Meest populaire pagina's

Tips, trucs en veel gestelde vragen

Veiligheid in Linux Mint en Ubuntu: een uitleg en wat tips


Terug naar de thuispagina


Dit artikel is voor het laatst bijgewerkt op 4 september 2024.

Inhoud van deze pagina:

Linux is zeer veilig; veel veiliger dan Windows. Maar waarom eigenlijk? En hoe behoudt u die veiligheid en vergroot u haar? Hieronder vindt u een uitleg.

Veiligheid kort en krachtig

1. Allereerst: 100 % veiligheid bestaat niet. Niet in het leven in het algemeen, en ook niet in de digitale wereld. Zelfs niet als uw computer op Linux draait. Gezond verstand gebruiken is dus altijd noodzakelijk. En zelfs dan kan het mis gaan. Het is niet anders. Een bepaald risico, hoe klein ook, hoort er nu eenmaal bij.

Een heel korte samenvatting van de beste veiligheidsaanpak in uw Linux is deze:
- installeer veiligheidsreparaties zodra die beschikbaar zijn;
- installeer alleen programmatuur vanuit de officiële pakketbronnen van Linux Mint en Ubuntu;
- installeer beslist geen antivirusprogramma (!);
- installeer geen Windows-nabootsers zoals Wine;
- schakel de firewall in;
- en boven alles: gebruik uw gezonde verstand.

Doe dat, en dan: ontspan, u draait Linux....


Wilt u wat meer informatie? Over virussen, firewalls en veiligheidsgaten kan ik kort zijn:

Virusscanners en rootkit-verwijderaars: zowel overbodig als schadelijk

1.1. Een antivirusprogramma of rootkit-verwijderaar (zoals chkrootkit en rkhunter) heeft u niet nodig in Linux. Sterker nog: zulke programma's verlagen uw veiligheid zelfs(!). Hieronder leg ik uit waarom dat zo is.

a. Antivirus is nutteloos
Een virus of rootkit kan zich in Linux niet installeren. Hoofdzakelijk hierom: om zich te installeren op uw computer, heeft een virus of rootkit uw wachtwoord nodig. En dat heeft hij niet. Onder Linux heeft een normale gebruiker maar zeer beperkte rechten. Zo kan een normale gebruiker geen essentiële systeemopdrachten uitvoeren en is de werkomgeving van deze gebruiker beperkt tot zijn eigen persoonlijke map.

Bovendien installeert u in principe alleen programma's uit de beveiligde eigen "programmawinkel" (pakketbronnen) van uw Linux. Dat is een zeer effectieve barrière tegen kwaadaardige programmatuur.

Of in het geval dat het kwaadaardige programmatuur betreft die zichzelf kan uitvoeren in uw persoonlijke map, waarvoor geen wachtwoord nodig is: u zult die eerst bewust uitvoerbaar moeten maken. Onder Linux wordt de uitvoerbaarheid van een bestand namelijk niet bepaald door een extensie, maar door rechten die op dit bestand zitten.

Elk script dat u binnenhaalt is per definitie niet uitvoerbaar: u moet de uitvoerbaarheid van een script altijd eerst zelf handmatig instellen.

Als u dubbelklikt op zo'n scriptbestand, dan krijgt u het volgende dialoogvenster te zien (klik op de afbeelding om haar te vergroten):

Zoals u ziet is "Annuleren" voorgeselecteerd, om te voorkomen dat u het script per ongeluk uitvoert.

Let op: er is een belangrijke uitzondering: als u een scriptbestand uitpakt uit een archiefbestand (met bijvoorbeeld het achtervoegsel .zip of .tar.gz), dan hoeft het script niet eerst uitvoerbaar te worden gemaakt. Wat betekent dat u het dan wel degelijk per ongeluk kunt uitvoeren door erop te dubbelklikken. Wees dus altijd voorzichtig met wat u binnenhaalt....

Daarom zijn er ook geen Linuxvirussen of Linux-rootkits "in het wild" te vinden (wel af en toe op webservers, maar het beveiligen van webservers is een vak apart). Waar u natuurlijk wel voorzichtig mee moet zijn, is het installeren van programma's die niet in de officiële pakketbronnen zitten. Maar dat spreekt eigenlijk vanzelf.

b. Antivirus maakt uw systeem juist kwetsbaar
Sterker nog: virusscanners zijn niet alleen nutteloos in Linux, maar ze brengen uw systeem in gevaar. Want ze worden tegenwoordig zelf steeds meer aangevallen! Omdat ze per definitie volledige systeemtoegang hebben en vaak zelf onvoldoende beschermd zijn tegen aanvallen. Dat maakt ze tot een ideaal doelwit voor misdadige hackers....

Dat zit zo: antivirusprogramma's zijn gebouwd en bedoeld om zoveel mogelijk bestandssoorten te lezen en te openen. Want theoretisch kan immers overal een virus in zitten.... Dit in tegenstelling tot gewone programma's, die alleen bepaalde bestandssoorten kunnen lezen en openen.

Voorbeeld: tekstverwerkers openen over het algemeen slechts documentgerelateerde bestanden, en geen MP3-muziekbestanden. Voor mediaspelers geldt uiteraard precies het omgekeerde.

Doordat antivirus alles kan lezen en openen, en dat ook daadwerkelijk doet tijdens een scan, is zijn potentiële kwetsbaarheid (aanvalsoppervlakte) navenant groter. En daardoor is ook zijn aantrekkelijkheid als doel groter voor lieden met kwade bedoelingen. Dat is helaas niet "alleen maar" theorie; meer daarover leest u bij punt 2 op deze pagina.

c. Geen effectieve bescherming tegen onbekende virussen ("zero day"-aanvallen)
Antivirusprogramma's kunnen alleen bescherming bieden tegen bekende bedreigingen. De bewering van antivirusbedrijven dat hun producten enige bescherming bieden tegen toekomstige (nu nog onbekende) "zero day"-aanvallen is misleidend: de antivirusprogramma's zelf zijn net zo kwetsbaar voor "zero day"-aanvallen als de programmatuur die ze beweren te beschermen....

d. Vals gevoel van veiligheid
De schijnveiligheid van virusscanners kan mensen de foutieve indruk geven, dat het daarmee veilig wordt om losse programmatuur te installeren van buiten de pakketbronnen.

e. Windowsvirussen zijn geen bedreiging voor Linux
Virusscanners scannen voornamelijk op Windowsvirussen. Die virussen werken niet in Linux. Dus hoeft u er ook niets tegen te doen.

f. Valse waarschuwingen
Virusscanners geven vaak ten onrechte een virusmelding. Mogelijk bewust, om gebruikers zich goed te laten voelen over hun product. Daardoor kunnen mensen nodeloos hun systeem gaan beschadigen.

g. Elk programma is een risico
Het installeren van een programma, elk programma, verhoogt uw aanvalsoppervlakte. U neemt dat voor lief, omdat u een bepaald programma nodig hebt.

Bijvoorbeeld: webverkenners zoals Chrome zijn onmisbaar om webpagina's te bekijken. Dus neemt u het "risico" om zo'n webverkenner te installeren voor lief. U aanvaardt zijn toegevoegde aanvalsoppervlakte als de prijs die betaalt voor het gebruiken van het web.

Maar in Linux-voor-de-bureaucomputer is een antivirusprogramma helemaal nergens goed voor. Het belooft extra veiligheid, maar in de praktijk verlaagt het uw veiligheid alleen maar. Dus waarom zou u het überhaupt willen installeren?

Over firewalls

1.2. Een firewall is een veiligheidsgereedschap dat netwerkverkeer bewaakt en beheert. U kunt een firewall gebruiken om uw systeem te beschermen tegen binnenkomend kwaadaardig verkeer.

Als uw firewall uit staat, dan zal uw systeem in sommige gevallen niet beschermd zijn. In dit onderdeel leert u hoe u uw firewall kunt in- en uitschakelen en hoe u zijn status kunt nakijken.

Firewall: aanzetten, uitzetten en status controleren

1.2.1. Een firewall is al standaard geïnstalleerd: nftables. Ook zijn er standaard twee programmaatjes geïnstalleerd om nftables te bedienen: Uncomplicated Firewall oftewel ufw en diens grafische bedieningsschil Gufw.

Standaard staat de firewall niet aan, want achter de poorten die vanaf het internet bereikbaar zijn, liggen standaard geen diensten te luisteren. Een aanvaller kan niks beginnen zonder een luisterende dienst achter een open poort.

Kortom: de vuurmuur aanzetten is in een standaardinstallatie van Ubuntu en Linux Mint niet nodig. Maar omdat u er (uiteraard) het nodige bij installeert in uw Linux, kan dat anders komen te liggen, zelfs zonder dat u dat beseft. Voor alle zekerheid raad ik daarom aan, om de firewall standaard in alle gevallen in te schakelen.

Omstandigheden waarin een firewall sowieso nodig is:

Situatie 1: het is verstandig om de firewall aan te zetten, wanneer u zelf diensten hebt geactiveerd achter poorten die toegankelijk zijn via het internet. Misschien hebt u dat zelfs onbewust gedaan, simpelweg door het installeren van bepaalde extra programma's.

Situatie 2: hebt u een computer (laptop?), die gebruik maakt van een draadloos netwerk dat tegelijkertijd ook door anderen wordt gebruikt? Dan raad ik u aan om de firewall aan te zetten. Want anders zouden die gelijktijdige medegebruikers via de gedeelde verbinding toch in uw computer kunnen komen.

Aanzetten van de firewall kan via de terminal. U doet dit als volgt:

a. Open een terminalvenster.
(Een terminalvenster opent u zo: *Klik*)

b. Nu kunt u de firewall inschakelen met een opdrachtregel.
Kopieer en plak de volgende opdrachtregel in het terminalvenster:

sudo ufw enable

Druk op Enter en tik desgevraagd uw wachtwoord in. In Ubuntu blijft dit geheel onzichtbaar, u ziet zelfs geen sterretjes wanneer u het intikt, dat hoort zo. In Mint is dit veranderd: u ziet wel sterretjes. Druk opnieuw op Enter.

Uncomplicated Firewall (ufw) is voorzien van verstandige en praktische standaardinstellingen, die voor verreweg de meeste thuisgebruikers prima voldoen. U hoeft er dus verder niets aan te doen, tenzij u bijzondere wensen heeft.

c. Controleer de status van de firewall via de terminal:

sudo ufw status verbose

Wanneer de firewall is ingeschakeld, zou de uitvoer als volgt moeten zijn:

pjotr@bureaucomputer:~$ sudo ufw status verbose
Status: actief
Logboek bijhouden: on (low)
Standaard: deny (inkomend), allow (uitgaand) disabled (omgeleid)
Nieuwe profielen: skip
pjotr@bureaucomputer:~$


De belangrijkste mededeling heb ik rood gemaakt: als "deny" geldt voor "inkomend", dan is het goed.

Technisch gesproken blokkeert u met "sudo ufw enable" overigens niet alle binnenkomende verkeer: er zitten verstandige uitzonderingsregels in de standaardinstellingen.

Met de standaardinstellingen zou bijvoorbeeld het gebruik van samba geen probleem moeten zijn. Ook het binnenhalen van torrents zou probleemloos moeten verlopen; voor het uitzaaien van torrents daarentegen, is het misschien nodig om de firewall even uit te zetten.

d. Mocht u dat willen, dan kunt u ufw als volgt eenvoudig uitzetten:

sudo ufw disable

e. U kijkt u waarschijnlijk nooit naar het logboek dat ufw standaard bijhoudt. Dus dan kunt u dat logboek net zo goed geheel uitschakelen, waarmee u dan wat bespaart op systeemkracht en schijfruimte (het logboek is soms nogal breedsprakig).

Dat kan met de volgende terminalopdracht:

sudo ufw logging off

Wilt u het logboek van uw vuurmuur weer aanzetten? Zo zet u het logboek weer aan, met het standaardniveau van activiteit (low, oftewel laag):

sudo ufw logging low

f. Als u de zaak wat grondiger wilt beschouwen, dan kunt u kijken naar de uitvoer van sudo ufw show raw of de regelbestanden lezen in /etc/ufw (de bestanden waarvan de namen eindigen op .rules).

Veiligheidsgaten

1.3. Veiligheidsgaten kunnen in elk besturingssysteem en elk programma zitten. Ook in Linux dus. Daartegen wordt u beschermd door de bijgewerkte pakketten.

Dagelijks controleert het bijwerkprogramma automatisch op de beschikbaarheid van bijgewerkte pakketten. Het is belangrijk om voorgestelde veiligheidsreparaties meteen toe te passen. Zo houdt u uw systeem zo veilig mogelijk.

Let op: bij programma's die u hebt geïnstalleerd buiten de pakketbronnen om, moet u zelf handmatig controleren op beschikbare reparaties. Dat kunt u alleen doen door regelmatig een kijkje te nemen op de webstek van de makers. Deze programma's vallen namelijk niet onder de gecentraliseerde bijwerkfunctie van uw Linux Mint of Ubuntu.

Tot zover de korte uitleg. Wilt u meer weten? Lees dan door.

Het volledige verhaal

2. Het volledige verhaal is als volgt.

Door de opkomst van Linux proberen veel antivirusbedrijven een nieuwe markt aan te boren. Veel nieuwe Linuxgebruikers denken door de reclamepropaganda van deze bedrijven ook daadwerkelijk een antiviruspakket nodig te hebben.

Het tegendeel is echter waar.

Het maken van een virus voor Linux is op zich niet moeilijk, maar het maken van een doeltreffend virus is bijna onmogelijk (in tegenstelling tot de situatie bij andere besturingssystemen). Hoe komt dit, zult u zich misschien afvragen. Ik zal proberen om uit te leggen hoe het precies zit.

Linuxcomputers zijn net zo goed doelwit als computers die een ander besturingssysteem gebruiken. Veel populaire (en dus waardevolle) websites draaien op Linux, dus is er geen gebrek aan motivatie om Linux te kraken.

Sommige mensen suggereren dat de Linuxgemeenschap zelfingenomen is of achterloopt als het om virussen of andere veiligheidskwesties gaat. Deze suggestie is niet waar. De ontwikkelaars van Linux hebben virussen niet genegeerd; het systeem is zodanig opgebouwd dat het goed bestand is tegen virussen. Het ontwerp is veilig.

En omdat de code open is zijn er letterlijk duizenden mensen die de code controleren op fouten. Een veiligheidsgat is geen groot probleem, mits het snel wordt ontdekt en snel wordt gerepareerd.

Virusscanners werken in bijna alle gevallen "reactief", dat wil zeggen dat ze alleen bescherming bieden tegen virussen die al bekend zijn bij de makers van de scanner. Antivirusprogramma's kunnen alleen bescherming bieden tegen een nieuw virus NADAT dat virus gemaakt is, niet ervoor.

Belangrijker nog: de beste bescherming tegen het virus zal bestaan uit het repareren van het lek in de software, waar het virus op aangrijpt. Deze reparaties gebeuren door middel van veiligheidsreparaties (die vaker uitkomen in Linux dan in Windows en Mac OS).

Slechts weinig antivirusfabrikanten hebben een snellere responstijd dan het Ubuntu Security Team. De tijd tussen het bekend worden van een veiligheidsprobleem en het uitkomen van een virusscanner-actualisering en/of een systeemactualisering is uiteraard de gevaarlijkste periode...

Zoals eerder gezegd: een veiligheidsgat is geen groot probleem, mits het snel wordt ontdekt en vlug wordt gerepareerd.

Het is moeilijk om een virus te installeren op een Linux computer, maar het is zeker niet onmogelijk. Het grootste gevaar zit in het toevoegen van onbetrouwbare pakketbronnen en onveilige code die een (onwetende) beheerder uitvoert. Op dit moment zijn er in elk geval geen Linuxvirussen "in het wild" te vinden.

Het enige waar u zeer terughoudend mee hoeft te zijn, is het installeren van programma's van buiten de pakketbronnen. Losse installatiebestanden (doorgaans met de extensie .deb) die u binnenhaalt vanaf een website, net zoals in Windows: vage schermbeveiligers, onduidelijke "leuke" grafische thema's, bepaald inbrekersgereedschap. Kortom, de bekende rotzooi. Blijf ervan af, dan loopt u geen risico.

Installeer alleen die "losse" progjes van buiten de officiële pakketbronnen, die boven elke verdenking staan. Zoals bijvoorbeeld de webverkenners Google Chrome en Opera. Haal ook die alleen binnen vanaf de webstek van de maker.

Meer daarover kunt u hier lezen.

Tot slot: zoals beschreven in onderdeel 1.1 van deze pagina, worden virusscanners tegenwoordig zelf steeds meer aangevallen. Dit is onderzocht en bewezen: zie dit artikel over een onderzoek van J. Koret uit 2014. Het is een oud onderzoek, maar de fundamentele kritiek erin, is nog steeds van toepassing.

De diapresentatie van het volledige onderzoek staat inmiddels niet meer op syscan360.org, maar een kopie van die diapresentatie kunt u binnenhalen vanaf mijn Google Drive.

Misverstand: bescherming van Windowsgebruikers

2.1. Soms hoort u iemand het volgende misverstand verkondigen: "ik draai een virusscanner in Linux, zodat ik niet per ongeluk via een e-mail-bijlage een Windowsvirus kan doorgeven aan een Windowsgebruiker".

Dat is om de volgende redenen een verkeerde opvatting:

a. Eén van de grote voordelen van Linuxgebruik is, dat u uw systeem niet hoeft te belasten met antivirus. Ook hoeft u in Linux niet de veiligheidsproblemen te importeren die antivirus veroorzaakt. Het zou nogal contraproductief zijn om over te stappen op een virusbestendig besturingssysteem, als u uiteindelijk toch daarop die antivirus-ballast gaat draaien.....

Het maakt het nog erger als men dat doet ter wille van een ander besturingssysteem, waarvan de eigenaar er nota bene voor kiest om het onveilig te laten zijn.

Indien een Windowsgebruiker te beroerd is om zijn eigen systeem te beschermen tegen bedreigingen die het gevolg zijn van tekortkomingen in zijn eigen besturingssysteem, dan zullen de inspanningen van een relatief kleine groep Linuxgebruikers daar geen enkel verschil in maken. Zulke Windowsgebruikers zullen onvermijdelijk worden besmet via een andere bron.

Sterker nog, ik vind dat Windowsgebruikers de gevolgen moeten dragen van hun eigen keuzes. Niet om hard te zijn, maar het is meer het principe dat gevolgen gedragen moeten worden door de verantwoordelijke partij. Want anders is er geen prikkel voor verandering.

Tenzij een Linuxgebruiker een publieke server draait (niet bepaald alledaags gebruik dus), raad ik de installatie van antivirus daarom sterk af. Want het installeren van antivirus ondersteunt één van de slechtste aspecten van besturingssysteemontwerp. Wie kiest voor Windowsgebruik, moet zichzelf goed beschermen.

b. Als u de kans op het doorsturen van een Windowsvirus zoveel mogelijk wilt beperken, dan kunt u dat bijvoorbeeld ook bereiken door "e-mails met bijlagen" alleen te verzenden via Gmail. Dan scant Google de bijlage automatisch voor u op de aanwezigheid van Windowsvirussen. Een Gmail-account is geheel gratis, dus om de kosten hoeft u het niet te laten....

Als u in Gmail POP3-ondersteuning inschakelt, dan kunt u zelfs Evolution of Thunderbird blijven gebruiken.

Overigens scant elke goede e-maildienst (niet alleen Gmail dus) tegenwoordig automatisch op Windowsvirussen, op de servers van de e-mailprovider.

c. Een andere mogelijkheid is het gebruik van deze gratis webdienst die inmiddels eigendom is van Google: VirusTotal.com. Die doorzoekt bestanden die u aanbiedt, op aanwezigheid van virussen en andere kwaadaardige programmatuur. Met tientallen antivirusprogramma's tegelijk (meer dan 50!).

Installeer geen Wine of Mono in uw Linux

3. Het overzicht van de veiligheid van Linux zoals beschreven op deze pagina, geldt voor een "schone" Linux zonder Windows-emulatoren (nabootsers) als Wine, PlayOnLinux en CrossOver.

Zulke emulatoren worden gebruikt om Windowsprogrammatuur te kunnen draaien in Linux. Installeer ze liever niet, want ze maken uw Linux gedeeltelijk kwetsbaar voor kwaadaardige Windowsprogrammatuur.

Als u Windowsprogramma's nodig heeft, draai die dan bijvoorbeeld in een gratis legale Virtuele Machine met Windows 7. Of als u een tweevoudig opstartbare computer heeft, in een gewone Windows.

Hetzelfde bezwaar, zij het in mindere mate, geldt voor de Mono-infrastructuur. Die installeert u mee, wanneer u een programma installeert dat die infrastructuur nodig heeft. In Linux Mint is Mono standaard aanwezig.

Ook Mono maakt uw systeem in beperkte mate kwetsbaar voor kwaadaardige Windowsprogramma's, omdat Mono platformoverstijgend is (net als Java). Installeer dus liever geen programma's die draaien op Mono, zoals mediaspeler Banshee en notitieblokje Tomboy. Over het algemeen zijn er gelukkig genoeg alternatieven beschikbaar die niet van Mono afhankelijk zijn.

Zo verwijdert u een mogelijk aanwezige Mono uit uw systeem:

Open een terminalvenster.
(Een terminalvenster opent u zo: *Klik*)

Tik in (kopieer en plak):

sudo apt-get remove mono-runtime-common

Druk op Enter en tik desgevraagd uw wachtwoord in. In Ubuntu blijft dit geheel onzichtbaar, u ziet zelfs geen sterretjes wanneer u het intikt, dat hoort zo. In Mint is dit veranderd: u ziet wel sterretjes. Druk opnieuw op Enter.

Pas op met niet-officiële pakketbronnen (zoals PPA's) en met losse .deb-bestanden

4. Programma's uit niet-officiële pakketbronnen, zoals PPA's en losse .deb-bestanden, zijn niet nagekeken en niet beproefd. Daarom kunnen ze afbreuk doen aan de stabiliteit, de betrouwbaarheid en zelfs de veiligheid van uw systeem. Ze zouden zelfs kwaadaardige programmatuur kunnen bevatten....

Bovendien maakt u uzelf afhankelijk van de eigenaar van de niet-officiële pakketbron, meestal slechts één persoon, die niet wordt gecontroleerd. Door het toevoegen van een niet-officiële pakketbron, geeft u de eigenaar van die pakketbron in principe de volledige macht over uw systeem!

Gebruik een niet-officiële pakketbron daarom alleen dan, wanneer het echt niet anders kan. Of wanneer u helpt met het uitproberen van nieuwe programmatuur, wat u alleen zou moeten doen op een niet-essentiële proefbak.

Het verschijnsel PPA is een medaille met een donkere keerzijde. Als PPA's met beleid en met grote terughoudendheid worden gebruikt, kunnen ze af en toe bijzonder goed van pas komen. Maar als ze roekeloos worden gebruikt, zijn ze voor uw Linux wat de builenpest was voor een Middeleeuwer....

Hebt u al PPA's of andere niet-officiële pakketbronnen ingeschakeld en wilt u ervan af? Dan leest u hier hoe u weer een goede, schoongemaakte pakketbronnenlijst krijgt.

Beveilig uw webbrowser

5. U kunt Firefox of Google Chrome draaien vanuit een veilige "zandbak" genaamd Firejail. Dat kunt u als volgt bereiken.

Verder kan de veiligheid in uw webverkenner worden geschaad door rotte, schimmige of zelfs kwaadaardige add-ons, die u er zelf in heeft geïnstalleerd.

Voorts bevat Firefox standaard een "helse functie": Web Push notifications. Die stelt Firefox in staat om meldingen op uw scherm te vertonen van websites, zelfs als die websites niet in Firefox zijn geladen. Tijd voor wat sarcasme: wat zou daar nou in vredesnaam mis mee kunnen gaan?

In principe moet een webstek om uw toestemming vragen voor deze gruwel. Maar zelfs dan is het eenvoudigweg te gemakkelijk om een webstek dit wangedrag toe te staan, door een eenvoudige klikvergissing.... Soms leidt dit zelfs tot kwaadaardige notificaties, die u ertoe willen aanzetten om te geloven dat uw systeem besmet is geraakt met een virus (met als doel om uw portemonnee wat lichter te maken).

Dus raad ik aan om dit akelige ding volledig en blijvend uit te zetten voor alle webstekken, op de volgende wijze:

a. Tik in de adresbalk van Firefox:

about:config

Druk op Enter.

b. Nu krijgt u een waarschuwing te zien. Negeer die en klik op de blauwe knop "Ik aanvaard het risico!"

c. Tik in als zoekterm: webnotif

d. Dubbelklik op dom.webnotifications.enabled die thans is ingesteld op de booleaanse waarde true, zodat die verandert in false.

Let op (1): laat de overige webnotifications-instellingen intact: gewoonlijk is het 't beste om een ingreep zo beperkt mogelijk te houden. Want dat beperkt het risico van onverwachte ongewenste neveneffecten.

Let op (2): dit is een gebruikersvoorkeur. Herhaal deze ingreep in elk gebruikersaccount.

Liever klikkerdeklik hetzelfde bereiken? Meer handelingen, maar dat kan ook:
Menuknop Firefox (drie gestapelde streepjes) - Instellingen - Privacy & Beveiliging - Toestemmingen - Notificaties: klik op de knop Instellingen... - zet een vinkje bij: Nieuwe verzoeken voor het toestaan van notificaties blokkeren.

Wilt u liever herbeginnen met een schone webverkenner? Daarvoor gaat u als volgt te werk (punt 7).

Libre Office: verhoog de veiligheid inzake macro's

6. Macro's kunnen heel handig zijn in Libre Office, maar ze vormen ook een gevaar. Zo verhoogt u de veiligheid inzake macro's in Libre Office:

Start LibreOffice Tekstverwerker (Writer) vanuit het menu.
Werkbalk: Extra - Opties...
Indien nodig, klik op het driehoekje voor het woord LibreOffice, om deze sectie uit te laten klappen - klik op Beveiliging
Knop Macrobeveiliging... - zet het beveiligingsniveau op Zeer hoog.

Sluit Tekstverwerker (Writer).

Let op: gebruikersvoorkeur, dus herhaal dit in elk gebruikersaccount.

Overweeg om Java (openJDK) te verwijderen

7. Java (zowel Oracle Java als openJDK) wordt veel aangevallen. Standaard is Java daarom niet geïnstalleerd. Als u zelf Java hebt geïnstalleerd: daarom is het 't beste om te overwegen of u Java / openJDK eigenlijk wel nodig hebt. Zo niet, dan kunt u hem beter verwijderen.

Java of openJDK is onder andere nodig voor LibreOffice Base (gegevensbanken maken en bewerken). Als u Base niet gebruikt, dan is de kans groot dat u helemaal geen Java of openJDK nodig heeft.

Dit advies geldt dus niet alleen voor Windows, maar ook voor Linux. Want ook Linux is op dit punt kwetsbaar! Java werkt namelijk onafhankelijk van het onderliggende besturingssysteem.

Voor alle duidelijkheid: dit geldt alleen voor Java. Er is ook nog Javascript, en die is veel veiliger dan Java. Normaal gesproken is het dus niet nodig om Javascript uit te schakelen. Sterker nog: veel websites werken niet goed wanneer u javascript hebt uitgeschakeld in uw webverkenner.

Verwijderen van openJDK doet u zo:

Open een terminalvenster.
(Een terminalvenster opent u zo: *Klik*)

Kopieer en plak de volgende regel in de terminal:

sudo apt-get remove "openjdk*"

Druk op Enter en tik desgevraagd uw wachtwoord in. In Ubuntu blijft dit geheel onzichtbaar, u ziet zelfs geen sterretjes wanneer u het intikt, dat hoort zo. In Mint is dit veranderd: u ziet wel sterretjes. Druk opnieuw op Enter.

Spijt? Ongedaan maken gaat zo:

sudo apt-get install default-jre libreoffice-sdbc-hsqldb

Opgepast: vals alarm door systemd

8. Als u de volgende opdracht uitvoert in een terminalvenster:

systemd-analyze security

.... dan krijgt u een lange lijst te zien met UNSAFE-waarschuwingen. Maar dat is een vals alarm: u kunt deze UNSAFE-meldingen veilig negeren. Ze vinden namelijk plaats omdat systemd-analyze security kijkt naar de niet-ingeschakelde zandbakfuncties die in systemd zijn ingebouwd. Hij kijkt niet naar de diensten zelf.

Het is overigens een erg slecht idee om systemd ineens over de hele linie te gaan zandbakken. U weet niet wat u allemaal zou kunnen verstoren, terwijl het praktische veiligheidsnut van zo'n zandbakactie op z'n zachtst gezegd twijfelachtig is.

Deze kwestie is weer eens een voorbeeld van een geval waarin de oude wijsheid geldt: "vertrouw op de standaardinstellingen". Of liever gezegd: vertrouw op het bovenstroomse Ubuntu Security team, dat systemd veilig houdt voor zowel Ubuntu als Linux Mint.

Schakel Secure Boot uit

9. Om uw Linux goed te laten werken, raad ik aan om Secure Boot uit te schakelen in het BIOS.

Geen zorgen: hoewel Secure Boot in theorie geen slecht idee is, biedt het in werkelijkheid slechts weinig extra veiligheid. In de praktijk is het vooral een hinderpaal voor het gebruik van een ander besturingssysteem dan Microsoft Windows. Wat wellicht een beoogd neveneffect is....

Voor het uitschakelen van Secure Boot gaat u als volgt te werk:

a. Open een terminalvenster.
(Een terminalvenster opent u zo: *Klik*)

b. Kopieer en plak de volgende opdrachtregel in de terminal:

sudo apt-get install mokutil && mokutil --sb-state

Druk op Enter. Indien het meldt dat Secure Boot is ingeschakeld: herstart uw computer en schakel Secure Boot uit in de instellingen van het BIOS. Om dit te kunnen doen, moet u mogelijk eerst een "administrator password" in het BIOS instellen.

Beveilig uw draadloze netwerk

10. Het beveiligen van uw draadloze netwerk is erg belangrijk. Het heeft niets te maken met uw besturingssysteem (Linux, Windows, Mac OS/X of BSD), want het staat daar los van. Ik heb een kleine beveiligingshandleiding gemaakt: draadloze veiligheid.

Gebruik van onbeveiligde of gedeelde internetverbindingen

11. Tegenwoordig bieden (onder andere) hotels en kampeerterreinen vaak een onbeveiligde draadloze internetverbinding aan. Iedereen binnen het draadloze bereik van het onbeveiligde toegangspunt, kan A. al uw draadloze verkeer zien, en B. uw computer direct aanvallen.

De oplossing voor beide problemen is, om er vanuit te gaan dat er een aanvaller is en dat die volledige toegang heeft tot uw netwerkverkeer, alsook netwerktoegang tot uw computer. Verstuur niets in onversleutelde tekst. Houd uw Linux bijgewerkt, schakel de vuurmuur in met UFW (zie hierboven, bij 1.2), controleer SSL-certificaten.

Schakel Universal Plug and Play (UPnP) uit in uw router

12. Wederom iets dat los staat van uw besturingssysteem: Universal Plug and Play (UPnP) via uw router. UPnP in uw router, maakt het mogelijk om netwerkapparaten met elkaar te laten communiceren op afstand.

Makkelijk, maar in de praktijk bloedlink: een veiligheidsgat van jewelste, waartegen niet op te repareren valt. Schakel het dus blijvend uit, want UPnP is simpelweg inherent onveilig.

Zoek de gebruiksaanwijzing van uw router op; als u die niet meer heeft, haal 'm dan binnen vanaf de webstek van de routerfabrikant.

Roep vervolgens het configuratiescherm van uw router op en schakel de UPnP-functie uit, alsmede de daaraan gekoppelde functie "Sta gebruikers toe om dit in te stellen" (of woorden van gelijke strekking).

Optie: verharden van uw systeemkern door het uitschakelen van Network Name Spaces

13. Het is mogelijk om de aanvalsoppervlakte van uw systeemkern aanzienlijk te verkleinen, door het uitschakelen van "network name spaces".

Maar deze eenvoudige systeemkernverharding heeft een prijs: het belangrijkste is wel, dat dit de werking van enkele toepassingen zoals Zoom zou kunnen belemmeren. Daarom heb ik dit aangemerkt als optioneel.

En dat is ook de reden waarom ik erover heb geaarzeld om deze ingreep überhaupt te beschrijven, aangezien u in de problemen zou kunnen raken met een toepassing, lang nadat u vergeten bent dat u deze ingreep ooit hebt gedaan.... Afijn, dit is hoe u het aanpakt:

a. Open een terminalvenster.
(Een terminalvenster opent u zo: *Klik*)

b. Kopieer en plak de volgende opdrachtregel in het terminalvenster (het is één lange regel!):

echo kernel.unprivileged_userns_clone=0 | sudo tee /etc/sysctl.d/99-disable-unpriv-userns.conf

Druk op Enter en tik desgevraagd uw wachtwoord in. In Ubuntu blijft dit geheel onzichtbaar, u ziet zelfs geen sterretjes wanneer u het intikt, dat hoort zo. In Mint is dit veranderd: u ziet wel sterretjes. Druk opnieuw op Enter.

c. Herstart uw computer.

Ongedaan maken van systeemkernverharding (Network Name Spaces opnieuw inschakelen)

13.1. Ongedaan maken van deze systeemkernverharding kan geschieden door de volgende opdrachtregel uit te voeren in uw systeemkern (gebruik kopiëren en plakken om hem over te brengen):

sudo rm -v /etc/sysctl.d/99-disable-unpriv-userns.conf

Druk op Enter en tik desgevraagd uw wachtwoord in. In Ubuntu blijft dit geheel onzichtbaar, u ziet zelfs geen sterretjes wanneer u het intikt, dat hoort zo. In Mint is dit veranderd: u ziet wel sterretjes. Druk opnieuw op Enter.

Herstart daarna uw computer.

Optie: Firefox vervangen door de Firefox rechtstreeks van Mozilla

14. Standaard wordt Firefox geleverd door Linux Mint zelf, vanuit diens eigen pakketbron. Dat heeft een nadeel: u moet soms enige tijd wachten totdat de nieuwste bovenstroomse Firefox van Mozilla, eindelijk in uw Linux Mint belandt. Dit vergroot het tijdvak dat uw Firefox niet-verholpen kwetsbaarheden bevat.

Een ander nadeel van de Firefox van Mint is, dat minder belangrijke Firefoxversies die alleen foutreparaties bevatten en geen veiligheidsreparaties, gewoonlijk worden overgeslagen. Dat is iets wat we ook zagen bij Ubuntu, toen Ubuntu nog zelf Firefox verpakte. Dit kan ongemakken veroorzaken voor gebruikers, aangezien ze langer te maken hebben met bepaalde fouten.

Als u dat onwenselijk vindt, dan is het mogelijk om uw Mint Firefox te vervangen door de Firefox rechtstreeks van Mozilla. Als u dan tevens de pakketbron van Mozilla toevoegt aan uw pakketbronnenlijst, dan krijgt u actualiseringen voor Firefox zodra Mozilla die beschikbaar stelt, zonder vertraging. Inclusief minder belangrijke versies. Hieronder leest u, hoe u dat kunt bewerkstelligen.

Ga als volgt te werk:

a. Open een terminalvenster.
(Een terminalvenster opent u zo: *Klik*)

b. Eerst gaat u de ondertekeningssleutel van Mozilla binnenhalen voor zijn Firefox-pakketbron. Kopieer en plak de volgende regel in het terminalvenster (het is één lange regel):

wget -q https://packages.mozilla.org/apt/repo-signing-key.gpg -O- | sudo tee /etc/apt/keyrings/packages.mozilla.org.asc > /dev/null

Druk op Enter en tik desgevraagd uw wachtwoord in. In Ubuntu blijft dit geheel onzichtbaar, u ziet zelfs geen sterretjes wanneer u het intikt, dat hoort zo. In Mint is dit veranderd: u ziet wel sterretjes. Druk opnieuw op Enter.

c. Dan gaat u de Firefox-pakketbron zelf toevoegen aan uw bronnenlijst. Kopieer en plak de volgende regel in het terminalvenster (het is één lange regel):

echo "deb [signed-by=/etc/apt/keyrings/packages.mozilla.org.asc] https://packages.mozilla.org/apt mozilla main" | sudo tee -a /etc/apt/sources.list.d/mozilla.list > /dev/null

Druk op Enter.

d. Nu gaat u een voorrangsbestand maken dat ervoor zorgt dat de bovenstroomse Firefox altijd voorrang heeft boven de Mint Firefox. Kopieer en plak de volgende regel in het terminalvenster:

sudo touch /etc/apt/preferences.d/mozilla

Druk op Enter.

e. Het voorrangsbestand is nog leeg, dus u moet het openen voor bewerking. Kopieer en plak de volgende regel in het terminalvenster:

xed admin:///etc/apt/preferences.d/mozilla

Druk op Enter.

(de drie achtereenvolgende schuine strepen zijn geen tikfout; dat hoort zo)

f. Kopieer en plak het volgende blauwe tekstblok in het terminalvenster:

Package: *
Pin: origin packages.mozilla.org
Pin-Priority: 1000


g. Sla het voorrangsbestand op en sluit het.

h. Nu kunt u uw huidige Firefox vervangen door de bovenstroomse Firefox, door eenvoudigweg de volgende opdrachtregel uit te voeren (kopieer en plak hem in het terminalvenster):

sudo apt-get update && sudo apt-get dist-upgrade

Druk op Enter.

i. U bent nog niet helemaal klaar: als uw Firefox in het Nederlands is, dan moet u het vertalingsbestand voor Firefox ook vervangen. Verwijder eerst uw huidige Firefox-vertalingsbestanden met deze opdrachtregel (kopieer en plak hem in het terminalvenster):

sudo apt-get purge "firefox-locale-*"

Druk op Enter.

j. Installeer daarna het nieuwe Nederlandse vertalingsbestand. Kopieer en plak in het terminalvenster:

sudo apt-get install firefox-l10n-nl

Druk op Enter.

Let op: als u een Nederlands vertaalde Firefox hebt, dan zult u nu (of zeer binnenkort) worden gewaarschuwd door Systeemrapporten (mintreport) dat u een Nederlands vertalingsbestand voor Firefox "moet" installeren. Doe dat niet: het wil dat u het vertalingsbestand installeert voor de oude Firefox die u zojuist hebt verwijderd, wat verkeerd is voor uw nieuwe Firefox! Negeer dat rapport dus.

k. Sluit Firefox en herstart hem. De klus zou geklaard moeten zijn.

Nog meer tips?

Wilt u meer tips en trucs? U vindt er nog veel meer op deze webstek!

Zoals deze:

Maak uw Linux Mint sneller

Maak Linux Mint veilig schoon

Vermijd 10 fatale vergissingen


Op de inhoud van deze webstek is een Creative Commons-licentie van toepassing.

Algemeen voorbehoud en uitsluiting aansprakelijkheid

Terug naar de thuispagina