Zum Inhalt springen

XRDP/Sicherheit: Unterschied zwischen den Versionen

Aus Foxwiki
Versionsgeschichte interaktiv durchsuchen
← Zum vorherigen VersionsunterschiedZum nächsten Versionsunterschied →
VisuellWikitext
Zeile 3: Zeile 3:
== Beschreibung ==
== Beschreibung ==
== Sicherheit ==
== Sicherheit ==
* Zugriff auf TCP/3389 auf vertrauenswürdige Netze beschränken (Firewall/VPN)
{|
* TLS aktivieren und eigene Zertifikate verwenden
| Zugriff auf TCP/3389 auf vertrauenswürdige Netze beschränken (Firewall/VPN) ||
* Zugriff per PAM auf definierte Benutzer/Gruppen begrenzen
|-
* Regelmäßige Updates für ''xrdp'' und Backend-Komponenten einspielen
| TLS aktivieren und eigene Zertifikate verwenden ||
* Brute-Force-Schutz durch Login-Ratenbegrenzung bzw. Fail2ban-Integration (Logbasis) vorsehen
|-
* Direkte Exponierung von 3389/TCP ins Internet vermeiden
| Zugriff per PAM auf definierte Benutzer/Gruppen begrenzen ||
* Zugriff über VPN, Jump Host oder Tunnel bereitstellen
|-
* Eingehende Verbindungen auf bekannte Quellnetze beschränken (Firewall-Allowlist)
| Regelmäßige Updates für ''xrdp'' und Backend-Komponenten einspielen ||
* TLS aktivieren, schwache Modi vermeiden
|-
* Nicht benötigte Kanäle deaktivieren (z. B. Laufwerksumleitung ''rdpdr'', Zwischenablage ''cliprdr'')
| Brute-Force-Schutz durch Login-Ratenbegrenzung bzw. Fail2ban-Integration (Logbasis) vorsehen ||
* Brute-Force-Schutz vorsehen
|-
| Direkte Exponierung von 3389/TCP ins Internet vermeiden ||
|-
| Zugriff über VPN, Jump Host oder Tunnel bereitstellen ||
|-
| Eingehende Verbindungen auf bekannte Quellnetze beschränken (Firewall-Allowlist) ||
|-
| TLS aktivieren, schwache Modi vermeiden ||
|-
| Nicht benötigte Kanäle deaktivieren (z. B. Laufwerksumleitung ''rdpdr'', Zwischenablage ''cliprdr'') ||
|-
| Brute-Force-Schutz vorsehen ||
|}


=== Verschlüsselung ===
=== Verschlüsselung ===
XRDP unterstützt TLS
; XRDP unterstützt TLS
* Für produktiven Betrieb ist ein eigenes Zertifikat üblich
Für produktiven Betrieb ist ein eigenes Zertifikat üblich


; /etc/xrdp/xrdp.ini
; /etc/xrdp/xrdp.ini

Version vom 11. Januar 2026, 11:09 Uhr

XRDP/Sicherheit - Beschreibung

Beschreibung

Sicherheit

Zugriff auf TCP/3389 auf vertrauenswürdige Netze beschränken (Firewall/VPN)
TLS aktivieren und eigene Zertifikate verwenden
Zugriff per PAM auf definierte Benutzer/Gruppen begrenzen
Regelmäßige Updates für xrdp und Backend-Komponenten einspielen
Brute-Force-Schutz durch Login-Ratenbegrenzung bzw. Fail2ban-Integration (Logbasis) vorsehen
Direkte Exponierung von 3389/TCP ins Internet vermeiden
Zugriff über VPN, Jump Host oder Tunnel bereitstellen
Eingehende Verbindungen auf bekannte Quellnetze beschränken (Firewall-Allowlist)
TLS aktivieren, schwache Modi vermeiden
Nicht benötigte Kanäle deaktivieren (z. B. Laufwerksumleitung rdpdr, Zwischenablage cliprdr)
Brute-Force-Schutz vorsehen

Verschlüsselung

XRDP unterstützt TLS

Für produktiven Betrieb ist ein eigenes Zertifikat üblich

/etc/xrdp/xrdp.ini
[Globals]
security_layer=tls
certificate=/etc/xrdp/cert.pem
key_file=/etc/xrdp/key.pem
Hinweis

Schlüsseldateien restriktiv berechtigen

  • Certificate
chown root:root /etc/xrdp/cert.pem root:root
chmod 644 /etc/xrdp/cert.pem
  • Key
chown root:xrdp /etc/xrdp/key.pem
chmod 640 /etc/xrdp/key.pem

Installation

Aufruf

Optionen

Unix GNU Parameter Beschreibung

Parameter

Umgebungsvariablen

Exit-Status

Wert Beschreibung
0 Erfolg
>0 Fehler

Anwendung

Problembehebung

Konfiguration

Dateien

Datei Beschreibung


Anhang

Siehe auch

Dokumentation

Links

Projekt

Weblinks


Abgerufen von „https://wiki.foxtom.de/index.php?title=XRDP/Sicherheit&oldid=159767