RDP позволяет подключаться к графическому сеансу Ubuntu из клиента Windows, macOS или Remmina. Есть два подхода:
- Встроенный GNOME Remote Desktop с RDP на десктопных Ubuntu. Просто включается в настройках, использует текущий сеанс.
- Пакет xrdp на серверах и headless-узлах. Создаёт отдельный Xorg-сеанс, не требует активного монитора.
Безопасность сначала:
- Сразу ограничьте доступ к порту 3389 через UFW по своим IP или туннелируйте через SSH.
- Ставьте длинные пароли, отключайте «гостевой» доступ и не публикуйте 3389 в интернет без фильтров.
Вариант A. Встроенный RDP в Ubuntu Desktop (GNOME)
Подходит для Ubuntu Desktop 22.04 и 24.04 с окружением GNOME. Включается через графические настройки, работает поверх текущего пользовательского сеанса.
Шаг 1. Убедитесь, что служба доступна и включите доступ
- Откройте «Настройки» → «Общий доступ».
- Включите общий доступ.
- Зайдите в «Удалённый рабочий стол»:
- Включите «Удалённый рабочий стол».
- Включите «Разрешить удалённые подключения».
- Установите «Имя пользователя и пароль» для входа по RDP.
- При необходимости включите «Разрешить управление» (не только просмотр).
Шаг 2. Разрешите порт в UFW только для своих адресов
sudo ufw allow from 203.0.113.5 to any port 3389 proto tcp comment 'RDP GNOME'sudo ufw status verbose
Если тестируете в локальной сети, временно можно:
sudo ufw allow 3389/tcp comment 'RDP test'
Шаг 3. Подключение
- В Windows откройте «Подключение к удалённому рабочему столу», введите IP Ubuntu.
- Введите заданные в настройках GNOME логин/пароль.
- Если картинка «пустая», убедитесь, что пользователь залогинен локально и экран разблокирован, либо используйте xrdp (ниже), чтобы создавать отдельные сеансы.
Шаг 4. Снятие ограничений и защита
- По завершении тестов сузьте правила UFW до нужных IP.
- Отключите доступ, если не используете длительно, в «Удалённый рабочий стол».
Когда выбирать GNOME RDP
- Нужен доступ к уже запущенным приложениям пользователя.
- Машина с подключенным монитором и стандартной Ubuntu Desktop.
Вариант B. xrdp для серверов и headless-узлов (рекомендуется на VPS)
xrdp поднимает RDP-совместимый сервер и создаёт отдельный Xorg-сеанс при подключении. Работает на VPS и «голых» серверах без монитора.
Шаг 1. Поставьте графическую оболочку (если это сервер) и xrdp
Полноценный GNOME (удобно, но тяжеловесно):
sudo apt updatesudo apt install -y ubuntu-desktop-minimal xrdp
Лёгкая XFCE (быстро и экономно по ресурсам):
sudo apt updatesudo apt install -y xrdp xfce4 xfce4-goodiesecho 'startxfce4' | sudo tee /etc/skel/.xsession >/dev/null
Примечание: строка в /etc/skel/.xsession автоматически появится у новых пользователей. Для уже существующего пользователя создайте ~/.xsession вручную:
echo 'startxfce4' > ~/.xsession
Шаг 2. Добавьте xrdp в группу сертификатов и включите сервис
sudo adduser xrdp ssl-certsudo systemctl enable --now xrdpsudo systemctl status xrdp --no-pager
Шаг 3. Откройте порт RDP в UFW и сразу сузьте по IP
sudo ufw allow from 203.0.113.5 to any port 3389 proto tcp comment 'RDP xrdp'sudo ufw status numbered
Для первичного теста в закрытом стенде можно:
sudo ufw allow 3389/tcp comment 'RDP test'
Шаг 4. Настроить рабочую сессию
Если используете GNOME, создайте файл ~/.xsession:
echo 'gnome-session --session=ubuntu' > ~/.xsession
Для XFCE файл уже создан выше. Убедитесь, что он существует у нужного пользователя:
ls -l ~/.xsession
Шаг 5. Перезапуск и подключение
sudo systemctl restart xrdp
- Подключайтесь клиентом RDP к IP сервера.
- Вводите системное имя пользователя и пароль (те же, что для входа в Ubuntu).
Шаг 6. Диагностика типичных проблем
- Чёрный экран или мгновенный выход:
- Убедитесь, что установлен xorgxrdp (ставится вместе с xrdp).
- Проверьте, что в домашнем каталоге есть корректный ~/.xsession с gnome-session --session=ubuntu или startxfce4.
- Посмотрите логи:sudo tail -n 200 /var/log/xrdp.logsudo tail -n 200 /var/log/xrdp-sesman.log
- Спрашивает «аутентификацию админа» при старте приложений:
- Установите агент polkit для сеанса:
sudo apt install -y policykit-1-gnome
- Нужна смена порта RDP:
sudo sed -i 's/^port=.*/port=3390/' /etc/xrdp/xrdp.inisudo systemctl restart xrdpsudo ufw allow 3390/tcp comment 'RDP alt port'
Режим «только через SSH-туннель» (самый безопасный)
Оставьте RDP слушать только 127.0.0.1 и прокидывайте локальный порт через SSH.
Шаг 1. Ограничьте xrdp на localhost:
sudo sed -i 's/^address=.*/address=127.0.0.1/' /etc/xrdp/xrdp.inisudo systemctl restart xrdp
Шаг 2. Туннель с вашей рабочей машины:
ssh -L 3389:127.0.0.1:3389 user@IP_сервера
Теперь подключайтесь клиентом RDP к 127.0.0.1:3389. В UFW порт 3389 можно не открывать наружу.
Контрольная проверка
Проверка порта:
ss -ltnp | grep 3389 || sudo lsof -iTCP:3389 -sTCP:LISTEN
Проверка UFW:
sudo ufw status verbose
Проверка службы:
systemctl is-active xrdp && echo OK || echo FAIL
Рекомендации по безопасности
- Разрешайте RDP только с белых IP или через SSH-туннель.
- Отключайте правило, когда доступ не нужен:
sudo ufw delete allow 3389/tcp
- Используйте длинные пароли и при возможности отдельного пользователя для RDP-сеансов.
- Включите логирование UFW:
sudo ufw logging medium
Итог
- Для десктопной Ubuntu включите «Удалённый рабочий стол» в GNOME, откройте 3389 в UFW для своих IP и подключайтесь штатным RDP-клиентом.
- Для серверов и VPS используйте xrdp: установите окружение (GNOME или XFCE), создайте ~/.xsession, добавьте xrdp в ssl-cert, откройте порт из доверенных подсетей.
- Максимальная защита достигается при работе RDP через SSH-туннель без публикации порта наружу.
