XRDP/Sicherheit: Unterschied zwischen den Versionen
Die Seite wurde neu angelegt: „== Sicherheit == * Zugriff auf TCP/3389 auf vertrauenswürdige Netze beschränken (Firewall/VPN) * TLS aktivieren und eigene Zertifikate verwenden * Zugriff per PAM auf definierte Benutzer/Gruppen begrenzen * Regelmäßige Updates für ''xrdp'' und Backend-Komponenten einspielen * Brute-Force-Schutz durch Login-Ratenbegrenzung bzw. Fail2ban-Integration (Logbasis) vorsehen * Direkte Exponierung von 3389/TCP ins Internet vermeiden * Zugriff über VPN,…“ |
Keine Bearbeitungszusammenfassung |
||
| Zeile 1: | Zeile 1: | ||
'''{{BASEPAGENAME}}''' - Beschreibung | |||
== Beschreibung == | |||
== Installation == | |||
<syntaxhighlight lang="bash" highlight="1" line copy> | |||
< /syntaxhighlight> | |||
== Aufruf == | |||
<syntaxhighlight lang="bash" highlight="1" line copy> | |||
< /syntaxhighlight> | |||
=== Optionen === | |||
{| class="wikitable sortable options gnu big" | |||
|- | |||
! Unix !! GNU !! Parameter !! Beschreibung | |||
|- | |||
| || || || | |||
|- | |||
|} | |||
=== Parameter === | |||
=== Umgebungsvariablen === | |||
=== Exit-Status === | |||
{| class="wikitable options col1center big" | |||
|- | |||
! Wert !! Beschreibung | |||
|- | |||
| 0 || Erfolg | |||
|- | |||
| >0 || Fehler | |||
|} | |||
== Anwendung == | |||
<syntaxhighlight lang="bash" highlight="1" line copy> | |||
< /syntaxhighlight> | |||
<!-- output --> | |||
<syntaxhighlight lang="bash" highlight="" line> | |||
< /syntaxhighlight> | |||
=== Problembehebung === | |||
== Konfiguration == | |||
=== Dateien === | |||
{| class="wikitable options big" | |||
|- | |||
! Datei !! Beschreibung | |||
|- | |||
| || | |||
|- | |||
| || | |||
|} | |||
<noinclude> | |||
== Anhang == | |||
=== Siehe auch === | |||
<div style="column-count:2"> | |||
<categorytree hideroot=on mode="pages">{{BASEPAGENAME}}</categorytree> | |||
</div> | |||
---- | |||
{{Special:PrefixIndex/{{BASEPAGENAME}}/}} | |||
=== Dokumentation === | |||
<!-- | |||
; Man-Page | |||
# [https://manpages.debian.org/stable/procps/pgrep.1.de.html prep(1)] | |||
; Info-Pages | |||
--> | |||
=== Links === | |||
==== Projekt ==== | |||
==== Weblinks ==== | |||
<!-- | |||
{{DEFAULTSORT:new}} | |||
{{DISPLAYTITLE:new}} | |||
--> | |||
[[Kategorie:new]] | |||
</noinclude> | |||
= TMP = | |||
== Sicherheit == | == Sicherheit == | ||
* Zugriff auf TCP/3389 auf vertrauenswürdige Netze beschränken (Firewall/VPN) | * Zugriff auf TCP/3389 auf vertrauenswürdige Netze beschränken (Firewall/VPN) | ||
Version vom 10. Januar 2026, 12:02 Uhr
XRDP/Sicherheit - Beschreibung
Beschreibung
Installation
< /syntaxhighlight>
== Aufruf ==
<syntaxhighlight lang="bash" highlight="1" line copy>
< /syntaxhighlight>
=== Optionen ===
{| class="wikitable sortable options gnu big"
|-
! Unix !! GNU !! Parameter !! Beschreibung
|-
| || || ||
|-
|}
=== Parameter ===
=== Umgebungsvariablen ===
=== Exit-Status ===
{| class="wikitable options col1center big"
|-
! Wert !! Beschreibung
|-
| 0 || Erfolg
|-
| >0 || Fehler
|}
== Anwendung ==
<syntaxhighlight lang="bash" highlight="1" line copy>
< /syntaxhighlight>
<!-- output -->
<syntaxhighlight lang="bash" highlight="" line>
< /syntaxhighlight>
=== Problembehebung ===
== Konfiguration ==
=== Dateien ===
{| class="wikitable options big"
|-
! Datei !! Beschreibung
|-
| ||
|-
| ||
|}
<noinclude>
== Anhang ==
=== Siehe auch ===
<div style="column-count:2">
<categorytree hideroot=on mode="pages">{{BASEPAGENAME}}</categorytree>
</div>
----
{{Special:PrefixIndex/{{BASEPAGENAME}}/}}
=== Dokumentation ===
<!--
; Man-Page
# [https://manpages.debian.org/stable/procps/pgrep.1.de.html prep(1)]
; Info-Pages
-->
=== Links ===
==== Projekt ====
==== Weblinks ====
<!--
{{DEFAULTSORT:new}}
{{DISPLAYTITLE:new}}
-->
[[Kategorie:new]]
</noinclude>
= TMP =
== Sicherheit ==
* Zugriff auf TCP/3389 auf vertrauenswürdige Netze beschränken (Firewall/VPN)
* TLS aktivieren und eigene Zertifikate verwenden
* Zugriff per PAM auf definierte Benutzer/Gruppen begrenzen
* Regelmäßige Updates für ''xrdp'' und Backend-Komponenten einspielen
* Brute-Force-Schutz durch Login-Ratenbegrenzung bzw. Fail2ban-Integration (Logbasis) vorsehen
* Direkte Exponierung von 3389/TCP ins Internet vermeiden
* Zugriff über VPN, Jump Host oder Tunnel bereitstellen
* Eingehende Verbindungen auf bekannte Quellnetze beschränken (Firewall-Allowlist)
* TLS aktivieren, schwache Modi vermeiden
* Nicht benötigte Kanäle deaktivieren (z. B. Laufwerksumleitung ''rdpdr'', Zwischenablage ''cliprdr'')
* Brute-Force-Schutz vorsehen
=== Verschlüsselung ===
XRDP unterstützt TLS
* Für produktiven Betrieb ist ein eigenes Zertifikat üblich
; /etc/xrdp/xrdp.ini
<syntaxhighlight lang="ini" highlight="" copy line>
[Globals]
security_layer=tls
certificate=/etc/xrdp/cert.pem
key_file=/etc/xrdp/key.pem
- Hinweis
Schlüsseldateien restriktiv berechtigen
- Certificate
chown root:root /etc/xrdp/cert.pem root:root chmod 644 /etc/xrdp/cert.pem
- Key
chown root:xrdp /etc/xrdp/key.pem chmod 640 /etc/xrdp/key.pem