Aan de slag met GPG

Geplaatst op 30 januari 2020 door Vincent Lammens

Ik ben een grote fan van encryptie, zo kan je mijn gpg sleutels vinden op deze pagina. Encryptie gebruiken zoals GPG lijkt moeilijk, maar dat is het niet.

GPG staat voor GNU Privacy Guard en is een implementatie van OpenPGP. GPG is een tool om eenvoudig versleuteling van tekst/bestanden te voorzien. Iedere gebruiker maakt met PGP een sleutelpaar aan, bestaande uit een private en een public key. De private key word gebruikt voor de ontsleuteling/ondertekening, waar de public key word gebruikt voor de versleuteling/controle van de ondertekening. Zoals de naam van de private en public key al vertellen, hou je de private key privé, en de public key maak je publiek beschikbaar (deze deel je bv op je website). Mensen die jou dan willen e-mail sturen kunnen dan gebruik maken van jouw public key om e-mail te versleutelen, die enkel jij met de private key kan ontsleutelen.

GPG installeren

Ik raad het gebruik van kleopatra als gui voor GPG aan. GPG en kleopatra is op Debian/Ubuntu te installeren met apt install gpg kleopatra -y en op Windows computers kan er gebruik gemaakt worden van gpg4win, GPG4Win installeert ook nog enkele extensies voor outlook.

Sleutelpaar maken

Zodra GPG en kleopa geïnstalleerd zijn kan je een nieuw sleutelpaar aanmaken.

Ik raad persoonlijk aan om een vervaldatum op een sleutel te zetten, bijvoorbeeld een jaar, of enkele jaren. Hierna maak je gewoon een nieuwe aan, die dan weer een jaar of enkele jaren geldig is. Als key gebruik je best RSA 4098 bits of een ECDSA key (ECDSA is veiliger als RSA, al is RSA 4098 ook voldoende sterk.), zoals je kan zien in de screenshot hieronder. Ik maak hier gebruik van RSA 4098 bits

Instellingen als de vervaldatum kunnen in theorie later gewijzigd worden, maar dat raad ik persoonlijk af.

Zodra jouw GPG sleutel gemaakt is zal je een wachtwoord van je public key moeten instellen, dit is een extra laag beveiliging moest jouw private key ooit gestolen worden. Zodra je klaar bent raad ik je aan om een back-up te maken van de private key (deze bevat automatisch ook de public key), en deze op een ander toestel (bv een usb-stick in een kluis, of bv een papieren backup) te bewaren.

GPG gebruiken

Om tekst te versleutelen kan je het klembord gebruiken, in Windows is er een tekstvak aanwezig die deze functionaliteit vervangt. Om bestanden te versleutelen klik je op de “versleutelen/ondertekenen” knop in de toolbar, en om te ontcijferen de “ontsleutelen/verifiëren” knop.

Zo, nu weet je hoe je veilig naar mij kan e-mailen. voel je vrij om het uit te testen door een mailtje te sturen naar mij {{site.email}} met mijn GPG sleutel.

Alles wat mis is met VPN Reclame

Geplaatst op 25 januari 2020 door Vincent Lammens

Het is moeilijk om naar techcontent te kijken op het internet zonder reclame tegen te komen van VPN-providers. Even voor de duidelijkheid, ik heb niets tegen het gebruik van een vpn, maar eerder tegen de manier dat er reclame voor gemaakt word.

De reclame is meestal hetzelfde, “Browse securely and anonymously” of “Stop your ISP from spying on you”. Als je gebruik maakt van een HTTPS verbinding, kan je ISP niets zien buiten de sites die je bezoekt, maar niet welke pagina’s/inhoud op die site. Eigenlijk verleg je het probleem van de mogelijke spionage van de ISP naar de VPN-provider, want je verkeer verlaat daar de vpn-tunnel, waardoor zij weer alles zien. Het “Browse anonymously” klopt nog tot een bepaald niveau, want vaak kan je kiezen in welk land je vpn-tunnel uitkomt, dus kan je dat verbergen, maar als je alsnog inlogt met een account gaat het anonieme er af, want een account heeft een naam, en een naam is niet meer zo anoniem. Als je echt anoniem wilt surfen raad ik je aan om gebruik te maken van TOR, en natuurlijk niet in te loggen met accounts.

Nu zou het je misschien verbazen dat ik zelf een VPN gebruik, wel niet een vpn van vpn-providers, maar eerder een die ik enkel gebruik om van buitenshuis toch te kunnen verbinden met mijn thuisnetwerk, om zo dan weer verbinding te maken naar mijn pc of raspberrypi’s. Ik gebruik een VPN namelijk waar het voor bestaat, als “Virtual Private Network”.

Kleine docker cluster

Geplaatst op 3 januari 2020 door Vincent Lammens

Ik heb onlangs een kleine docker cluster gemaakt van mijn 2 raspberrypi’s. Ik gebruik docker hierop voor het hosten van enkele services (welke gerepliceerd zijn over de 2 pi’s) en enkele ubuntu-containers die gebruikt worden als vm. Zodra ik docker meer heb ontdekt zal ik hier nog wat over posten.

Linux map met quota

Geplaatst op 2 januari 2020 door Vincent Lammens

Ik wou onlangs een map beperken in grote (bv max 500mb), aangezien het hier om een container ging kon ik niet in /etc/fstab quota’s gaan instellen, dus moest ik op zoek naar een andere manier. Toen vond ik na even zoeken het bash-script mklimdir. Dit script maakt een loopback-device die een beperkte grote heeft en gemount word in een bepaalde map. Dit is zeer handig als je een map wilt beperken in grote, zonder quota’s te moeten gaan opzetten.

Gelukkig Nieuwjaar

Geplaatst op 1 januari 2020 door Vincent Lammens

Gelukkig nieuwjaar iedereen!

Ik heb een aantal wijzigingen doorgevoerd aan deze site zoals (eindelijk) alles omzetten naar jekyll, en ik ga natuurlijk dit jaar veel nieuwe dingen posten.

Ubuntu mate wifi disconection fix

Geplaatst op 19 september 2019 door Vincent Lammens

Ik had problemen met mijn laptop zijn wifi na het instellen van ubuntu mate 18.04, ik vond echter al snel de oplossing die te maken had met de ahavi-daemon die ik met volgende fixes kon oplossen:

in /etc/avahi/avahi-deamon.conf, zoek je de regel domain-name = .local, verander deze naar domain-name = .alocal (of iets gelijkaardig, ik heb het gecomment, wat ook werkte)

Dan in /etc/default/avahi-deamon, verander AVAHI_DAEMON_DETECT_LOCAL=1 naar AVAHI_DAEMON_DETECT_LOCAL=0 (op line 4).

Dan moet je je systeem herstarten en daarna zou je verbonden moeten blijven. Ik moest ook nog een vast-ip instellen, aangezien ik mijn pc altijd laat aanstaan, 24/7, maar dat kan je doen in de instellingen van je router/modem.

Soms werkt het volgende ook:

nmcli c up <netwerknaam>

Edit 2020-01-18: Nadat ik ubuntu 18.04 heb geherinstalleerd, heb ik geen last meer van dat probleem, mogenlijks door kernel-updates.

SSH Server Beveiligen

Geplaatst op 10 mei 2019 door Vincent Lammens

SSH is de eenvoudigste methode om met een linux server te verbinden, maar een login mogenlijkheid openstellen maakt jouw systeem ook vatbaar voor verschillende aanvallen.

Verander de SSH poort

Het eenvoudigste is om de SSH poort aan te passen. Dit is geen waterdichte oplossing, maar is eerder “security by obscurity”. Deze kan je dan veranderen naar een vrije poort op jouw systeem (vb: 2022 or 4422). Hiervoor kan je het ssh-configuratie bestand aanpassen:

sudo nano /etc/ssh/sshd_config

Dan zoek je naar de volgende regel

#Port 22

Un⁻comment deze regel, en verander 22 naar de poort die je wenst te gebruiken, herstart dan SSH

sudo service ssh restart

SSH-keys gebruiken

Om de mogelijkheid van zwakke paswoorden te verwijderen, kan je SSH-sleutels verplichten.

Op een linux client, typ volgend commando:

ssh-keygen

Dit zal een paar vragen stellen, en daarna moet je jouw sleutel naar de server verplaatsen. vervang met het pad naar jouw sleutel (meestal ~/.ssh/id_rsa.pub)

ssh-copy-id -i <PATH_TO_YOUR_KEY> user@server.domain.tld

Nu moet je dit nog aanzetten in de SSH-server, dit kan je doen door in de configuratie van ssh (zie hiervoor hoe je deze kan aanpassen) volgende regels op te zoeken, en te un-commenten.

#PubkeyAuthentication yes

#AuthorizedKeysFile      .ssh/authorized_keys .ssh/authorized_keys2

Je kan ook passwoord-logins uitzetten door het volgende op “no” te zetten maar test wel eerst of jouw keys werken!

# PasswordAuthentication yes

Nu kan je jouw ssh-server herstarten (zie hervoor).

Zo, nu kan je jouw ssh-server op het internet openzetten, zonder risico’s.

Google VS Privacy: Luisteren ze echt af?

Geplaatst op 27 november 2018 door Vincent Lammens

Onlangs heb ik gemerkt dat elke keer ik in de buurt van een computer waar ik op ben ingelogd over een bepaald onderwerp praat, daarna reclames over dat onderwerp te zien krijgt. En dit is ondertussen meerdere malen gebeurt. Luistert googel werkelijk af, of is het puur toeval?

<!–more–>

Soms lijkt het te goed om waar te zijn, maar het is in het verleden al meerdere keren bewezen. Zo stuurt Google meer dan 500 keer per dag locatiepings die gebruikt worden voor het up to date houden van file gegevens op Google maps. Ze gebruiken deze data ook om advertenties beter op je af te stemmen. Zo krijg je in het buitenland reclame voor producten die verkocht worden in dat land. Dit gebeurt eigenlijk met alle data die Google van je verkrijgt.

Zo hebben bepaalde mensen (waaronder ikzelf) al ontdekt dat als ze het over onderwerp x hebben, een paar dagen nadien krijg je reclame in het thema van onderwerp x. Dit gebeurde enkel op computers met Google Chrome erop geïnstalleerd. Chrome installeert stiekem ook een ‘afluister’ programma, en zet de microfoon standaard op aan. Hierdoor kan het dus afluisteren. Ook zorgt de ‘Ok Google’ functie van de Google assistent op je smartphone dat Google kan afluisteren. Deze data wordt ook niet door je eigen toestel verwerkt, maar doorgestuurd naar Google servers, waar het verwerkt wordt. Dit wilt dus zeggen dat Google eigenlijk als Chrome openstaat altijd de mogelijkheid heeft om audio te ‘livestreamen’. In de open-source versie van Chrome, Chromium, stond diezelfde ‘black box’ software, maar die is verwijderd na privacy problemen. In Google Chrome zit dit nog altijd, hier kan je eigenlijk niets aan doen omdat je daar toestemming voor geeft in de EULA, en Google’s diensten gebruiken zonder die te accepteren is onmogelijk. Op

[nomoregoogle.com](https://nomoregoogle.com/) kan je alternatieven vinden voor vrijwel elke dienst die Google bied.  

Skyz update 8

Geplaatst op 26 november 2018 door Vincent Lammens

Ik heb skyz verplaatst van skyz.vincentlammens.be naar projects.vincentlammens.be/p/skyz/, zodat alle projecten centraal staan. Dus als je bookmarks hebt, of het op je startscherm hebt gezet pas deze aan. Ik heb ook een redirect ingesteld, dus mocht je naar de oude url surfen word je voorlopig doorgestuurd.

De voordeelen van PHP 7.2

Geplaatst op 16 november 2018 door Vincent Lammens

Php is waarschijnlijk de meest gebruikte server-side scriptingtaal die er is. Vele bekende cmsen zoals wordpress werken hierop. Met php 7.2 is je website niet alleen veel sneller, maar ook veel veiliger

Andere hashingsmethode

Php 7.2 maakt gebruik van argon2 om wachtwoorden te hashen. Deze methode is veiliger omdat er een geheugenbeperking op zit en het moeilijk is om in te stellen hoeveel parallelle threads er kunnen worden gebruikt. Hierdoor word het bruteforcen weer een pak moeilijker, en komt bij een data lek word enkel het gehashte wachtwoord gelekt.

TLS in plaats van SSL

In php7.2 is de naam voor een beveiligde verbinding veranderd van ssl naar tls. Ook is het oude tls1.0 protocol niet meer te gebruiken, maar is er nu plaats gemaakt voor de in 2008 geïntroduceerde opvolger tls1.2

In de toekomst?

Php 7.3 komt uit in december dit jaar. Hierbij zal de ondersteuning voor php 5.6 en 7.0 wegvallen. Dit is voornamelijk omwille van de vele beveiligingsupdates due op de planning staan voor toekomstige releases.

Vincent's Site

Categorie archieven: Geen categorie