|
|
| Zeile 85: |
Zeile 85: |
|
| |
|
| = TMP = | | = TMP = |
| == Sicherheit ==
| |
| * Zugriff auf TCP/3389 auf vertrauenswürdige Netze beschränken (Firewall/VPN)
| |
| * TLS aktivieren und eigene Zertifikate verwenden
| |
| * Zugriff per PAM auf definierte Benutzer/Gruppen begrenzen
| |
| * Regelmäßige Updates für ''xrdp'' und Backend-Komponenten einspielen
| |
| * Brute-Force-Schutz durch Login-Ratenbegrenzung bzw. Fail2ban-Integration (Logbasis) vorsehen
| |
| * Direkte Exponierung von 3389/TCP ins Internet vermeiden
| |
| * Zugriff über VPN, Jump Host oder Tunnel bereitstellen
| |
| * Eingehende Verbindungen auf bekannte Quellnetze beschränken (Firewall-Allowlist)
| |
| * TLS aktivieren, schwache Modi vermeiden
| |
| * Nicht benötigte Kanäle deaktivieren (z. B. Laufwerksumleitung ''rdpdr'', Zwischenablage ''cliprdr'')
| |
| * Brute-Force-Schutz vorsehen
| |
|
| |
| === Verschlüsselung ===
| |
| XRDP unterstützt TLS
| |
| * Für produktiven Betrieb ist ein eigenes Zertifikat üblich
| |
|
| |
| ; /etc/xrdp/xrdp.ini
| |
| <syntaxhighlight lang="ini" highlight="" copy line>
| |
| [Globals]
| |
| security_layer=tls
| |
| certificate=/etc/xrdp/cert.pem
| |
| key_file=/etc/xrdp/key.pem
| |
| </syntaxhighlight>
| |
|
| |
| ; Hinweis
| |
| Schlüsseldateien restriktiv berechtigen
| |
| :* Certificate
| |
| chown root:root /etc/xrdp/cert.pem root:root
| |
| chmod 644 /etc/xrdp/cert.pem
| |
| :* Key
| |
| chown root:xrdp /etc/xrdp/key.pem
| |
| chmod 640 /etc/xrdp/key.pem
| |
XRDP/Sicherheit - Beschreibung
Beschreibung
Installation
Aufruf
Optionen
| Unix |
GNU |
Parameter |
Beschreibung
|
|
|
|
|
Parameter
Umgebungsvariablen
Exit-Status
| Wert |
Beschreibung
|
| 0 |
Erfolg
|
| >0 |
Fehler
|
Anwendung
Problembehebung
Konfiguration
Dateien
Anhang
Siehe auch
Dokumentation
Links
Projekt
Weblinks
TMP