xRDPをGUIリモートアクセス用にLinuxにインストールする方法

  • Article

Azure上のLinux VMに、リモートデスクトップまたは同様のツールを使用してGUIを使用してアクセスしたいとします。

サードパーティのツールのインストールと設定はAzure Linuxのサポートの対象外ですが、必要に応じてxRDPを有効にするための注意点とベストプラクティスがあります。

他のツールでも同様の結果を得るための他の方法があります。具体的にはxRDPについて説明します。

xRDPで標準構成を使用する場合、エンドポイント(クラシック)またはネットワークセキュリティグループ(リソースマネージャー)を使用して開く必要があるポートは、Microsoft Windowsリモートアクセスで使用される3389 TCPになります。

xRDPを有効にする際にはセキュリティ上の注意がいくつかありますが、この記事の最後にいくつかのベストプラクティスを取り上げます。

xRDPをインストールする手順を以下に示します。

Ubuntu / Debianの場合:  
sudo -i 
apt-get update 
apt-get install xrdp

Red Hat、CentOS、Oracleの場合:  
サードパーティのリポジトリ(EPEL)をインストールする必要がありますが、通常はベンダーによってサポートされていませんが、ここで詳細を見つけることができます: 
https://fedoraproject.org/wiki/EPEL

特定のバージョン(6.x / 7.x)用のものをインストールしてください。

リポジトリが正常にインストールされたら、以下の手順に進むことができます。

Red Hat / CentOSおよびOracleバージョン7.x:  
sudo -i 
yum install xrdp tigervnc-server xterm 
systemctl enable xrdp  systemctl enable xrdp-sesman

Red Hat / CentOSとOracleバージョン6.x 
sudo -i 
yum install xrdp tigervnc-server xterm 
サービスxrdp restart 
chkconfig xrdp on

xRDPを使用して接続し、xtermを開いたら、xclockを試すなど、必要なグラフィカルアプリケーションをテストすることができます。

セキュリティを向上させるためのベストプラクティス

A)SSHローカルトンネルを使用して余分なポートを開き、トラフィックを暗号化しないようにします。

SSH経由でxRDPアクセスをトンネリングすることで、すべてのトラフィックを暗号化するだけでなく、Linux VMとAzureネットワークトポロジで余分なポートを開くことも回避でき、xRDPデーモンは基本的にLinux VMのAzureのlocalhostインターフェースを聞くことができます。

より安全なxRDP環境を設定するための基本的な手順は次のとおりです。

1)/etc/xrdp/xrdp.iniを編集し、以下を変更/追加してデーモンに127.0.0.1を聞かせ、さらに高い暗号化レベルを使用させます。

[グローバル] 
ビットマップ_キャッシュ=はい  bitmap_ compression = yes 
ポート= 3389 
crypt  _level = high  channel_code = 1 
max_bpp = 24 
#黒= 000000 
#gray = d6d3ce 
#dark_grey = 808080 
#青色= 08246b 
#dark_blue = 08246b 
#white = ffffff 
#red = ff0000 
#緑= 00ff00 
#background = 626c72 
住所= 127.0.0.1 
注記:デーモンを127.0.0.1に変更すると、SSHトンネルを実行するだけでアクセスできます。これは、以下の手順で行うことができます。

OSXおよびLinuxユーザの場合は、ターミナルウィンドウで実行できます。 
ssh -N -p 22 USER @ VM _PUBLIC_ IP -L 3389:127.0.0.1:3389

上記の例では、基本的にローカルポート3389(ワークステーション/ラップトップ上)を使用し、Azure上のLinux VMへのトラフィックをポート3389上のlocalhostにトンネリングするので、xRDPを使用してVMに接続するには、あなたのワークステーションはポート3389に接続され、Azure上でVMに自動的にトンネリングされます。

一般にGUIはセキュリティ上の理由からLinuxサーバーではデフォルトで無効になっています。この種のアクセスを有効にする必要がある場合は、追加のポートを開く必要がないようにSSHキーとローカルトンネルを使用することを強くお勧めしますLinux VMに転送します。