web analytics

Hoe je Linux desktop nog meer beveiligen

Print Friendly, PDF & Email

Draai je Linux omdat je denkt dat het veiliger dan Windows? Denk daar toch eens goed over na.

Tuurlijk, bij Linux is de veiligheid ingebouwd (en er niet achteraf opgekleefd) en die aanpak trekt zich door van de diep in Kernel tot aan de desktop, maar er is nog genoeg ruimte om iemand ongemerkt door je /home folder te laten kuieren.

Linux mag dan wel ongevoelig zijn voor virussen en wormen voor Windows, maar die malware is maar een klein onderdeel van de grote boze www-wereld. Digitale inbrekers hebben immers een heel arsenaal aan ideeën in hun trukendoos om aan de bits-and-bytes te geraken, van je laatste selfie, tot en met je kredietkaart gegevens.

Computers die verbonden zijn met het Internet – en dat zijn ze op enkele na, allemaal – zijn degene die het meest blootgesteld zijn aan die aanvallen. Maar ook die ene laptop die nog nooit op het internet is geweest en waarvan je net, zonder argwaan, de oude kapotte harde schijf van de hand hebt gedaan, is een potentiële informatiebron voor derden. Niet doen dus…
Met al die data-recovery-tools die vandaag ter beschikking zijn – de meesten als gratis download te verkrijgen – speelt het gewoonweg geen rol meer welk OS je gebruikt op je schijf. Als er gegevens op staan, corrupt of niet, kunnen die worden teruggevonden, om zo je chat logs terug te lezen, je bankgegevens samen te stellen, en die ene ongepaste foto voor iedereen te grabbel te gooien.

Dat doet je nu natuurlijk wel effe slikken, maar het goede nieuws dat je helemaal niet holderdebolder moet stoppen met je computer te gebruiken.

Alhoewel het quasi onmogelijk is een machine, verbonden met het Internet, ondoordringbaar te maken voor aanvallen, kan je de taak voor de aanvaller best lastig maken en zorgen dat ze er te lang moeten overdoen om de deur te openen en dus bij de buur gaan shoppen, of indien ze binnen zijn, ze niks interessants vinden op het gecompromitteerd systeem.
Het leuke is dat het met Linux en bepaalde openbron software, nog niet eens veel moeite kost om je Linux systeem goed te beveiligen.

Er is wel geen magische regels in de beveiliging die op alle gevallen toepasbaar is en zelfs, al zou dat zo zijn, zou die nu al omzeild zijn.

Met veiligheid ben je permanent bezig.
Er moet constant aan gewerkt en bijgestuurd worden en ieder geval is bovendien een uniek geval.

De volgende tips en richtlijnen kunnen je helpen je Linux burcht minder gevoelig te maken voor aanvallen en dat is waar we naar toe streven. Bepaalde ervan doe je wellicht al, anderen zullen nieuw zijn.

In dit eerste deel gaan we enkel met de bestaande standaard tooltjes aan het werk. Er wordt geen extra software geïnstalleerd en die tips zijn door iedere beginnende gebruiker te doen.

Gebruik een sterk wachtwoord

Een wachtwoord is een heel speciaal iets voor de mens. Hij wil er eentje hebben dat gemakkelijk te onthouden is, niet te veel karakters telt en toch super sterk is.

Als je de volgende richtlijnen gebruikt, kan je dicht in de buurt komen van je ideale wachtwoord:

  • langer dan 8 karakters
  • maak een combinatie van
    • HOOFD- en kleine letters
    • cijfers
    • speciale tekens
  • gebruik geen ‘woordenboek woorden’
  • liever een ‘passphrase’ dan een ‘password’
  • gebruik niks dat aan jou kan gekoppeld worden zoals geboortedatums, nummerplaten auto, namen familie, werk of hobby.

Bekijk de onderstaande voorbeeld om je een idee te geven.

Als passphrase neem ik volgende zin: Ik herinner me nog altijd de eerste zin van het boek ‘De Bello Gallico’ dat ik heb moeten lezen op school in de lessen Latijn.
Deze zin is: Gallia est omnis divisa in partes tres, quarum unam incolunt Belgae, aliam Aquitani, tertiam qui ipsorum lingua Celtae, nostra Galli appellantur.
Ferm hé zulk een passphrase  😎

  1. Daarvan neem ik de eerste 11 woorden:
    Gallia est omnis divisa in partes tres, quarum unam incolunt Belgae
  2. Van ieder woord de eerste letter en de i vervang ik door 1 en de o door 0 en ik voeg op het einde nog een ! toe

Dat geeft Ge0d1pt,qu1B!

Ziet er moeilijk uit, maar voor mij simpel omdat ik nu eenmaal die zin goed onthouden heb.

Nee, dat is geen van mijn bestaande wachtwoorden.  😆

Is dat nu een sterk wachtwoord?

2014-08-16-Selectie_001

Hopelijk heb je hier wat ideetjes opgestoken om je wachtwoord wat sterker te maken.

Blijf up to date met je veiligheidsupdates

2014-08-14-Software & Updates_003

Tja, als je dat al niet doet, dan moet je wellicht niet verder lezen.

Alle Linux distro’s werken met een team van packagers (vrijwilligers of betaalde werknemers) die steeds werken om de kwetsbaarheden in de software voor te zijn. Als er een ‘veiligheidslek’ gevonden wordt, dan werken ze allen samen om het lek te dichten.

Je distro zal ook wel een softwarebron hebben die uitsluitend gereserveerd is voor veiligheidsupdates. Zorg dat deze aangevinkt is – normaal zal dat zo zijn per default – en zorg dat je ofwel de automatische updates laat uitvoeren, ofwel de manuele waar jij het startsein moet geven. De manuele keuze geniet mijn voorkeur, omdat je kan kijken welke veiligheidsupdates er aangeboden worden en je desnoods kan ingrijpen.
2014-08-14-Updatebeheer_002
Wat belangrijk is, is dat bij een kernel update bijna altijd een herstart van het systeem gevraagd wordt. Bij andere updates komt dat veel minder voor.

2014-08-14-Updatebeheer_004

Naast de updates die door de packagers aangeboden worden, biedt je distro meestal ook een maillinglijst over ‘security’ aan. Deze info is daar eerst, maar je moet dan wel zelf de patch aanbrengen als je niet kan wachten.

Zet ongewenste services uit

2014-08-13-Voorkeuren opstarttoepassingen_003
In een vorige post heb ik getoond hoe je de systeem services zichtbaar kan maken in het front-endje of waar je het desktop-bestand (.desktop) van de applicaties kan vinden, voor zowel de gebruiker als voor de root die bij het starten opgestart moeten worden.

Zoals je in het plaatje hierboven ziet, starten automatisch  een reeks diensten (services) op. Maar heb je wel al die services nodig?
Heb je wel Bluetooth nodig als je helemaal nooit met Bluetooth werkt, of als je desktop zelfs geen Bluetooth heeft?
Heb je Samba nodig om bestanden te delen met andere (Windows) computers, als je alleen bent op je netwerkje, of dat je er nooit gebruik van zal maken.

Services die draaien zijn vatbaar voor veiligheidsproblemen. Hoe minder je er draaiende hebt, des te minder risico je loopt op een lek dat kan uitgebuit worden.

Alvorens je een service uitzet door het uit te vinken in je opstartprogramma’s, moet je wel eens goed nagaan wat die service doet en wat de gevolgen zijn van deze uit te zetten.

Hieronder zie je dat ik twee diensten heb uitgezet: Het delen van bestanden en reservekopieobservatie.
2014-08-14-Voorkeuren opstarttoepassingen_005

Je beperkt root toegang best tot jezelf

2014-08-14-Gebruikersaccounts_007
De meeste distro’s laten vandaag niet meer toe dat je als root inlogt. En dat is goed ook. Wanneer je een taak moet uitvoeren die admin rechten nodig heeft, dan word je om een wachtwoord gevraagd. Dat kan irriterend lijken, maar de voordelen wegen niet op tegen de mogelijke schadelijke gevolgen. Op die manier wordt de gewone gebruiker mooi op afstand gehouden van de admin taken.
Bij het aanmaken van een extra gebruiker op je systeem, geef je hem het account type “Standaard”, zodat hij/zij geen admintaken kan uitvoeren.

Standaard worden alle gebruikers aangemaakt met ‘Desktop user’ rechten, maar kunnen geen software installeren noch instellingen veranderen die andere gebruikers zouden treffen.

Beveilig je /home folder

Op http://baudrez.be/home-folder-rechten/ heb ik getoond hoe je de rechten op je /home folder kan aanscherpen. Doen dus.

Conclusie

Met deze kleine aanpassingen maak je het een indringer al flink wat lastiger enerzijds, en door je te beperken in welke software je draait, ben je ook minder een doel voor malware.

In een volgend artikel gaan we eens kijken wat we nog kunnen doen. Je moet je wel realiseren dat wat we hier in dit artikeltje besproken geen impact heeft op je dagdagelijkse werking met je systeem, maar meer beveiligen zal ook met zich meebrengen dat je aan comfort zal inboeten. En dan moet je de afweging maken welke zaken je wel gaat implementeren en welke niet.

 

Beoordeling

Geef een reactie

%d bloggers liken dit: