wordpress hosting - vpn - cloud - statistiekservice - email

Categorie op Security

Nextcloud en Passman als (veilig) alternatief voor LastPass

Nextcloud Logo

Wachtwoordmanager

Voor het gebruik van een (centrale) wachtwoordmanager is veel te zeggen. Op al je devices één plek met als je logins en wachtwoorden kan heel veilig zijn. Ook kan een wachtwoordmanager sterkte wachtwoorden genereren en opslaan die je niet hoeft te onthouden terwijl je wel gewoon overal kan inloggen. 

Tot voor kort was er eentje die ik zelf ook gebruikte en vele met mij, LastPass.

Echter LastPass is overgenomen door een LogMeIn en dat bedrijf heeft een erg twijfelachtige reputatie. Daarnaast wil LogMeIn allerlei functionaliteit toevoegen aan LastPass waardoor er twijfel is over de betrouwbaarheid maar nog meer over de veiligheid. Kortom, tijd om LastPass te laten voor wat het is en op zoek te gaan naar een alternatief.

Alternatief

LinuxPro is onlangs voor de Cloud dienst overgestapt op Nextcloud en heeft de Passman applicatie daarmee beschikbaar gestelt voor een groter publiek. Het gebruik van de LinuxPro Cloud en Passman is overigens gewoon gratis en draait op servers in een nederlands datacenter (GlobalSwitch)

Aanmelden

Meld je aan op https://cloud.linuxpro.nl Dat is eenvoudig, vul je emailadres in en je ontvangt op het door je opgegeven emailadres een link waarmee je je account kan activeren. Naast Passman heb je ook beschikking over oa. een agenda, adresboek en bestandsopslag. Al deze diensten kan je benaderen via de website, via de Owncloud app (iOS en Android) en je kan bijv. de agenda op je smartphone gebruiken of je vakantiefoto's delen met anderen al dan niet beveiligd met een wachtwoord of verloopdatum.

Passman

Na het inloggen kies je het sleutelsymbooltje om een wachtwoordkluis aan te maken. Deze kluis komt dan ge-encrypt op onze server. Door de versleutelingis de data voor niemand te gebruiken behalve door jezelf.  Maak een kluis aan, geef 'm een naam en vergeet vooral je passphrase niet. Je kan ook je aanwezige inlogs vanuit LassPass exporteren naar een csv bestand en dat vervolgens in Passman inlezen. Je hebt dan 1x al je al aanwezige logins en wachtwoorden beschikbaar in Passman. 

Extensie

Voor oa. Google Chrome is de gratis Passman extensie beschikbaar waardoor je eigenlijk dezelfde functionaliteit terug hebt als met LastPass, enige verschil is dat je nu een door jezelf aangemaakte wachtwoordkluis gebruikt die draait op een server in Nederland en er verder niemand bij jouw data kan anders dan jijzelf. Wel zo'n prettig gevoel

firewalld als opvolger van iptables

Het oude iptables is vervangen door oa. Fedora door firewalld. Een van de redenen is omdat het laden van een nieuwe firewall configuratie met iptables een restart van de firewall en daarmee mogelijk allerlei bestaande verbindingen verbrak. Daarnaast ondersteund firewalld 'zones' wat handig kan zijn als gebruik gemaakt wordt van een notebook of andere mobiele apparaten. Je kan door zones te gebruiken een andere firewall ruleset gebruiken op 't werk dan thuis.

Hier een paar handige commando's voor firewalld:

Lijst met actieve zones:

firewall-cmd --get-active-zones

Voeg een interface toe aan een zone:

firewall-cmd --zone=[zone] --add-interface=[interface]

Lijst met services in zone public:

firewall-cmd --zone=public --list-all

Laat in zone public permanent verkeer toe op poort 80 (http):

firewall-cmd --permanent --zone=public --add-port=80/tcp

Laat in zone public permanent verkeer toe naar samba:

firewall-cmd --permanent --zone=public --add-port=80/tcp

Stel de standaard zone in op home:

firewall-cmd --set-default-zone=home --add-service=samba

Portforwarding voorbeeld (stuur SSH tcp verkeer van port 22 door naar ip 10.0.0.1 naar port 3753:

firewall-cmd --zone=external --add-forward-port=port=22:proto=tcp:toport=3753:toaddr=10.0.0.1

Herstarten na wijzingingen is niet nodig, een reload is voldoende: firewall-cmd --reload

 

Er is een zgn. panic mode voor 't geval je snel al het netwerkverkeer wilt blokkeren ten tijde van bijvoorbeeld een ddos aanval:

Zet de panic mode aan: firewall-cmd --panic-on

Zet de panic mode uit: firewall-cmd --panic-off

Query tijdens de panic mode: firewall-cmd --query-panic

Two way authorisatie voor SSH

google authenicator

Google heeft de google-authenticator beschikbaar gesteld. Hiermee kan niet alleen voor Google’s eigen diensten maar ook voor je eigen server twee weg authenticatie ofwel two-way authentication geactiveerd worden. Dit gaat erg eenvoudig maar de toegevoegde security is aanzienlijk. Op je smartfone dien je gratis google-authenticator app te installeren. Die is er voor oa. IOS en Android.

Download of installeer het google-authenticator package (beschikbaar in de epel repository voor RedHat/CentOS ed). Draai als gebruiker waarvoor de two way authenticatie geactiveerd moet worden google-authenticator.

Na een paar vragen wordt een QR code getoond en deze scan je m.b.v. de Google Authenticator APP in.

Configuratie PAM

In /etc/pam.d voeg aan sshd de volgende regel toe aan het einde toe:

    auth required pam_google_authenticator.so

Configuratie SSH daemon

In /etc/ssh/sshd_config moet de volgende regel komen te staan:

    ChallengeResponseAuthentication yes

Hierna moet de ssh daemon worden herstart: systemctl restart sshd

Hierna zal de gebruiker die in wil loggen middels SSH en waar Google Authenticator voor is geconfigureerd eerst de vraag voor zijn password en daarna voor zijn Verification Code. Dit is het getal wat getoond wordt voor de betreffende host in de APP.

   ssh marcw@hyena.linuxpro.nl
   Password: 
   Verification code: 
   
   Last login: .... from xx.xx.xx.xxx
   [marcw@hyena ~]$

SELinux tips

andere locatie voor webpagina's

Als SELINUX in enforced mode draait dan kunnen homepage's van gebruikers op een andere locatie dan de standaardlocatie een error 403 Forbinnden opleveren. In dat geval moet die directory, in dit voorbeeld ~/public_html de juiste context meekrijgen. Dat kan worden gedaan door:

 chcon -R -t httpd_user_content_t public_html/

Met ls -Z -d ~/public_html kan de context worden bekeken:

Voor de wijziging:

 drwxrwxr-x auser auser user_u:object_r:user_home_t public_html

en na de wijziging:

  1. rw-rw-r

Mocht er hierna nog foutmeldingen komen dan kan het nodig zijn om

setsebool -P httpd_enable_homedirs true 

te geven.

 

website's voor Apache in een andere directory

Maak een directory aan voor de websites, bijvoorbeel /virtual_hosts met mkdir /virtual_hosts. Als SELINUX draait zullen websites die daar draaien niet opgeroepen kunnen worden en zal Apache een Access Denied melding geven. Dat kan op de volgende manier worden opgelost:

semanage fcontext -a -t httpd_sys_content_t '/virtual_hosts(/.*)?'
restonecon -RFvv /virtual_hosts

Controleer met ls -Zd /virtual_hosts of de content nu goed staat.

samba

Om samba met SELINUX enabled te draaien als domain controller wordt het volgende commando gegeven:

 setsebool -P samba_domain_controller on

Om homedir's in samba te kunnen sharen:

 setsebool -P samba_enable_home_dirs on

Als een nieuwe directory wordt gemaakt als top-level voor een nieuwe share:

 chcon -t samba_share_t /path/to/directory

Use the

samba_export_all_ro

of

samba_export_all_rw

Boolean to share system directories. To share such directories and only allow read-only permissions:

 setsebool -P samba_export_all_ro on

To share such directories and allow read and write permissions:

 setsebool -P samba_export_all_rw on

toegang tot een bepaalde poort

 semanage port -a -t http_port_t -p tcp 8181