wordpress hosting - vpn - cloud - statistiekservice - email

Veilig emailen met encryptie

Veilig emailen met encryptie

gnupg

AlgemeenGniPG

Veilig gebruik van email door gebruik te maken van encryptie. Dat klinkt ingewikkeld maar dat hoeft het niet te zijn. Iedereen, particulier of zakelijke gebruiker, kan op vrij eenvoudige wijze voor twee dingen zorgen:

  1. Dat de ontvanger grote zekerheid heeft dat een email afkomstig is van wie het afkomstig lijkt te zijn door een digitale handtekening
  2. Dat het berichtenverkeer tussen de zender en ontvanger van email encrypted is zodat de berichten alleen gelezen kunnen worden door degeen aan wie de email gestuurd is. Mochten anderen de email in handen krijgen dan is deze onleesbaar.

Email wordt in leesbare tekst tussen emailservers verzonden. Internet providers, veiligheidsdiensten, kwaadwillenden en andere mensen met toegang tot deze data kunnen email dus eenvoudig meelezen. Er is immers geen enkele vorm van encryptie. Voor bedrijven maar ook voor bijvoorbeeld journalisten is dit een groot risico wat niet zelden onderschat wordt. Maar ook thuis kan encryptie prettig zijn, denk aan prive-emaill op de zaak waar de baas of een systeembeheerder met je email mee kan lezen.

Starten met encryptie

In deze uitleg wordt gebruik gemaakt van twee gratis verkrijgbare programma’s en een zodat dit geen hindernis hoeft te zijn. De programma’s zijn beschikbaar voor Windows, Apple MacOS en Linux. We gebruiken als email-programma Thunderbird wat ook in nederlands beschikbaar is met de Enigmail extensie en GnuPG voor encryptie

Starten met encryptie bestaat uit 3 stappen die hieronder worden uitgelegd:

1. Installatie ThunderbirdThunderbird

Het installeren van Thunderbird en het configureren ervan zodat je er email kan mee ontvangen en verzenden wordt hier niet uitgelegd. Dit verschilt van provider en bedrijf zo veel dat dit buiten de scope van dit artikel valt. Ben je LinuxPro gebruiker dan is er een pagina met de instellingen voor je email.

2. GnuPG installeren

Ga naar de downloadpagina van GnuPG en kies onder het kopje GnuPG binary releases voor jouw besturingssysteem de juiste versie. Voor Windows is er een versie die je op alle versies Windows (vanaf XP) kan installeren. Linux gebruikers hebben de keuze uit kant-en-klare pakketten geschikt voor nagenoeg alle Linux distributies. Ook voor Apple gebruikers is er een kant-en-klare versie beschikbaar. Download en installeer GnuPG met de default of standaard instellingen.

3. Enigma extensie toevoegen

Als Thunderbird is genstalleerd en je kan email verzenden en ontvangen dan is het tijd om de Enigma extensie te installeren.

Ga naar Thunderbird -> Extra’s en kies voor Add-ons en zoek naar Enigmail en installeer / activeer de extensie.

NB: Dit kan per versie Thunderbird en het gebruikte besturingssysteem iets afwijken.

Sleutelbeheer

De GnuPG of GPG encryptie werkt door het aanmaken van twee sleutels: een geheime sleutel die je niet met iemand deelt, veilig houdt en bijv. op een aparte usb stick (beveiligd!) bewaard als backup. De tweede sleutel is een publieke sleutel en zoals de naam al zegt die mag overal en met iedereen gedeeld worden. Er zijn ook zgn. keyservers waar je publieke sleutels kan delen of publieke sleutels van andere kan opzoeken.

Er moet dus nmalig per emailadres een sleutelpaar worden gemaakt. Dat is eenvoudig en kan via Enigmail door de installatie-wizard te gebruiken. Kies voor een voor jezelf makkelijk te onthouden passphrase maar wel eentje die uniek is en niet te gokken of raden valt door anderen.

Het gebruik van email met encryptie

Er zijn als je een email wilt versturen twee opties bijgekomen. Met de ene optie, het icoon met het potloodje kan een email ondertekend worden. Dit geeft de ontvanger meer zekerheid dat de email van jou afkomstig is maar zal de inhoud van de email niet encrypten.

De tweede optie die er bij gekomen is het slotje, als dit geactiveerd is/wordt zal je email worden encrypted. Dit kan overigens alleen als je de publieke sleutel van de ontvanger hebt gekregen of via een keyserver hebt opgezocht en in het sleutelbeheer van Enigmail hebt geimporteerd.

Als ge-encrypte email wordt ontvangen zal Thunderbird dit automatisch zien en vragen om de passphrase van je geheime sleutel. Onthoud deze passphrase dus goed.

Hulp nodig?

Wil je als particulier of bedrijf met encryptie en dus veiliger gebruik willen maken van email maar heb je hulp nodig? Geen probleem, LinuxPro biedt deze hulp aan, neem even contact op voor de mogelijkheden.

 

Redhat praat over Ansible

Ansible

AnsibleWat is Ansible

Ansible is een automation tool, een tool dus waarmee je je beheer van je (cloud)servers maar ook fysieke servers op zowel Windows als Linux kan beheren en bijv. applicaties kan installeren. Het werkt zonder agent, dat doet bijv. een andere automation tool zoals Puppet wel. Ansible werkt in principe door het opzetten van een SSH verbinding, voert uit wat het uit moet voeren en verbreekt de verbinding weer. Ansible is OpenSource. 

Toepassingen

Ansible kent vele toepassingen, zo kan je er dus bestaande servers in een eigen datacenter en/of in de cloud mee beheren maar ook kan Ansible gebruikt worden om netwerkapparatuur mee te configureren of bepaalde policies gepushed worden. Denk bijv. aan een ACL waarmee toegang geregeld wordt vanaf een beheersLAN. 

Playbook

Alles in Anslble draait om zgn. playbooks. Stukken Ansible code waarmee bepaalde zaken worden geregeld. Tijdens de RedHat meeting in Bussum van 14-03-2018 werd uitgelegd hoe belangrijk naamgeving kan zijn. Gebruik bijv. niet "installatie server" maar "Installatie en starten Apache webserver". Als er dan iets mis gaat weet je tenminste in welk playbook het mis gaat en waar. Klinkt simpel maar het zijn vaak dit soort kleine dingen die je in je enthousiasme over het hoofd ziet. Dat je niet zelf het wiel hoeft uit te vinden, klinkt ook nogal logisch en met een git repo (galaxy) van zo'n 15.000 vrij beschikbare playbooks en modules hoeft dat ook niet. Even een bestaand voorbeeld aanpassen is een stuk makkelijker en sneller dan zelf allerlei code en modules bij elkaar rapen. 

Een voorbeeldje van een task binnen een playbook:

--

# This task installs and enables apache on webservers
- name: ensure apache is installed
yum: pkg=httpd state=latest
- name: ensure apache is running
service: name=httpd state=running enabled=yes
- name: copy files to document root
copy: src=cloud.png dest=/var/www/html/cloud.png
- name: copy application code to document root
template: src=index.html.j2 dest=/var/www/html/index.html
notify: restart apache

 

Security

Het begint ein-de-lijk ook bij het bedrijfsleven en overheid door te dringen dat security (app, server, netwerk enz.) niet meer het ondergeschoven kindje kan zijn maar volle aandacht verdiend. Zo kan Ansible worden ingezet om periodiek root-wachtwoorden te wijzigen, security policies te implementeren en als zo'n policy in bijv. in een test omgevinging werkt dan kan dat gemakkelijk naar productie worden doorgezet. 

 

 

 

Zin en onzin over druppelladers

Accu's en druppelladers

Vooraf

Een korte uitleg over wat termen. Met de laadspanning wordt het voltage bedoed, uitgedrukt in volt, afgekort V. De laadstroom wordt uitgedrukt in ampere, afgekort met de letter A. Op een accu staat naast het voltage, bijv. 12V ook nog de capaciteit vermeld in AmpereUur, afgekort met Ah. Een accu van 24Ah en 12V zal als er 2A stroom gevraagd wordt in 12 uur volledig leeg zijn. Als die 24Ah accu met een laadstroom van 1A geladen wordt duurt het precies een dag voordat de volledig lege accu  weer vol is.

Wat is het verschil tussen een lader en een druppellader?

Een gewone lader zal een accu opladen, in het gunstigste geval stoppen met laden als de accu vol is. Echter als de accu een tijd niet gebruikt wordt zal een gewone lader niet automatisch weer opnieuw gaan laden. Als een lader niet stops als de accu vol is ontsaat er overllading, de accu kan warm worden of zelfs heet en mogelijk exploderen. Kortom, dit soort laders is niet geschikt om een accu te onderhouden die een tijdje niet gebruikt wordt. Een druppellader laad de accu ook op via een gecontroleerd proces waarbij gecontroleerd wordt geladen. Een druppellader meet ook of de accu zijn lading vast houdt binnen een bepaalde tijd. Is de accu vol dan start het druppelladen waarbij de accu iets in spanning zakt (ong. 5%) en vervolgens weer met een lage laadstroom opgeladen wordt. Door dit proces constant te herhalen wordt de levensduur en inzetbaarheid van de accu gemaximaliseerd. 

Kan ik een druppellader constant aangesloten laten?

Het korte antwoord: Ja.

Het wat langere antwoord: Een (goede) druppellader houdt de accu in conditie tijdens bijv. opslag of als het voertuig waarin de accu zit een tijd niet gebruikt wordt. Denk ook aan zgn. stille verbruikers die een accu leeg kunnen trekken zoals een alarm, autorado of dashboardklokje. Deze kunnen als het voertuig maanden stil staan in bijv. een winterperiode de capaciteit van de accu drastisch beinvloeden waardoor je voor verassingen komt te staan als je het voertuig wilt starten. Een goede druppellader kan je dus zonder probemen maanden aangesloten laten.

Er is één reden waarom je het niet zou doen, het kost geld. Dus uit dat oogpunt zou je een druppellader een paar weken wel en een paar weken niet aangesloten houden.

De laadstroom van de druppellader

Hoe lang een druppellader er over doet voordat een (lege) accu weer vol is, is vrij eenvoudig zelf te berekenen. Neem de capaciteit van de accu (Ah) en deel dat door de maximale laadstroom (A) van de druppellader. Voorbeeld: Een accu van 24Ah wordt met 2A geladen, 24:2=12. De accu zal dus in ongeveer 12 uur volledig opgeladen zijn.

Druppelladers controleren of de accu succesvol geladen wordt, kies je een te lichte druppellader voor een accu dan kan je het risico lopen dat de druppellader ontrecht aangeeft dat je accu defect is. Je (te) zware accu heeft zoveel tijd nodig dat de druppellader te weinig capaciteitstoename ziet en dus een foutmelding geeft. Controleer voor aankoop dus of je druppellader geschikt is voor je accu. Neem als uitgangspunt aan dat je druppellader voldoende laadstroom heeft om je accu binnen 24 uur volledig op te kunnen laden. Hiervoor kun je de som Ah : A = uur gebruiken.

Welke druppellader moet ik kopen?  De Optimate 4 druppellader

Er zijn vele merken met enorm uiteenlopende prijzen. Welke de beste is is moeilijk te zeggen, waar de één zweert bij het ene merk is de ander weer enthousiast over een ander merk. Er zijn wel 2 namen die vaak terugkomen en dat is Optimate en CTEK. Er zijn ook bij grootgrutters tegen spotprijzen soms druppelladers te koop. Pas op met die van Dunlop, die heeft nogal eens de neiging te laat te stoppen waardoor kans op overladen ontstaat.

Moderne motoren beschikken over een electronisch systeem wat alle electronica en dergelijk controleert genaamd CANBUS. Heb je een motor (of auto) met dit systeem dan kan het van belang zijn een lader te gebruiken die dit CANBUS systeem ondersteund om schade aan dit systeem te voorkomen Zo zijn er voor BMW motoren van het merkt zelf een druppellader maar ook Optimate heeft een druppellader die het CANBUS systeem ondersteund.

 

 

 

 

 

 

Het alternatief voor AdBlock: Pi-hole

AdBlock en andere advertentie blokkeerplugins zijn leuk maar een toenemend aantal populaire website detecteren deze software en geven vervolgens irritante meldingen, bieden bepaalde functionaliteit niet meer of weigeren zelfs toegang. Daarnaast moeten deze advertentieblokkeer-plugins worden geinstalleerd en bijgehouden worden. 

Er is nu een alternatief: Pi-hole 

Pi-hole is geen browser plug-in maar biedt een DNS (bijvoorbeeld op een Rasberry Pi) waarin adressen van bekende advertentieaanbieders worden geblokkeerd. Het resultaat is nagenoeg advertentie-vrije sites en omdat Pi-hole geen browser plugin is, geen vervelende meldingen meer van websites of beperkte functionaliteit. 

Je kunt Pi-hole proberen door gebruik te maken van onze test DNS server. Dat is eenvoudig, zorg ervoor dat je ns5.linuxpro.nl als primaire DNS gebruikt en je kan AdBlock en dergelijke plug-ins uitschakelen. 

Instellen primaire DNS linux

Open een terminal scherm en verkrijg root rechten bijvoorbeeld door sudo su - te geven

Ga naar de directory etc: cd /etc

Open het bestand resolv.conf met bijv vi : vi resolv.conf

Ga op de eerste regel staan waar nameserver xxx.xxx.xxx.xxx staat middels de pijltjes toetsen en als je met de cursor op de letter n staat druk je op i en type exact het volgende: nameserver 77.172.2.25 en druk op [ENTER]

Sluit vi af: druk op [ESC] en type in: :wq

Herstart je browser, schakel je advertieblokkeer-software uit en probeer maar eens naar bijv. de website van de Telegraaf of nu.nl te gaan. Geen of nauwelijks advertenties en geen vervelende meldingen meer. 

 

 

Soms wel, soms geen connectie met een server

Praktijkgevalletje: een gebruiker klaagt er over dat de ene keer hij zonder problemen met SSH een sessie kan opzetten naar een server, een andere keer volgt er een time-out en kan hij dus geen verbinding krijgen. De keer erop kan het soms weer probleemloos gaan. De server heeft zelf geen problemen, die draait, heeft het niet heel druk, er is geen volgelopen partitie of disk kortom op de server is de oorzaak van het probleem niet te vinden. Wel blijkt dat als de gebruiker wil inloggen en een time-out krijgt er in de logfiles op de server van die inlogpoging niets te vinden is. 

Later blijft dat hij met SSH een connectie naar de servernaam opzet: ssh user@server en dan blijkt dat de server met twee ipadressen in de DNS beheertool staat maar de server maar één actieve netwerkinterface heeft. Na het verwijderen uit de DNS van het niet in gebruikzijnde ipadres was het probleem verholpen.