XRDP/Sicherheit: Unterschied zwischen den Versionen
| Zeile 2: | Zeile 2: | ||
== Beschreibung == | == Beschreibung == | ||
== Sicherheit == | |||
* Zugriff auf TCP/3389 auf vertrauenswürdige Netze beschränken (Firewall/VPN) | |||
* TLS aktivieren und eigene Zertifikate verwenden | |||
* Zugriff per PAM auf definierte Benutzer/Gruppen begrenzen | |||
* Regelmäßige Updates für ''xrdp'' und Backend-Komponenten einspielen | |||
* Brute-Force-Schutz durch Login-Ratenbegrenzung bzw. Fail2ban-Integration (Logbasis) vorsehen | |||
* Direkte Exponierung von 3389/TCP ins Internet vermeiden | |||
* Zugriff über VPN, Jump Host oder Tunnel bereitstellen | |||
* Eingehende Verbindungen auf bekannte Quellnetze beschränken (Firewall-Allowlist) | |||
* TLS aktivieren, schwache Modi vermeiden | |||
* Nicht benötigte Kanäle deaktivieren (z. B. Laufwerksumleitung ''rdpdr'', Zwischenablage ''cliprdr'') | |||
* Brute-Force-Schutz vorsehen | |||
=== Verschlüsselung === | |||
XRDP unterstützt TLS | |||
* Für produktiven Betrieb ist ein eigenes Zertifikat üblich | |||
; /etc/xrdp/xrdp.ini | |||
<syntaxhighlight lang="ini" highlight="" copy line> | |||
[Globals] | |||
security_layer=tls | |||
certificate=/etc/xrdp/cert.pem | |||
key_file=/etc/xrdp/key.pem | |||
</syntaxhighlight> | |||
; Hinweis | |||
Schlüsseldateien restriktiv berechtigen | |||
:* Certificate | |||
chown root:root /etc/xrdp/cert.pem root:root | |||
chmod 644 /etc/xrdp/cert.pem | |||
:* Key | |||
chown root:xrdp /etc/xrdp/key.pem | |||
chmod 640 /etc/xrdp/key.pem | |||
== Installation == | == Installation == | ||
Version vom 10. Januar 2026, 12:22 Uhr
XRDP/Sicherheit - Beschreibung
Beschreibung
Sicherheit
- Zugriff auf TCP/3389 auf vertrauenswürdige Netze beschränken (Firewall/VPN)
- TLS aktivieren und eigene Zertifikate verwenden
- Zugriff per PAM auf definierte Benutzer/Gruppen begrenzen
- Regelmäßige Updates für xrdp und Backend-Komponenten einspielen
- Brute-Force-Schutz durch Login-Ratenbegrenzung bzw. Fail2ban-Integration (Logbasis) vorsehen
- Direkte Exponierung von 3389/TCP ins Internet vermeiden
- Zugriff über VPN, Jump Host oder Tunnel bereitstellen
- Eingehende Verbindungen auf bekannte Quellnetze beschränken (Firewall-Allowlist)
- TLS aktivieren, schwache Modi vermeiden
- Nicht benötigte Kanäle deaktivieren (z. B. Laufwerksumleitung rdpdr, Zwischenablage cliprdr)
- Brute-Force-Schutz vorsehen
Verschlüsselung
XRDP unterstützt TLS
- Für produktiven Betrieb ist ein eigenes Zertifikat üblich
- /etc/xrdp/xrdp.ini
[Globals]
security_layer=tls
certificate=/etc/xrdp/cert.pem
key_file=/etc/xrdp/key.pem
- Hinweis
Schlüsseldateien restriktiv berechtigen
- Certificate
chown root:root /etc/xrdp/cert.pem root:root chmod 644 /etc/xrdp/cert.pem
- Key
chown root:xrdp /etc/xrdp/key.pem chmod 640 /etc/xrdp/key.pem
Installation
Aufruf
Optionen
| Unix | GNU | Parameter | Beschreibung |
|---|---|---|---|
Parameter
Umgebungsvariablen
Exit-Status
| Wert | Beschreibung |
|---|---|
| 0 | Erfolg |
| >0 | Fehler |
Anwendung
Problembehebung
Konfiguration
Dateien
| Datei | Beschreibung |
|---|---|
Anhang
Siehe auch
Dokumentation
Links
Projekt
Weblinks