Nou ja, slager… Het overkwam mij dat ik als root een bestand uit /etc niet verwijderd kreeg. In plaats daarvan kreeg ik een ‘Operation not permitted‘ Eerst gekeken met lsof of het bestand door een proces in gebruik was maar dat was niet het geval.

Wat iemand gedaan had was met chattr +i het bestand immutable (onveranderlijk) gemaakt. De oplossing is simpel, geef een chattr -i <bestandsnaam> en ik was in staat om het bestand te verwijden.

Met lsattr kunnen de attributen worden opgevraagd.

Het zijn voor mij in ieder geval tooltjes die ik zelden tot nooit gebruik maar waar je in een klantenomgeving zo maar tegen aan kan lopen.

Algemeen

Veilig gebruik van email door gebruik te maken van encryptie. Dat klinkt ingewikkeld maar dat hoeft het niet te zijn. Iedereen, particulier of zakelijke gebruiker, kan op vrij eenvoudige wijze voor twee dingen zorgen:

1. Dat de ontvanger grote zekerheid heeft dat een email afkomstig is van wie het afkomstig lijkt te zijn door een digitale handtekening
2. Dat het berichtenverkeer tussen de zender en ontvanger van email encrypted is zodat de berichten alleen gelezen kunnen worden door degeen aan wie de email gestuurd is. Mochten anderen de email in handen krijgen dan is deze onleesbaar.

Email wordt in leesbare tekst tussen emailservers verzonden. Internet providers, veiligheidsdiensten, kwaadwillenden en andere mensen met toegang tot deze data kunnen email dus eenvoudig meelezen. Er is immers geen enkele vorm van encryptie. Voor bedrijven maar ook voor bijvoorbeeld journalisten is dit een groot risico wat niet zelden onderschat wordt. Maar ook thuis kan encryptie prettig zijn, denk aan prive-emaill op de zaak waar de baas of een systeembeheerder met je email mee kan lezen.

Starten met encryptie

In deze uitleg wordt gebruik gemaakt van twee gratis verkrijgbare programma’s en een zodat dit geen hindernis hoeft te zijn. De programma’s zijn beschikbaar voor Windows, Apple MacOS en Linux. We gebruiken als email-programma Thunderbird wat ook in nederlands beschikbaar is met de Enigmail extensie en GnuPG voor encryptie

Starten met encryptie bestaat uit 3 stappen die hieronder worden uitgelegd:

1. Installatie Thunderbird

Het installeren van Thunderbird en het configureren ervan zodat je er email kan mee ontvangen en verzenden wordt hier niet uitgelegd. Dit verschilt van provider en bedrijf zo veel dat dit buiten de scope van dit artikel valt. Ben je LinuxPro gebruiker dan is er een pagina met de instellingen voor je email.

2. GnuPG installeren

Ga naar de downloadpagina van GnuPG en kies onder het kopje GnuPG binary releases voor jouw besturingssysteem de juiste versie. Voor Windows is er een versie die je op alle versies Windows (vanaf XP) kan installeren. Linux gebruikers hebben de keuze uit kant-en-klare pakketten geschikt voor nagenoeg alle Linux distributies. Ook voor Apple gebruikers is er een kant-en-klare versie beschikbaar. Download en installeer GnuPG met de default of standaard instellingen.

3. Enigma extensie toevoegen

Als Thunderbird is genstalleerd en je kan email verzenden en ontvangen dan is het tijd om de Enigma extensie te installeren.

Ga naar Thunderbird -> Extra’s en kies voor Add-ons en zoek naar Enigmail en installeer / activeer de extensie.

NB: Dit kan per versie Thunderbird en het gebruikte besturingssysteem iets afwijken.

Sleutelbeheer

De GnuPG of GPG encryptie werkt door het aanmaken van twee sleutels: een geheime sleutel die je niet met iemand deelt, veilig houdt en bijv. op een aparte usb stick (beveiligd!) bewaard als backup. De tweede sleutel is een publieke sleutel en zoals de naam al zegt die mag overal en met iedereen gedeeld worden. Er zijn ook zgn. keyservers waar je publieke sleutels kan delen of publieke sleutels van andere kan opzoeken.

Er moet dus nmalig per emailadres een sleutelpaar worden gemaakt. Dat is eenvoudig en kan via Enigmail door de installatie-wizard te gebruiken. Kies voor een voor jezelf makkelijk te onthouden passphrase maar wel eentje die uniek is en niet te gokken of raden valt door anderen.

Het gebruik van email met encryptie

Er zijn als je een email wilt versturen twee opties bijgekomen. Met de ene optie, het icoon met het potloodje kan een email ondertekend worden. Dit geeft de ontvanger meer zekerheid dat de email van jou afkomstig is maar zal de inhoud van de email niet encrypten.

De tweede optie die er bij gekomen is het slotje, als dit geactiveerd is/wordt zal je email worden encrypted. Dit kan overigens alleen als je de publieke sleutel van de ontvanger hebt gekregen of via een keyserver hebt opgezocht en in het sleutelbeheer van Enigmail hebt geimporteerd.

Als ge-encrypte email wordt ontvangen zal Thunderbird dit automatisch zien en vragen om de passphrase van je geheime sleutel. Onthoud deze passphrase dus goed.

Hulp nodig?

Wil je als particulier of bedrijf met encryptie en dus veiliger gebruik willen maken van email maar heb je hulp nodig? Geen probleem, LinuxPro biedt deze hulp aan, neem even contact op voor de mogelijkheden.

Praktijkgevalletje: een gebruiker klaagt er over dat de ene keer hij zonder problemen met SSH een sessie kan opzetten naar een server, een andere keer volgt er een time-out en kan hij dus geen verbinding krijgen. De keer erop kan het soms weer probleemloos gaan. De server heeft zelf geen problemen, die draait, heeft het niet heel druk, er is geen volgelopen partitie of disk kortom op de server is de oorzaak van het probleem niet te vinden. Wel blijkt dat als de gebruiker wil inloggen en een time-out krijgt er in de logfiles op de server van die inlogpoging niets te vinden is. 

Later blijft dat hij met SSH een connectie naar de servernaam opzet: ssh user@server en dan blijkt dat de server met twee ipadressen in de DNS beheertool staat maar de server maar één actieve netwerkinterface heeft. Na het verwijderen uit de DNS van het niet in gebruikzijnde ipadres was het probleem verholpen. 

Wachtwoordmanager

Voor het gebruik van een (centrale) wachtwoordmanager is veel te zeggen. Op al je devices één plek met als je logins en wachtwoorden kan heel veilig zijn. Ook kan een wachtwoordmanager sterkte wachtwoorden genereren en opslaan die je niet hoeft te onthouden terwijl je wel gewoon overal kan inloggen. 

Tot voor kort was er eentje die ik zelf ook gebruikte en vele met mij, LastPass.

Echter LastPass is overgenomen door een LogMeIn en dat bedrijf heeft een erg twijfelachtige reputatie. Daarnaast wil LogMeIn allerlei functionaliteit toevoegen aan LastPass waardoor er twijfel is over de betrouwbaarheid maar nog meer over de veiligheid. Kortom, tijd om LastPass te laten voor wat het is en op zoek te gaan naar een alternatief.

Alternatief

LinuxPro is onlangs voor de Cloud dienst overgestapt op Nextcloud en heeft de Passman applicatie daarmee beschikbaar gestelt voor een groter publiek. Het gebruik van de LinuxPro Cloud en Passman is overigens gewoon gratis en draait op servers in een nederlands datacenter (GlobalSwitch)

Aanmelden

Meld je aan op https://cloud.linuxpro.nl Dat is eenvoudig, vul je emailadres in en je ontvangt op het door je opgegeven emailadres een link waarmee je je account kan activeren. Naast Passman heb je ook beschikking over oa. een agenda, adresboek en bestandsopslag. Al deze diensten kan je benaderen via de website, via de Owncloud app (iOS en Android) en je kan bijv. de agenda op je smartphone gebruiken of je vakantiefoto's delen met anderen al dan niet beveiligd met een wachtwoord of verloopdatum.

Passman

Na het inloggen kies je het sleutelsymbooltje om een wachtwoordkluis aan te maken. Deze kluis komt dan ge-encrypt op onze server. Door de versleutelingis de data voor niemand te gebruiken behalve door jezelf.  Maak een kluis aan, geef 'm een naam en vergeet vooral je passphrase niet. Je kan ook je aanwezige inlogs vanuit LassPass exporteren naar een csv bestand en dat vervolgens in Passman inlezen. Je hebt dan 1x al je al aanwezige logins en wachtwoorden beschikbaar in Passman. 

Extensie

Voor oa. Google Chrome is de gratis Passman extensie beschikbaar waardoor je eigenlijk dezelfde functionaliteit terug hebt als met LastPass, enige verschil is dat je nu een door jezelf aangemaakte wachtwoordkluis gebruikt die draait op een server in Nederland en er verder niemand bij jouw data kan anders dan jijzelf. Wel zo'n prettig gevoel

Gebeurd het je wel 's dat je op een server bent ingelogd en de connectie wordt verbroken en je bent wat je aan het doe was kwijt of bestanden raken beschadigd? Dan wordt het tijd voor een ondergewaardeerde maar oh zo handige tool: screen

Log in op de server, start screen door screen te tikken en je terminal is als het ware een apart proces op de server geworden en draait door ook als is je ssh/putty sessie verbroken. Log opnieuw in, attach je screen sessie en je zal zien dat wat je ook draaide, gewoon is doorgegaan en je kan de draad weer oppakken. Je kan ook als je in een screen sessie zit deze detachen (loslaten) en een andere beginnen. Je kan ook door diverse lopende screen sessie heen bladeren. Hoe? Dat vertei ik je hieronder. 

screen -ls : Opvragen van lopende screen sessies
screen -r <pid.tty> : re-attach een screen sessie, geef je geen pid.tty op (via screen -ls) dan wordt de eerte screen sessie gebruikt

In een screen sessie kan je daarnaast de volgende commando's gebruiken:

<Ctrl> a c : start een nieuwe screen sessie in screen 

<Ctrl> a n : loop door screen sessies heen 

<Ctrl> a d : de-attach screen, keer terug naar de 'normale' terminal prompt (de screen sessie lopen uiteraard door)

<Ctrl> a h : log wat er gebeurd in screen

<Ctrl> a x : lock een screen sessie zodat niet iemand anders 'm kan overnemen 

<Ctrl> a k : kill screen sessie, er wordt om een bevestiging gevraagd, gewoon exit typen kan overigens ook.