriff|| Zugriff auf TCP/3389 auf vertrauenswürdige Netze beschränken (Firewall/VPN)
+| Zugriff || Zugriff auf TCP/3389 auf vertrauenswürdige Netze beschränken (Firewall/VPN)
 |-
 | TLS || TLS aktivieren und eigene Zertifikate verwenden
@@ Zeile 12: / Zeile 12: @@
 | PAM || Zugriff per PAM auf definierte Benutzer/Gruppen begrenzen
 |-
-| Updates || Regelmäßige Updates für ''xrdp'' und Backend-Komponenten einspielen ||
+| Updates || Regelmäßige Updates für ''xrdp'' und Backend-Komponenten einspielen
 |-
 | Brute-Force-Schutz ||  durch Login-Ratenbegrenzung bzw.&nbsp;Fail2ban-Integration (Logbasis) vorsehen
 |-
-| Direkte Exponierung von 3389/TCP ins Internet vermeiden ||
+| 3389/TCP || Direkte Exponierung von 3389/TCP ins Internet vermeiden
 |-
 | Zugriff über VPN || Jump Host oder Tunnel bereitstellen
 |-
-| Eingehende Verbindungen || auf bekannte Quellnetze beschränken (Firewall-Allowlist)
+| Eingehende Verbindungen || Auf bekannte Quellnetze beschränken (Firewall-Allowlist)
 |-
-| TLS aktivieren || schwache Modi vermeiden
+| TLS aktivieren || Schwache Modi vermeiden
 |-
-| Nicht benötigte Kanäle || deaktivieren (z.&nbsp;B.&nbsp;Laufwerksumleitung ''rdpdr'', Zwischenablage ''cliprdr'')
+| Nicht benötigte Kanäle || Deaktivieren (z.&nbsp;B.&nbsp;Laufwerksumleitung ''rdpdr'', Zwischenablage ''cliprdr'')
 |-
 | Brute-Force-Schutz || vorsehen
-|}
-=== Verschlüsselung ===
-; XRDP unterstützt TLS
-Für produktiven Betrieb ist ein eigenes Zertifikat üblich
-; /etc/xrdp/xrdp.ini
-<syntaxhighlight lang="ini" highlight="" copy line>
-[Globals]
-security_layer=tls
-certificate=/etc/xrdp/cert.pem
-key_file=/etc/xrdp/key.pem
-</syntaxhighlight>
-; Hinweis
-Schlüsseldateien restriktiv berechtigen
-:* Certificate
- chown root:root /etc/xrdp/cert.pem root:root
- chmod 644 /etc/xrdp/cert.pem
-:* Key
- chown root:xrdp /etc/xrdp/key.pem
- chmod 640 /etc/xrdp/key.pem
-== Installation ==
-<syntaxhighlight lang="bash" highlight="1" line copy>
-</syntaxhighlight>
-== Aufruf ==
-<syntaxhighlight lang="bash" highlight="1" line copy>
-</syntaxhighlight>
-=== Optionen ===
-{| class="wikitable sortable options gnu big"
-|-
-! Unix !! GNU !! Parameter !! Beschreibung
-|-
-| || || ||
-|-
-|}
-=== Parameter ===
-=== Umgebungsvariablen ===
-=== Exit-Status ===
-{| class="wikitable options col1center big"
-|-
-! Wert !! Beschreibung
-|-
-| 0 || Erfolg
-|-
-| >0  || Fehler
 |}
@@ Zeile 105: / Zeile 55: @@
 === Siehe auch ===
 <div style="column-count:2">
-<categorytree hideroot=on mode="pages">{{BASEPAGENAME}}</categorytree>
+<categorytree hideroot=on mode="pages">xrdp</categorytree>
 </div>
 ----