Of je nu een ftp-server, een mailserver, een webserver, of welke service dan ook hebt draaien … je wilt uiteraard vermijden dat personen toegang krijgen tot diensten en daemons waar je die liever buiten houdt. Dit moet je weten over je server beveiligen.

Wanneer je de infrastructuur opzet om services en applicaties aan te kunnen bieden, is je voornaamste zorg ongetwijfeld dat alles stabiel draait en dat de diensten goed bereikbaar zijn. Het veiligheidsaspect is vaak slechts een verre, tweede zorg en dat kan je vroeg of laat duur komen te staan. We bekijken hier enkele veiligheidsaspecten die je het best al voor of tijdens het opzetten van je services ter harte neemt.

We gaan ervan uit dat je server deel uitmaakt van je thuisnetwerk, wat inhoudt dat de verbindingen van en naar je server via je router lopen. Het is dus evident dat je de configuratie van die router de nodige aandacht geeft. Uiteraard voorzie je je router van een eigen, complex wachtwoord en schakel je bij voorkeur ‘twijfelachtige’ diensten en functies als upnp, nat-pmp en wps uit.

UPnP-test

Je kunt wat upnp betreft ook een online test inzetten (via Proceed / GRC’s Instant UPnP Exposure Test). Schakel vooral ook de functie remote administration uit. Heb je dit absoluut nodig, probeer de verbinding dan te beperken tot https, stel een ander poortnummer in, beperk de connectie tot specifieke bron-ip-adressen en zorg voor een automatische time-out.

Controleer je router bovendien regelmatig op open poorten – op deze site vind je een reeks online testtools, van dns tot tcp en udp. Houd tevens de firmware up-to-date.

Twee routers

Het is niet verstandig om de machine waarop je publieke server draait zonder meer aan de router te koppelen, zoals je dat met de andere toestellen van je thuisnetwerk hebt gedaan. Je zou kunnen overwegen de servermachine in een DMZ van je router te plaatsen, maar dan moet je er wel voor zorgen dat de machine geheel gescheiden blijft van de rest van je netwerk en dat er ook een firewall actief is.

Een alternatief is een opzet met twee routers, waarbij je de tweede router via de wan-poort verbindt met een lan-poort van je ‘hoofdrouter’ (die aan het modem is gekoppeld) – en wel zo dat beide routers zich intern elk van een ander subnet bedienen. In deze opzet zijn toestellen die je aan de tweede router hebt gekoppeld, niet zonder meer bereikbaar vanaf de eerste router, wat maakt dat je je (publieke) servers het best aan de eerste router hangt.

Firewall instellen

Hierboven hebben we het al gehad over online testtools waarmee je onder meer kunt nagaan welke poorten allemaal van buitenaf bereikbaar zijn. Services die niet van buitenaf bereikbaar horen te zijn, kun je met behulp van een firewall blokkeren.

De meeste routers beschikken standaard over een ingebouwde firewallfunctie en dat geldt bijvoorbeeld ook voor een nas. Dat neemt niet weg dat je ook op je servermachine een (bijkomende) firewall kunt installeren – zelfs wanneer de serverapplicatie al in bepaalde beveiligingsopties voorziet (zoals het beperken van de verbinding tot bepaalde bron-ip’s).

©PXimport

beveiligingsopties voorziet (zoals het beperken van de verbinding tot bepaalde bron-ip’s).

Idealiter stel je de firewall initieel zo in dat alle verbindingen worden geblokkeerd, waarna je alleen de noodzakelijke uitzonderingen toevoegt. Dat moet je bovendien zo specifiek mogelijk doen, overeenkomstig het principe van ‘least privilege’. Een regel als

geeft bijvoorbeeld elke bron MySQL-toegang tot de database, terwijl dat ongetwijfeld niet je bedoeling is. Je zou deze regel dus kunnen beperken tot iets als

(waarbij 12.34.56.78 het ip-adres is van de host die je toegang wilt verschaffen).

Er zijn verschillende (gratis) firewalls voor Linux-omgevingen beschikbaar, waaronder de gebruiksvriendelijke UFW Firewall, de ingebouwde iptables-interface en ConfigServer Security & Firewall.

Ssh-verificatie

Om je server remote te beheren, maak je bij voorkeur gebruik van een ssh-connectie. Deze verbinding is immers versleuteld. Dat is weliswaar ook het geval wanneer je je op basis van een wachtwoord aanmeldt, maar dit laatste heeft als nadeel dat brute-force-attacks mogelijk zijn. Dit laatste kun je wel tegengaan door gebruik te maken van bijvoorbeeld fail2ban. Deze tool zorgt ervoor dat ip-adressen worden geblokkeerd zodra die te vaak proberen in te loggen over ssh.

Een beter alternatief is echter dat je wachtwoordverificatie via ssh uitzet en alleen sleutelverificatie toelaat (ssh key authentication). Het genereren van een paar ssh-sleutels is zo gebeurd, waarna je de publieke sleutel maar naar je server hoeft over te brengen. Bijkomend kun je ssh ook op een niet-standaardpoort laten draaien. Dit heeft weliswaar meer weg van ‘security through obscurity’, maar kwaad kan het blijkbaar niet: onze eigen UFW Firewall registreerde op enkele dagen tijd 2883 pogingen om met standaardpoort 22 te verbinden, en slechts 10 op (de door ons effectief gebruikte) poort 2223.

Eventueel valt ook een dienst als Webmin te overwegen, althans via ssl. Webmin is een webinterface voor het beheer van Linux-machines die het handmatig aanpassen van configuratiebestanden grotendeels overbodig maakt. Hier vind je een overzicht van de beschikbare modules.

©PXimport

Audits en updates

We hebben het al gehad over online tools om na te gaan welke poorten en services er van buitenaf bereikbaar zijn, maar je doet er goed aan dat ook regelmatig te checken met (ingebouwde) tools als netstat. Zo kun je op Linux met

controleren welke poorten er door welke services gebruikt worden.

Als je de beveiliging van je server zeer serieus neemt, dan installeer je idealiter ook een heus ids (intrusion detection system). Zo’n ids kan ook op regelmatige tijdstippen een audit uitvoeren op bestandsniveau en je erop attenderen zodra een (systeem)bestand gewijzigd blijkt. Dat vergt weliswaar de nodige inspanning van jezelf als beheerder, gezien je bij elke legitieme aanpassing in principe een nieuwe ‘baseline’ hoort aan te maken. Een bekend opensource ids-pakket is Snort, beschikbaar voor Windows en Linux.

Vpn en ssl/tls

Om je van een veilige, versleutelde verbinding tussen een remote toestel en (de servers op) je thuisnetwerk te verzekeren, kun je van een vpn-verbinding gebruikmaken. Bij voorkeur op basis van OpenVPN of eventueel L2TP/IPSec. Het is perfect mogelijk zelf een vpn-server op te zetten, die dan eigenlijk fungeert als het centrale toegangspunt voor je netwerk.

We besteden hier echter geen verdere aandacht aan, omdat we dit eerder al gedaan hebben. De hele bundeling van artikelen is hier te vinden.

Of je nu trek hebt in toast met avocado en een gepocheerd eitje of in een klassieke tosti met ham en kaas: met het moderne broodrooster kan het allemaal. Benieuwd wat broodroosters anno nu zo bijzonder maakt? We vertellen je er alles over.

Lees ook: 🥪 Gezonde tosti's om de hele middag op door te gaan

'Ouderwetse' broodroosters doen precies wat ze moeten doen. Je doet er één of twee sneetjes brood in, wacht een paar minuten en plop: daar heb je je perfect gebruinde en knapperige toast. Deze modellen zijn dankzij hun eenvoudige werking nog altijd bij veel mensen in trek, maar er er is ook steeds meer vraag naar modellen die meer kunnen dan alleen brood roosteren. Van het maken van tosti's tot het roosteren van bagels en croissants: met de nieuwste modellen heb je je tosti-ijzer of oven haast niet meer nodig! Veel modellen zijn daarnaast voorzien van allerlei handige extra's, zoals een ontdooifunctie en speciale sleuven voor extra groot of klein brood. En dan hebben we het nog niet eens over de vele bruiningsstanden op moderne broodroosters.

Bruiningsstanden 

Traditionele broodroosters zitten vaak lekker simpel in elkaar, met een draaiknop die je keuze biedt uit drie tot hoogstens vijf standen. Maar het beperkte aantal opties op deze modellen heeft wel als nadeel dat je niet altijd evenveel controle hebt over hoe bruin je sneetjes brood worden. Moderne broodroosters beschikken vaak over veel meer bruiningsstanden, gemiddeld tussen de zes en negen. De lagere standen zijn ideaal voor het licht roosteren van dun of oud brood, terwijl de hogere standen perfect zijn om brood donkerbruin te krijgen of om zwaarder brood zoals volkoren of roggebrood te roosteren. Sommige modellen hebben zelfs slimme sensoren die de dikte van het brood detecteren en op basis daarvan de roostertijd aanpassen. Handig! 

Ontdooifunctie

Brood ontdooien kan best een gedoe zijn. Op het aanrecht duurt het lang, voor gelijkmatig ontdooien in de oven moet je maar net de juiste instellingen weten en in de magnetron wordt bevroren brood snel slap. In een broodrooster met ontdooifunctie wordt het een stuk eenvoudiger. Het enige wat je hoeft te doen, is de bevroren sneetjes brood in het rooster te plaatsen en de ontdooistand te selecteren. Het broodrooster past vervolgens automatisch de tijd en temperatuur aan, zodat je brood gelijkmatig ontdooit zonder dat het verbrandt. Deze functie werkt ook goed voor bevroren croissants of andere kleine broodjes.

©Goffkein - stock.adobe.com

Hoeveelheid sleuven

Voor grotere gezinnen is een broodrooster met maar twee sleuven niet altijd handig. Zeker als jullie gezellig samen aan tafel willen eten, is het niet ideaal om steeds op je beurt te moeten wachten. Gelukkig zijn broodroosters er tegenwoordig in allerlei soorten en maten, met bijvoorbeeld ruimte voor vier sneetjes brood of speciale sleuven voor extra lang brood (denk aan zuurdesem of stokbrood) of breed brood (zelf gesneden brood of croissants en bagels). Sommige modellen beschikken over sleuven met liftfunctie voor kleine sneetjes brood, zodat je je handen niet hoeft te branden. Er zijn ook modellen met een enkele brede sleuf waarin je meerdere sneetjes brood naast elkaar plaatst. 

Extra functies

Naast de ontdooistand hebben moderne broodroosters vaak nog veel meer handige functies. Zoals een opwarmstand die brood alleen opwarmt zonder het te roosteren: handig voor overgebleven croissants of andere afgebakken broodjes. Of een sneltoastfunctie, die brood snel en efficiënt roostert als je haast hebt. Een warmhoudrooster komt mooi van pas als je veel sneetjes brood achter elkaar wilt roosteren: deze houdt je brood tot wel vijftien minuten warm. 

Ook voor tosti's en bagels hebben moderne broodroosters vaak speciale standen. De tosti-stand zorgt ervoor dat het brood langzaam wordt verhit zodat ondertussen de kaas kan smelten. Eventuele meegeleverde tostiklemmen voorkomen dat het een knoeiboel wordt in je broodrooster. De bagelstand is speciaal ontworpen om bagels perfect te roosteren, met een zachte buitenkant en een krokante binnenkant. 

©morkovkapiy - stock.adobe.com

Design

Als je ook de uitstraling van je broodrooster belangrijk vindt, bieden moderne broodroosters je meer dan genoeg keus. Broodroosters anno nu zijn namelijk allang niet meer alleen maar basic zwart of zilver. Steeds meer fabrikanten bieden modellen in stijlvolle kleuren, zoals zachtroze, mintgroen of lichtblauw. Of wat dacht je van een opvallend retromodel in felrood? Gerenommeerde merken als Russell Hobbs, KitchenAid en Smeg verkopen verschillende kwalitatieve broodroosters in een origineel design. Misschien geef je niks om design en ga je liever voor functionaliteit. In dat geval is een broodrooster met transparante zijkanten misschien wat voor jou: hiermee hou je tijdens het roosteren precies bij hoe bruin je sneetjes kleuren.

Groenten, fruit en kruiden uit eigen tuin kunnen een flinke besparing opleveren. Zeker als je kiest voor soorten die in de winkel duur zijn, weinig verzorging vragen en jaar na jaar opnieuw groeien. Je hoeft er geen groene vingers voor te hebben en ook geen grote tuin. In dit artikel lees je welke planten slim zijn om te kweken, hoe je begint en waar je op moet letten om zoveel mogelijk uit je oogst te halen.

* Of van je eigen balkon natuurlijk

Lees ook: Ingemaakt! 4 manieren om zelf thuis voedsel te conserveren

Waarom zelf kweken loont

In de supermarkt kunnen verse bessen, kruiden en biologische groenten behoorlijk aantikken. Een klein bosje rozemarijn kost al snel meer dan een euro, terwijl een rozemarijnplantje je jarenlang voorziet als je 'm goed behandelt. Ook courgettes, cherrytomaatjes en paprika's zijn flink aan de prijs, terwijl je ze zelf makkelijk kweekt, zelfs in een pot.

Daarnaast scheelt het in verpakkingsmateriaal, voorkom je verspilling en smaakt alles verser dan vers. Zelfs op een balkon of klein terras kun je met een paar bakken al behoorlijk wat opbrengen.

Groenten: veel opbrengst, dus dat bespaart geld!

Voor deze groenten heb je weinig ruimte of moeite nodig, terwijl ze wel een goede opbrengst geven.

1. Courgette

Courgette groeit snel, vraagt weinig aandacht en geeft veel vruchten. Eén plant kan je wekenlang oogst opleveren. Toegegeven, in de zomermaanden zijn ze best betaalbaar in de winkel. Maar juist door de grote opbrengst kun je er makkelijk ook iemand anders blij mee maken en je kunt ze inmaken voor de winter.

2. Cherrytomaten

Perfect voor op het balkon. In pot of in de volle grond.

3. Prei

Prei is populair en veelzijdig. Je kunt het hele jaar door zaaien, afhankelijk van de soort (zomer- of winterprei).

4. Paprika

Paprika's doen het goed in een pot op een zonnig balkon of in een kas. Ze vragen iets meer aandacht, maar zijn het waard.

5. Rucola

Korte groeicyclus, dus je kunt meerdere keren per seizoen zaaien.

©Brent Hofacker

Fruit: planten voor jarenlange opbrengst

Met fruitstruiken of -bomen leg je de basis voor een structurele besparing. Na het eerste jaar begint de oogst, en die wordt vaak elk jaar groter.

1. Blauwe bes

Duur in de winkel, maar als struik jarenlang opbrengst.

2. Framboos

Geeft snel oogst, kan ook in grote pot op balkon.

3. Aardbeien

Makkelijk, ook in hangpotten.

4. Vijg (in pot)

Zelfs op een balkon kun je een vijgenboom houden.

©Valery Sheiko | draw05 - stock.adobe.com

Kruiden: kopen of zaaien?

Kopen: sneller en makkelijker

Bij kruiden als rozemarijn, tijm, munt en bieslook is een plantje van het tuincentrum of zelfs de supermarkt vaak de handigste optie.

• Je hebt direct een oogstbare plant

• Je ziet meteen of de plant gezond is

• Je bespaart tijd, want kiemen duurt bij sommige soorten weken

• Vooral houtige kruiden (rozemarijn, tijm) groeien langzaam uit zaad

Belangrijk is wel dat je supermarktplantjes niet als wegwerpkruid gebruikt. Verpot ze in voedzame aarde, geef ze licht, en knip regelmatig bij. Zo gaan ze makkelijk maanden (soms jaren) mee.

Zaaien: zinvol bij snelle groeiers

Kruiden als basilicum, koriander, dille en peterselie kun je prima zaaien, vooral als je ze in grotere hoeveelheden gebruikt.

• Goedkoop: één zakje zaad geeft veel planten

• Leuk om te doen in de lente

• Je kunt steeds nieuwe rondes opkweken

Maar ook hier geldt: zaaien vraagt aandacht. Je hebt een warme, lichte plek nodig en moet zorgen dat de kiemplantjes niet uitdrogen of omvallen.

Kruiden: altijd vers binnen handbereik

Verse kruiden zijn duur, terwijl een plantje vaak jarenlang meegaat. Deze soorten zijn eenvoudig in onderhoud en groeien goed in potten.

1. Rozemarijn

2. Tijm

3. Munt

4. Bieslook

©stockcreations

Wanneer zaaien of planten?

Wat te doen tegen slakken, rupsen en vogels?

Zodra het groen gaat groeien, ontdekken ook dieren je tuin. Met deze tips houd je de schade beperkt:

Slakken:

Rupsen:

Vogels:

©APISIT Wilaijit

Begin klein, groei vanzelf

Je hoeft niet meteen een hele moestuin aan te leggen. Begin met drie bakken op je balkon of een paar vaste planten in een zonnig hoekje. Kies soorten die je vaak gebruikt en die je veel geld schelen in de winkel. Na een eerste jaar weet je wat werkt en kun je stap voor stap uitbreiden.