Categorie op Algemeen

Het is eenvoudiger geworden om je email-programma zoals Thunderbird in te stellen voor je email-account. Door een aanpassing in de DNS (naamserver) zal oa. Thunderbird automatisch de juiste servers voor je vinden en invullen. Je hoeft alleen nog je gebruikersnaam en wachtwoord aan te vullen en je kan van email gebruik maken.

Om er voor te zorgen dat jouw email ook jouw email is en blijft slaat LinuxPro je email ge-encrypt op en is dus niet leesbaar voor ons of anderen. Dit in tegenstelling tot wat bij veel andere email-aanbieders het geval is.

Dat het werk als systeembeheerder veranderd is niet iets echt nieuws, alhoewel… Was het voorheen voldoende om je certificeringen bij te houden en de nieuwe technieken onder de knie te krijgen is er nu een geheel nieuwe verandering. Een inhoudelijke, waar voor een deel nog steeds systemen worden ge-update en keurig netjes met grote regelmaat worden gepatched zie je een niet meer te stoppen ontwikkeling.

In de huidige omgeving vind je vaak een gevirtualiseerde servers op een VMware ESX cluster. Op die servers draaien de applicaties. Voor die applicaties wordt de server zo ingericht dat deze kan draaien. Denk aan minimale hoeveelheid RAM, aanwezigheid van genoeg netwerkinterfaces, storage en dat soort dingen. De applicatie is dus eigenlijk de laatste schakel die niet gevirtualiseerd is.

Docker

Met de komt van Docker en dergelijke technieken worden applicaties in een zgn. container gedraaid. Een groot voordeel hiervan is dat zodra je Docker omgeving hebt draaien (en dat kan op bijv. Linux maar ook op Windows) de container er op los kan laten en je applicatie draait. Een update v/d applicatie is niet meer een proces om per server deze te updaten. Op de, tadaaa, magic-word: DevOps omgeving wordt een nieuwe image gemaakt van de applicatie en vervolgens kan deze, uiteraard geautomatiseerd, over alle Docker omgevingen worden geupdate. Het risico dat de update op de ene omgeving wel draait en op de andere niet is nagenoeg nul. Je draait de applicatie container tenslotte op een generieke Docker omgeving.

Ook die Docker omgeving zal niet met hand worden genstalleerd per server. Ook dat kan aan de hand van een template middels bijvoorbeeld VMware’s VRA. In deze omgeving maak je een template met alle eigenschappen die je wilt en middels de geautomatiseerde omgeving rol je servers uit. Of dat nou op een VMWare ESX cluster is of in de cloud, dat is om het even. Ook de schaalbaarheid wordt door de komst van Docker een stuk eenvoudiger. Trekt een website voor een bepaalde tijd veel meer bezoekers? Er kan geheel geautomatiseerd een handvol virtuele servers met Docker worden opgebracht. Hiervoor moet natuurlijk wel de benodigde infra aanwezig zijn maar… capaciteitsmanagement en schaalbaarheid krijgen nieuwe dimensies.

Templates

Waar je als systeembeheerder veel bezig was met uitrollen, updaten, patchen en het oplossen van verstoringen verschuift dat naar een soort van technisch template manager. Met templates maak en onderhoud je je serverpark. Een update? Dat is geen kwestie meer van server per server als dan niet geautomatiseerd patchen. Je update je template, test deze met de applicatie image op Docker en als dat werkt vervang je eigenlijk de verouderde of de te pachen servers door servers aan de hand van de geupdate template en middels Docker worden de applicaties uitgerold. Je vervangt dus een server door een nieuwere met de bestaande (of ook geupdate) applicatie-container. Dat is wezenlijk anders dan het traditionele systeembeheer. Deze methode wordt al jaren door grote internetgiganten zoals Google, Facebook en Netfix gebruikt.

Veranderingen

Al dit bovenstaande houdt in dat je naast de kennis van het besturingssysteem nu ook kennis moet vergaren van het werken met bijv. Docker of gelijksoortige technieken. Managers moeten daar ook kennis van op doen want traditionele methodes met maandelijkse patch-rondes, OTAP omgevingen (Ontwikkel, Test, Acceptatie en Productie) gaan allemaal op de schop. De veel gebruikte kreet DevOps een agile manier van werken in plaats van de traditionele manier wordt hiervoor vaak gebruikt. DevOps is niet we doen het hetzelfde op een andere manier, het is een andere manier van denken en een geheel andere manier van inrichten van processen gericht op samenwerking tussen de verschillende afdelingen i.p.v. eilandjes (afdeling netwerk, systeembeheer, storage, infra e.d.) en moet, wil het succesvol zijn door alle lagen van de organisatie worden gedragen. Het simpel wijzigen van de benaming werkoverleg naar stand-up is dat dus niet. Tijdens het traditionele werkoverleg zit een afdeling bij elkaar, bij een standup verdwijnt de afdelingsgrens en komen mensen kort bij elkaar, meestal dagelijks, om kort te bespreken hoever met staat met een bepaalde taak, of er issues zijn en wat de komende dag gaat gebeuren. Het kan dus heel goed zijn dat zo’n standup een wisselende samenstelling heeft om een bepaalde taak (in Scrum een sprint genoemd) te volbrengen. Zo kan er iemand van infra bij komen staan als er bijv. issues zijn met het netwerk of firewall en iemand van finance als het gaat om of een bepaalde taak wel rendabel is voor het bedrijf.

Conclusie

Het systeembeheer is aan het veranderen, in het ene bedrijf gaat dat sneller dan het andere en ook bij de overheden zie je deze ontwikkeling. Door mijn werk als consultant zie je wisselende resultaten. Deze veranderingen, deze nieuwe manier van kijken naar hoe je je werk zo efficient en goed mogelijk kan doen is voor mij in ieder geval een grote motivator en reden dat ik mijn werk zo leuk vind.

Extra veiligheid

Het opslaan van email op een mailserver kan op een aantal manier gebeuren. LinuxPro slaat met ingang van vandaag email op middels encryptie.

Waarom

Mocht de backup van de email of de email-server gecompromitteerd worden (gehackt in populaire woorden) dan kan men niet zonder meer je email-berichten lezen.

Wat merk je er van

Voor de gebruiker gebeurd dit geheel transparant, je merkt er dus niets van. Bestaande email wordt niet automatisch ge-encrypt, alle binnenkomende email wel. Als je email verplaatst van map van bijvoorbeeld de Inbox naar de map Bewaren (als je die hebt aangemaakt) wordt bestaande email tijdens deze verplaats actie meteen ge-encrypt.

Wat kan je zelf doen

Je blijft als gebruiker van email zelf verantwoordelijk wat er met je email op je notebook, tablet of phone gebeurd. Ook hier van manier voor om je email te beveiligen. Daarnaast maak je zelf regelmatig een backup van je email en zorg je er voor dat niemand behalve je zelf toegang hebt tot je notebook, tablet of phone. Gebruik bij voorkeur geen gezichtsherkenning (face-id) maar een lange PINcode, wachtwoordzin (passphrase) in plaats van een wachtwoord en/of een vingerafdruk. Verder update je regelmatig je app’s en uiteraard het besturingssysteem (iOS, Android, Linux of Windows)

We verwelkomen motorrijschool de Jong als nieuwe klant van LinuxPro. Deze motorrijbewijs specialist stond voor de keuze om een verouderde website te laten vernieuwen of voor een totaal nieuwe te gaan op basis van WordPress en koos voor het laatste. Niet in de laatste plaats ingegeven door het gemak wat WordPress biedt om een site te onderhouden maar ook vanwege de kosten.

De website biedt oa. volledige intergratie met Facebook en geeft (mobiele) bezoekers direct middels Whatsapp in contact te treden en uiteraard draait de website middels veilige https connectie. Kortom, welkom mijnheer de Jong.

Algemeen

Veilig gebruik van email door gebruik te maken van encryptie. Dat klinkt ingewikkeld maar dat hoeft het niet te zijn. Iedereen, particulier of zakelijke gebruiker, kan op vrij eenvoudige wijze voor twee dingen zorgen:

1. Dat de ontvanger grote zekerheid heeft dat een email afkomstig is van wie het afkomstig lijkt te zijn door een digitale handtekening
2. Dat het berichtenverkeer tussen de zender en ontvanger van email encrypted is zodat de berichten alleen gelezen kunnen worden door degeen aan wie de email gestuurd is. Mochten anderen de email in handen krijgen dan is deze onleesbaar.

Email wordt in leesbare tekst tussen emailservers verzonden. Internet providers, veiligheidsdiensten, kwaadwillenden en andere mensen met toegang tot deze data kunnen email dus eenvoudig meelezen. Er is immers geen enkele vorm van encryptie. Voor bedrijven maar ook voor bijvoorbeeld journalisten is dit een groot risico wat niet zelden onderschat wordt. Maar ook thuis kan encryptie prettig zijn, denk aan prive-emaill op de zaak waar de baas of een systeembeheerder met je email mee kan lezen.

Starten met encryptie

In deze uitleg wordt gebruik gemaakt van twee gratis verkrijgbare programma’s en een zodat dit geen hindernis hoeft te zijn. De programma’s zijn beschikbaar voor Windows, Apple MacOS en Linux. We gebruiken als email-programma Thunderbird wat ook in nederlands beschikbaar is met de Enigmail extensie en GnuPG voor encryptie

Starten met encryptie bestaat uit 3 stappen die hieronder worden uitgelegd:

1. Installatie Thunderbird

Het installeren van Thunderbird en het configureren ervan zodat je er email kan mee ontvangen en verzenden wordt hier niet uitgelegd. Dit verschilt van provider en bedrijf zo veel dat dit buiten de scope van dit artikel valt. Ben je LinuxPro gebruiker dan is er een pagina met de instellingen voor je email.

2. GnuPG installeren

Ga naar de downloadpagina van GnuPG en kies onder het kopje GnuPG binary releases voor jouw besturingssysteem de juiste versie. Voor Windows is er een versie die je op alle versies Windows (vanaf XP) kan installeren. Linux gebruikers hebben de keuze uit kant-en-klare pakketten geschikt voor nagenoeg alle Linux distributies. Ook voor Apple gebruikers is er een kant-en-klare versie beschikbaar. Download en installeer GnuPG met de default of standaard instellingen.

3. Enigma extensie toevoegen

Als Thunderbird is genstalleerd en je kan email verzenden en ontvangen dan is het tijd om de Enigma extensie te installeren.

Ga naar Thunderbird -> Extra’s en kies voor Add-ons en zoek naar Enigmail en installeer / activeer de extensie.

NB: Dit kan per versie Thunderbird en het gebruikte besturingssysteem iets afwijken.

Sleutelbeheer

De GnuPG of GPG encryptie werkt door het aanmaken van twee sleutels: een geheime sleutel die je niet met iemand deelt, veilig houdt en bijv. op een aparte usb stick (beveiligd!) bewaard als backup. De tweede sleutel is een publieke sleutel en zoals de naam al zegt die mag overal en met iedereen gedeeld worden. Er zijn ook zgn. keyservers waar je publieke sleutels kan delen of publieke sleutels van andere kan opzoeken.

Er moet dus nmalig per emailadres een sleutelpaar worden gemaakt. Dat is eenvoudig en kan via Enigmail door de installatie-wizard te gebruiken. Kies voor een voor jezelf makkelijk te onthouden passphrase maar wel eentje die uniek is en niet te gokken of raden valt door anderen.

Het gebruik van email met encryptie

Er zijn als je een email wilt versturen twee opties bijgekomen. Met de ene optie, het icoon met het potloodje kan een email ondertekend worden. Dit geeft de ontvanger meer zekerheid dat de email van jou afkomstig is maar zal de inhoud van de email niet encrypten.

De tweede optie die er bij gekomen is het slotje, als dit geactiveerd is/wordt zal je email worden encrypted. Dit kan overigens alleen als je de publieke sleutel van de ontvanger hebt gekregen of via een keyserver hebt opgezocht en in het sleutelbeheer van Enigmail hebt geimporteerd.

Als ge-encrypte email wordt ontvangen zal Thunderbird dit automatisch zien en vragen om de passphrase van je geheime sleutel. Onthoud deze passphrase dus goed.

Hulp nodig?

Wil je als particulier of bedrijf met encryptie en dus veiliger gebruik willen maken van email maar heb je hulp nodig? Geen probleem, LinuxPro biedt deze hulp aan, neem even contact op voor de mogelijkheden.