Как скрыть от пользователей пароль для подключения к рабочему столу по RDP на Ubuntu 26.04?

Можно ли каким‑то способом скрыть от пользователя текущий пароль RDP‑подключения к его рабочему столу? Сейчас он может без труда увидеть его через Настройки системы\Общий доступ.
  • 14 июля 2026 г. 15:00
Ответы на вопрос 1
Короткий ответ — нет, скрыть от самого пользователя пароль, который хранится в его сессии GNOME/Keyring и показывается в "Настройки → Общий доступ", практически невозможно. Пользователь, у которого есть доступ к своему аккаунту, может прочитать те же настройки/ключи, что и интерфейс Settings (gsettings/dconf, keyring и т. п.). Поэтому если вам нужно, чтобы пользователь не видел секрет — нужно поменять архитектуру доступа, а не пытаться «заблокировать» просмотр на уровне его сессии.

Варианты решения и что можно сделать на практике

1) Перейти на системный RDP-сервер (аутентификация по учётной записи), а не на встроенный "Remote Desktop" GNOME
- Установите xrdp и отключите (или удалите) встроенный GNOME remote desktop. Тогда для подключения будут использоваться логин/пароль системного пользователя (PAM), а не единый секрет, который отображается в GUI.
  Пример:
  sudo apt update
  sudo apt install xrdp
  sudo systemctl enable --now xrdp
- Отключите GNOME remote desktop (по желанию):
  sudo apt remove gnome-remote-desktop
  (либо отключите через настройки/политику)
Плюс: пароль не показывается в Settings, потому что аутентификация идет по учётной записи.

2) Делать аутентификацию централизованно / на уровне администратора
- Настроить системный демон RDP с одним общесистемным паролем, который хранится и управляется администратором вне сессии пользователя.
- Или использовать VPN/SSH для доступа к рабочему столу, чтобы пользователь не видел «секрета» RDP.

3) Заставлять подтверждение соединения на физическом рабочем столе
- В GNOME Remote Desktop есть опция «Authorize on new connection» (подтверждение на рабочем столе). Тогда никто не подключится без согласия пользователя, и нет необходимости показывать постоянный пароль. (Это скорее смена модели безопасности, а не сокрытие пароля.)

4) Скрыть/удалить интерфейс «Общий доступ» от пользователей
- Можно запретить запуск приложения «Настройки» или скрыть раздел «Общий доступ» с помощью политик (polkit/dconf) или удалить пакет gnome-remote-desktop. Имейте в виду: это мешает пользователю включать/отключать шаринг вообще, но если у пользователя есть доступ к своему аккаунту, он всё равно сможет читать свои локальные ключи/файлы (в пределах своих прав).
- Политики dconf/locks можно использовать, чтобы запретить изменение конкретных ключей, но это обычно блокирует изменение, а не чтение — и не защитит от пользователя, у которого есть права в своей сессии.

Почему нельзя просто «спрятать» пароль
- Пароль хранится в среде пользователя (gnome-keyring, dconf и т. п.) и GUI просто отображает его. Любой пользователь с доступом к своему аккаунту может прочитать эти данные (через Settings, gsettings, seahorse/ключи и т. п.). Чтобы пользователь не видел секрет — он не должен иметь доступ к месту его хранения (т.е. секрет должен храниться вне его пользовательской сессии).

Рекомендация
- Если задача — управлять удалённым доступом централизованно для ряда рабочих станций/пользователей, внедрите системный RDP (xrdp) или централизованную систему удалённого управления (VNC через шлюз, RDP через терминальный сервер, TeamViewer/AnyDesk с централизованным управлением), либо требуйте входа по учётной записи (PAM/LDAP). Это самый надёжный и управляемый подход.

Если нужно, могу:
- подробно расписать установку и настройку xrdp под Ubuntu 26.04,
- показать, как полностью удалить/заблокировать GNOME Remote Desktop на машинах пользователей,
- или подсказать, какие ключи dconf/polkit можно менять, чтобы скрыть/ограничить доступ к разделу «Общий доступ».
Похожие вопросы