Extra beveiliging voor Linux Mint

About

Extra beveiliging voor Linux Mint

In het Linux Magazine kon je al een workshop volgen om Linux Mint te beveiligen. Daarvoor heb je nauwelijks extra software nodig, tenzij je erg specifieke eisen hebt. We stellen je hier twee tools voor om Mints beveiligingsarsenaal verder uit te breiden: Firejail en zuluCrypt.

Filip Vervloesem

Firejail

Onder Linux is de firewall qua opzet vooral geschikt om servers te beveiligen. Je stelt dan regels op per service (op basis van het poortnummer), al dan niet voor specifieke bron- en doeladressen. In een desktopomgeving is het niet erg handig om per protocol of IP-adres in te stellen welke netwerkverbindingen je toelaat en welke niet. Wil je bijvoorbeeld een applicatie testen die volgens jou niets te zoeken heeft op internet? Dan zou je liefst van al uitsluitend die applicatie geen netwerktoegang geven. Dat is precies wat Firejail doet, maar de mogelijkheden gaan nog verder. Met Firejail start je applicaties namelijk op in een afgeschermde omgeving met beperkte toegang tot de rest van je systeem. De installatie is niet moeilijk: open Programmabeheer en installeer het pakket “firetools”. (Het pakket “firejail” bevat enkel Firejails commandline interface.) Start Firetools vervolgens via Menu > Beheer. In het hoofdvenster zie je een aantal icoontjes om populaire programma’s te starten via Firejail. Let op: in dit venster moet je dubbelklikken op de icoontjes om ze te activeren! Via het icoontje linksboven krijg je een overzicht van alle actieve processen die gestart zijn via Firejail.

Wizard

Wil je een andere applicatie starten of de precieze beperkingen zélf instellen, open dan de configuratiewizard via het icoontje met toverstaf. Eerst kies je de applicatie om te starten. Dat kan op drie manieren:

  1. Via één van de presets in de lijst (een beperkte lijst, die ook nog eens tamelijk verouderd oogt).
  2. Door te bladeren in het bestandssysteem (maar dan moet je al weten waar de binary van het programma staat).
  3. Door de naam ervan in te vullen.

Ken je het exacte commando niet om een programma te starten? Klik dan rechts op het Mint-menu in de taakbalk, kies “Instellen…” en klik in het Menu-tabblad op “De menubewerker openen”. Zoek daarin het gewenste programma, dubbelklik erop om het item te openen en kopieer de tekst van het “Opdracht”-vak naar de Firetools-wizard. Vervolgens kies je optie 2 in de wizard om een aangepast beveilingsprofiel in te stellen voor het programma. In de twee volgende vensters kun je naar wens de toegang beperken tot bepaalde delen van jouw homedirectory, netwerkfunctionaliteit volledig uitschakelen, het gebruik van specifieke dns-servers afdwingen, geluid of de webcam uitschakelen, enzovoorts. Klik tot slot op Done om het programma in de afgeschermde omgeving te starten.

Firetools bevat een eenvoudige wizard voor Firejail.
Firejail blokkeert hier de netwerktoegang voor Rhythmbox.

Spijtig genoeg moet je voor meer geavanceerde functies nog altijd op de commandline terugvallen. Wil je bijvoorbeeld aparte firewall-regels opstellen per applicatie of snelkoppelingen maken om bepaalde apps steevast via Firejail op te starten? Dan moet je je verdiepen in de syntax van het firejail-commando en de firejail-configuratiebestanden.

zuluCrypt

Koppel je een versleutelde schijf aan, dan vraagt Linux Mint je automatisch om het wachtwoord. De Schijven-applicatie bevat ook functionaliteit om dergelijke versleutelde schijven aan te maken. Wil je iets meer mogelijkheden qua versleuteling, installeer dan zuluCrypt via het pakket “zulucrypt-gui”. Optioneel kun je ook zuluMount installeren (pakket zulumount-gui). Dat is een grafische mount manager waarmee je makkelijk versleutelde apparaten of bestanden mount, al heb je die in Linux Mint in principe niet nodig. Beide applicaties vind je na installatie terug in Menu > Beheer. Het voordeel van zuluCrypt is dat het verschillende opties aanbiedt waarvoor je normaalgezien moet terugvallen op de commandline. We overlopen ze kort met jou.

In het zC-menu vind je onder andere opties om een individueel bestand te versleutelen of te ontsleutelen. Dat is niet de meest gangbare manier van werken onder Linux, waar je meestal een volledig volume versleutelt. Zo’n volume bewaar je vervolgens rechtstreeks op een schijf (bijvoorbeeld een usb-stick of externe harde schijf) of als virtueel schijfbestand in een bestaand, onversleuteld bestandssysteem. Maar dat is misschien wat overkill om slecht één bestand te beveiligen. In zuluCrypt heb je dus een alternatief voor versleutelde volumes.

Data versleutelen

Via het Open-menu kun je versleutelde volumes openen, maar dat is ook prima mogelijk met Linux Mint’s bestandsbeheerder. Interessanter zijn de mogelijkheden in het Create-menu. Daarmee maak je een versleuteld volume aan op een schijf of in een bestand, maar ook bijvoorbeeld een keyfile. Die keyfile kun je nadien gebruiken om een volume te versleutelen in combinatie met een wachtwoord. Dat is een extra beveilingslaag. Het volstaat dan niet meer om jouw wachtwoord te ontfutselen, maar je hebt ook de keyfile nodig om het volume te ontsleutelen. Zodra je volumes versleutelt met aangepaste instellingen via zuluCrypt, is het wel mogelijk dat Linux Mint’s bestandbeheerder ze niet meer correct kan openen. In dat geval open je ze best met zuluCrypt. Controleer in ieder steeds of je een versleuteld volume na een reboot nog kunt openen vooraleer je data begint te kopiëren. Gebruik je keyfiles om de volumes te ontsleutelen, vergeet dan ook niet om een back-up ervan te maken op een veilige plaats!

ZuluCrypt biedt erg uitgebreide opties om volumes te versleutelen.

Meerdere keys

Een andere geavanceerde optie is het gebruik van verschillende encryptiesleutels voor hetzelfde volume. Dat heb je bijvoorbeeld nodig als je een versleutelde USB-stick met meerdere mensen wilt delen. Je kunt natuurlijk iedereen vertellen wat het wachtwoord is, maar dat heeft zo zijn nadelen. Zodra iemand zijn mond voorbij praat, weet je niet meer wie er allemaal toegang heeft tot de data. In zulke gevallen stel je beter een verschillend wachtwoord in voor elke gebruiker. Op die manier kun je nadien eenvoudig de toegang afnemen van bepaalde gebruikers of net nieuwe gebruikers toevoegen. Is een bepaald wachtwoord uitgelekt, dan verwijder je dat gewoon van het volume! In zuluCrypt vind je die functionaliteit terug in het Volumes-menu.

Met zuluCrypt beheer je eenvoudig meerdere wachtwoorden voor één volume.

Erg veilig

Linux Mint is van zichzelf al erg veilig. De kans is klein dat je extra tools nodig hebt om jouw systeem voldoende te beveiligen. Toch bestaan er wel degelijke extra beveilingstools. We hebben er hier twee voorgesteld: Firejail om onbetrouwbare software met beperkte toegangsrechten te starten en zuluCrypt voor geavanceerde encryptiemogelijkheden. Heb jij nog een andere favoriete beveilingstool onder Linux? Laat het ons weten via redactie@linuxmag.nl!

 

Share
November 2024
December 2024
No event found!

Related Topics