XRDP/Sicherheit: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
|||
| Zeile 9: | Zeile 9: | ||
! Parameter !! Beschreibung | ! Parameter !! Beschreibung | ||
|- | |- | ||
| Zugriff auf TCP/3389 auf vertrauenswürdige Netze beschränken (Firewall/VPN) | | Zugriff|| Zugriff auf TCP/3389 auf vertrauenswürdige Netze beschränken (Firewall/VPN) | ||
|- | |- | ||
| TLS aktivieren und eigene Zertifikate verwenden | | TLS || TLS aktivieren und eigene Zertifikate verwenden | ||
|- | |- | ||
| Zugriff per PAM auf definierte Benutzer/Gruppen begrenzen | | PAM || Zugriff per PAM auf definierte Benutzer/Gruppen begrenzen | ||
|- | |- | ||
| Regelmäßige Updates für ''xrdp'' und Backend-Komponenten einspielen || | | Updates || Regelmäßige Updates für ''xrdp'' und Backend-Komponenten einspielen || | ||
|- | |- | ||
| Brute-Force-Schutz durch Login-Ratenbegrenzung bzw. Fail2ban-Integration (Logbasis) vorsehen | | Brute-Force-Schutz || durch Login-Ratenbegrenzung bzw. Fail2ban-Integration (Logbasis) vorsehen | ||
|- | |- | ||
| Direkte Exponierung von 3389/TCP ins Internet vermeiden || | | Direkte Exponierung von 3389/TCP ins Internet vermeiden || | ||
|- | |- | ||
| Zugriff über VPN | | Zugriff über VPN || Jump Host oder Tunnel bereitstellen | ||
|- | |- | ||
| Eingehende Verbindungen auf bekannte Quellnetze beschränken (Firewall-Allowlist) | | Eingehende Verbindungen || auf bekannte Quellnetze beschränken (Firewall-Allowlist) | ||
|- | |- | ||
| TLS aktivieren | | TLS aktivieren || schwache Modi vermeiden | ||
|- | |- | ||
| Nicht benötigte Kanäle deaktivieren (z. B. Laufwerksumleitung ''rdpdr'', Zwischenablage ''cliprdr'') | | Nicht benötigte Kanäle || deaktivieren (z. B. Laufwerksumleitung ''rdpdr'', Zwischenablage ''cliprdr'') | ||
|- | |- | ||
| Brute-Force-Schutz | | Brute-Force-Schutz || vorsehen | ||
|} | |} | ||
Version vom 11. Januar 2026, 12:00 Uhr
XRDP/Sicherheit - Beschreibung
Beschreibung
Sicherheit
| Parameter | Beschreibung | |
|---|---|---|
| Zugriff | Zugriff auf TCP/3389 auf vertrauenswürdige Netze beschränken (Firewall/VPN) | |
| TLS | TLS aktivieren und eigene Zertifikate verwenden | |
| PAM | Zugriff per PAM auf definierte Benutzer/Gruppen begrenzen | |
| Updates | Regelmäßige Updates für xrdp und Backend-Komponenten einspielen | |
| Brute-Force-Schutz | durch Login-Ratenbegrenzung bzw. Fail2ban-Integration (Logbasis) vorsehen | |
| Direkte Exponierung von 3389/TCP ins Internet vermeiden | ||
| Zugriff über VPN | Jump Host oder Tunnel bereitstellen | |
| Eingehende Verbindungen | auf bekannte Quellnetze beschränken (Firewall-Allowlist) | |
| TLS aktivieren | schwache Modi vermeiden | |
| Nicht benötigte Kanäle | deaktivieren (z. B. Laufwerksumleitung rdpdr, Zwischenablage cliprdr) | |
| Brute-Force-Schutz | vorsehen |
Verschlüsselung
- XRDP unterstützt TLS
Für produktiven Betrieb ist ein eigenes Zertifikat üblich
- /etc/xrdp/xrdp.ini
[Globals]
security_layer=tls
certificate=/etc/xrdp/cert.pem
key_file=/etc/xrdp/key.pem
- Hinweis
Schlüsseldateien restriktiv berechtigen
- Certificate
chown root:root /etc/xrdp/cert.pem root:root chmod 644 /etc/xrdp/cert.pem
- Key
chown root:xrdp /etc/xrdp/key.pem chmod 640 /etc/xrdp/key.pem
Installation
Aufruf
Optionen
| Unix | GNU | Parameter | Beschreibung |
|---|---|---|---|
Parameter
Umgebungsvariablen
Exit-Status
| Wert | Beschreibung |
|---|---|
| 0 | Erfolg |
| >0 | Fehler |
Anwendung
Problembehebung
Konfiguration
Dateien
| Datei | Beschreibung |
|---|---|
Anhang
Siehe auch
Dokumentation
Links
Projekt
Weblinks