Remote Desktop: Gnome-Remote-Desktop ersetzen

Der Ursprung dieser Artikelserie war der Versuch, per Remote-Desktop auf mein TerraPad zuzugreifen, so daß ich in die laufende Desktopsession eingreifen kann. Da es sich um ein Touchgerät handelt läuft der Gnome Desktop und der bietet dafür genau die richtige Funktion, direkt integriert, per Einstellungen aktivierbar, super komfortabel aber leider völlig disfunktional und somit komplett unbrauchbar 🙁

Remote Desktop: Gnome-Remote-Desktop ersetzen

Falls Ihr den auch ausprobiert habt und es nicht ging, gibt es dafür zwei mögliche Gründe: Entweder Ihr habt eine Auto-Login-Desktopsession, da es da keine Logindaten gibt, kann man die im Remotezugriff nicht abfragen laut Fedora Gnome Maintainer, oder Ihr bekommt trotz richtiger Logindaten keine Authentifizierung hin, dann habt Ihr das gleiche Problem wie ich.

Netter Versuch Gnome, aber…

Das geht alles viel besser als mit Eurer Bastellösung die irgendeine FreeRDP Liblösung benutzt, die leider nicht richtig funktioniert. Ironischerweise kann der Shadow-CLI Server von FreeRDP die ganze Sache sofort richtig, man muß ihn halt nur starten 🙂 Dabei löst er nämlich gleich beide Probleme, denn er macht den Auth gegen die Passwd und nicht in irgendeiner komischen Gnomeenklave.

Damit ist es dann auch egal, ob man einen Autologin hatte oder nicht. Als Sicherheitsmaßnahme kann man nur als der laufende User einloggen, also der, dem der Desktop gehört. Alles andere wäre auch unschön unsicher.

Und so geht es

wir brauchen:

sudo dnf install freerdp-server

und dann bauen wir uns einen kleinen Systemd.Service und können das starten. Dazu legen die Datei an ~/.config/systemd/user/shadow-remote-desktop.service :

[Unit]
Description=Shadow RDP Service
DefaultDependencies=no

[Service]
ExecStart=/usr/bin/freerdp-shadow-cli +auth
Restart=always
WorkingDirectory=%h
Environment=DISPLAY=:0
Type=simple
TimeoutStartSec=10

[Install]
WantedBy=default.target

dann müssen wir Gnome aufhalten, so Ihr denn Gnome einsetzt. Bei Cinnamon oder anderen Desktops ohne integrierte Lösung brauch Ihr das natürlich nicht machen 😉

systemctl –user stop gnome-remote-desktop.service
systemctl –user disable gnome-remote-desktop.service
systemctl –user mask gnome-remote-desktop.service

jetzt noch starten:

systemctl –user start shadow-remote-desktop.service

und das war es. Fertig. Keine dummen Fehlermeldungen mehr, läuft direkt mit Remmina und XFreeRDP als Klienten, einfach perfekt.

Ihr könnt den Dienst übrigens auch allen Usern auf dem System einrichten, dann braucht Ihr im Service Abschnitt noch den Eintrag: „User=%i“ und die Servicedatei muß systemweit installiert sein, z.B. hier /usr/lib/systemd/user/ .

Kleine Erklärung zur Datei und was Ihr ggf. ändern müßt

+auth“ damit wird die Authentifizierung erzwungen. Ohne die Anweisung könnte jeder in den Desktop rein, daß wollt Ihr nicht mal zu hause im LAN haben.

DISPLAY=:0“ ist das Defaultdisplay Eures Desktops. BEI MIR ist das aber :1 , keine Ahnung wieso. Wenn es also bei Euch nicht auf Anhieb startet, dann schaut doch mal ins Terminal rein, ob Eure DISPLAY Variable auch wirklich :0 ist. Einfach „echo $DISPLAY“ eingehen, dann wisst Ihr es.

Falls Ihr Wayland benutzt

Kann ich Euch leider nicht garantieren, daß es geht. Das müßt Ihr ausprobieren.

Einführung:

Remote Desktop: Einführung

Teil 1:

Remote Desktop: eigene Desktopsession mit XRDP

Linux Praxis: Remote Desktop Protokoll

Da ich kürzlich Gelegenheit bekam per Fernwartung in einer Firma mit Windowsclienten zu arbeiten, möchte ich Euch viel unnötiges Gesuche darüber ersparen, was geht und was nicht geht.

Windows 10 und RDP

Zunächst einmal, es geht um Windows 10 und dessen RDP Service. Das man den nicht einfach ins Netz exponieren kann, weil der PC sonst binnen Sekunden gehackt wird, sollte jedem spätestens seit BlueKeep und dessen Nachfolger, der sich gleich wurmartig fortpflanzen konnte, klar sein.

Wie macht man das jetzt, wenn man keine teure Firewalllösung einkaufen möchte, die dann vielleicht selbst zur ungepatchten Schwachstelle wird ( so wie die F5 ) oder nicht schnell genug die Signaturen aktualisiert?

Linux ist die Rettung

Man nehme ein gescheites Linux (Centos LTS mit Autoupdate würde reichen), und stellt es ins Intranet. Der SSH Port wird über DSL-Router nach außen exponiert, idealerweise nicht Port 22, was die Anzahl der Scans reduziert, und fail2ban-ed dann noch gleich die BruteForceangriffe weg 😉 . Das man den Zugriff nur per >=4K-SSH-Schlüssel und nicht mehr per PAM ( Passwort ) zulässt dürfte selbstverständlich sein, oder muß ich das extra erwähnen? 🙂

Wenn man Linux auch als Desktop hat, ist es jetzt ganz leicht den RDP Port des Windowszielrechners im Intranet auf 127.0.0.1 zu forwarden:

ssh -C -L 3389:192.168.178.33:3389 root@externe.dsl.ip

Kleiner Pro Tip: „-C“ nicht vergessen, dann komprimiert SSH die Daten zusätzlich noch, was gerade bei langsamen Verbindungen von Vorteil sein wird. Durch SSH wird die Verbindung über das Netz komplett verschlüsselt.

Wie verbindet man sich jetzt zu seinem mit TLS gesicherten RDP Service?

Jetzt kommen wir zum eigentlichen Problem mit Linux als RDP Clienten: kaum ein RDP Client taugt was.

Die kurze Liste der RDP Clienten unter Fedora lautet: RDesktop, gnome-rdp aka Vinagre und freerdp

RDesktop und Vinagre kann man gleich löschen. Der RDP Client der Wahl ist FreeRDP! Das ist nämlich der einzige, der überhaupt funktioniert. Vinagre baut zwar eine Verbindung auf, liefert aber nur ein Schwarzbild ab => fail. RDesktop war nicht mal dazu in der Lage.

FreeRDP hat neue Optionen

Im Netz findet man z.b. im Ubuntu-Forum Hinweise wie man FreeRDP erzählt, wo es hin soll und wie groß der Bildschirm sein. Leider muß man das angeben, sonst gibt es die Defaultwindowssession mit 1280×1024 😀 Das hatten wir dann auf dem 3k Display vom meinem Surface Pro als kleines Icon irgendwo in der Ecke vom Bildschirm liegen 😉 Ok,ok, Icongröße hatte es nicht ganz, aber da FreeRDP nicht DPI-Scaleaware ist, mußte man halt eine Lupe benutzen.

FreeRDP scheint seine CLI-Optionen umstrukturiert zu haben und man muß statt mit „-“ mit „/“ arbeiten. Beispiel: /size:WxH. Ob die sich an die Windows-DOSshell anwanzen wollten, wer weiß …

Windows failed beim DPI-Scaling

Es bliebt einem nichts anderes übrig als FreeRDP zu sagen, wie groß das Fenster denn sein soll, damit man dann einen größeren Font im Windows einstellen kann. Ab da wird es dann peinlich für M$, denn das DPI-Scaling funktioniert nur bei realen Bildschirmen, nicht bei Remote-Zugriffen per RDP 😀 Allen Versuchen zum Trotz blieb das Fenster ohne DPI-Scaling, auch als Windows behauptet hat, es würde 500%! skalieren 😉 Lustigerweise warnt einen Windows, daß es kein Vergnügen sein wird, ein 500% skaliertes Windows zu benutzen. Ich wäre schon froh über 200% gewesen 😀

Wenn man auf dem Windowsystem jetzt mit Browsern arbeiten muß, ist die Lösung denkbar einfach: das Browserfenster zoomen. Bei richtigen Anwendungen geht das natürlich nicht, was das Arbeiten auf einem 3k-4K Display nicht gerade vergnüglich macht. Da hilft es nur einen kleineren Bildschirm zu benutzen. Für ein FullHD Display könnte die Anweisung an FreeRDP so lauten:

xfreerdp /u:username /v:127.0.0.1 /size:1920×1020

Damit ist das Fenster brauchbar in Cinnamon eingefasst. Da wir glücklicherweise zwei HighSpeed-DSL Anschlüsse nutzen, ist die Latenz der Pakete sehr niedrig und das Arbeiten ist (bislang) angenehm.

Windows ist in dem Szenario leider nicht das einzige Programm, das failed. FreeRDP müßte das Scaling eigentlich auch automatisch beachten. FreeRDP bietet als Optionen jetzt einen Scalingparameter an, leider funktioniert auch das nicht sofort.

xfreerdp /u:username /v:hostname /size:1920×1080 /scale:140 /scale-desktop:200

Obiges bringt dann die Lösung. Damit läßt sich der Desktop uns seine Anwendungen auch auf 3k/4K besser lesen. Offensichtlich muß man Windows erst von außen sagen, das es skalieren soll, interne Einstellungen zählen halt nicht.

Für FreeRDP gibt es übrigens noch die Rocket-GUI, so muß man nicht alles in der Bash machen. Allerdings ist das Programm recht simple und wird nicht allen Anforderungen an unser spezielles Problem gerecht.