Elke nas staat tjokvol belangrijke bestanden. Dat geldt voor vrijwel elke nas, hoe verschillend die verder in prestaties en functionaliteit ook is. Deze bestanden (denk aan foto’s, documenten en back-ups) zijn vaak van groot belang en mogen niet verloren gaan. Daarom zijn ze juist ook op de nas gezet. Wat vaak wordt vergeten is dat dan wel de nas goed beveiligd moet zijn. Een nas beveiligen kun je in 14 stappen doen.

Nas’en danken hun populariteit aan de grote opslagruimte en het gemak waarmee je de bestanden centraal kunt opslaan en delen. Een nas maakt (zeker voorzien van meerdere schijven) al snel een professionele indruk … zo’n apparaat moet wel goed en veilig zijn, toch? Maar schijn bedriegt: een nas kan heel veilig zijn en goed voor de opgeslagen bestanden zorgen, maar daar moet je wel wat voor doen. De nas moet eerst goed ingericht en goed beveiligd worden, en daarna moet de correcte werking goed bewaakt worden. Anders kan wat de beste plek lijkt voor alle gegevens ook juist een enorme kwetsbaarheid zijn … wat men in het bedrijfsleven ook wel een ‘single point of failure’ noemt.

Stap voor stap

01 Software en updates

Een belangrijk onderdeel van elke nas is de software op de nas. Deze bestaat uit twee of drie delen: het besturingssysteem (in dit verband ook wel firmware genoemd), de officiële uitbreidingen en mogelijk ook nog onofficiële uitbreidingen. Voor de firmware raden we aan niet te ver achter te lopen en liefst niet al te lang na het uitkomen van een nieuwe versie, die te installeren. Je kunt dit zelfs automatiseren door de nas zelf te laten controleren op updates en nieuwe firmware, en deze daarna te laten installeren. Een andere optie is wel direct downloaden, maar pas installeren wanneer jij dat aangeeft. Omdat je weleens hoort dat nieuwe updates of nieuwe firmware problemen geven, is dat ook een prima optie. Wacht echter niet te lang, net zoals Windows bevatten ook de besturingssystemen nas-apparaten weleens fouten die er met deze updates uitgehaald worden. Gebruik liefst wel altijd de download en installatiefunctie van de nas, deze controleert ook op de herkomst van de firmware en of de download onbeschadigd is. Lees de release notes die met een nieuwe firmware meekomen en waarin informatie over de nieuwe versie en de compatibiliteit staat.

©PXimport

02 Uitbreidingen

Behalve de firmware zijn er nog twee soorten software op de nas, de officiële uitbreidingen en de onofficiële uitbreidingen. De officiële uitbreidingen staan in de app-store van de nas. Deze worden standaard door de nas-fabrikant of partners aangeboden, en doorlopen een kwaliteitscontrole voor ze in de app-store komen. Update deze altijd zo snel mogelijk en liefst automatisch. Ben je van plan ook nog uitbreidingen uit alternatieve bronnen geïnstalleerd, besef dan dat deze niet op kwaliteit zijn gecontroleerd door de nas-fabrikant en dat je daardoor meer risico loopt. Er zijn best veel goede onofficiële uitbreidingen, maar voordat je deze gaat updaten is het belangrijk de compatibiliteit te beoordelen door de release notes en forummeldingen te lezen.

©PXimport

03 Gebruikers

Op de nas is standaard een groep Users of Gebruikers aanwezig. Maak voor alle gebruikers van de nas een nieuw account aan en maak ze lid van deze standaardgroep Users of Gebruikers. Maak geen gewone gebruikers lid van de Administrators-groep. Afhankelijk van de nas die je gebruikt kun je behalve gebruikersnaam en wachtwoord ook aanvullende opties instellen zoals het moeten wijzigen van het wachtwoord bij de eerste keer inloggen. Tevens kun je toegang geven of weigeren tot bepaalde mappen op de nas, evenals bepaalde functies toekennen zoals het kunnen inloggen op het bureaublad van de nas, of het gebruik van de ftp-server, de File Station en de bestandsverkenner. Wees niet te royaal met rechten, je kunt altijd later nog nieuwe toekennen.

©PXimport

04 Gewone gebruiker

Maak ook voor jezelf een account aan in de groep Users of Gebruikers, en gebruik dat alle keren dat je de nas normaal gebruikt. Gebruik dit account ook om netwerkverbindingen te maken met een map op de nas. Log alleen in als Administrator wanneer je echt de configuratie van de nas moet aanpassen. Afhankelijk van het merk nas kun je extra opties instellen zoals het verzenden van een mail aan de nieuwe gebruiker met daarin de accountgegevens of de gebruiker verplichten bij de eerste keer inloggen het wachtwoord aan te passen. Voor het wachtwoord zelf kun je een wachtwoordbeleid instellen dat minimumeisen stelt aan de lengte en complexiteit ervan.

Weg met de admin

©PXimport

05 Minder kwetsbaar

De meeste nas-apparaten bieden behalve opslagruimte ook nog een groot aantal andere functies. Dat kunnen standaardfuncties zijn zoals ftp, maar ook later toegevoegde diensten zoals een downloadfunctie of een mediaspeler. Een belangrijke stap in de beveiliging van de nas is het uitschakelen van alle functies die je niet gebruikt. Bovendien helpt dit de prestaties van de nas te verbeteren. Een functie die niet actief is, gebruikt geen processortijd, geen geheugen en kan ook niet misbruikt worden. Log in op de nas en open de app-store (Package Center, App Central of hoe het onderdeel op jouw nas heet waarmee je extra functies aan de nas kunt toevoegen). Hier zijn de geïnstalleerde uitbreidingen te zien. Verwijder de uitbreidingen die je niet gebruikt of indien je twijfelt, schakel ze eerst een tijdje uit. Controleer ook het onderdeel Configuratie op algemene functies die je zou kunnen uitschakelen. Wees hier wel alerter, anders dan de geïnstalleerde uitbreidingen raken deze standaardonderdelen sneller de werking van de nas.

©PXimport

06 Inbraak voorkomen

Om te voorkomen dat door eindeloos het wachtwoord te gokken iemand toegang forceert tot de nas kun je accounts en/of ip-adressen blokkeren die een te groot aantal foutieve inlogpogingen doen. De precieze werking verschilt per merk nas. Bij Synology heet het Automatisch Blokkeren en geldt het voor een hele reeks Synology-onderdelen zoals bij het verkrijgen van toegang tot de nas, maar ook bij diverse communicatieprotocollen zoals ssh, telnet en ftp, en bij het proberen toegang te krijgen tot onderdelen als File Station, Photo Station en nog veel meer. QNAPs netwerktoegangsbeveiliging biedt hetzelfde, maar met de mogelijkheid het per protocol in te schakelen. Deze functies werken op ip-adres. Wil je gebruikersaccounts met teveel foutieve inlogpogingen blokkeren, kies dan voor Accountbeveiliging. Je kunt ervoor kiezen na een aantal dagen een blokkade weer op te heffen.

©PXimport

07 Verplicht https

Standaard beheer je de nas via de browser. Je logt dan via http in op de webinterface van de nas. Communicatie via http is echter niet versleuteld en kan dus eenvoudig worden afgeluisterd, en dat geldt ook voor het administrator-account en het wachtwoord. Je kunt dit voorkomen door de nas telkens als er onbeveiligd contact wordt gemaakt met de webinterface, deze om te leiden naar het wel versleutelde https. Dat is veiliger en, door het automatisch door de nas te laten afhandelen, net zo makkelijk. Omdat de nas niet over een echt ssl-certificaat beschikt, maar een zelfgemaakt exemplaar gebruikt, geven bijvoorbeeld Chrome en Firefox wel een foutmelding, maar je kunt de url van de nas als uitzondering toevoegen. De verbinding is dan wel beveiligd, maar de identiteit van de nas wordt dan niet via het certificaat bewezen (wat binnen je eigen thuisnetwerk ook helemaal niet uitmaakt).

©PXimport

08 Logging

Een belangrijk onderdeel van de beveiliging is weten wat er op de nas gebeurt. Je kunt dat te weten komen door in de logboeken te kijken, de vastlegging van alle gebeurtenissen op de nas. Afhankelijk van het soort gebeurtenis gebeurt dat standaard, zoals bij de systeemmeldingen, of moet je die apart activeren, zoals bij gebeurtenissen van gebruikers of verbindingen die met het systeem worden gemaakt. Zodra je als admin inlogt op de nas krijg je de belangrijkste meldingen direct te zien maar voor echt alle meldingen moet je bij de Logboeken zijn. Af en toe deze gebeurtenissen even nalopen en scannen op de ergste of meest verdachte meldingen, verhoogt de beveiliging van de nas.

©PXimport

09 Melding via e-mail

Om te voorkomen dat je een echt belangrijke melding mist of er te laat op reageert, kun je de nas je laten waarschuwen. Je krijgt dan per e-mail een waarschuwing toegestuurd en weet dan dat je nadrukkelijk even naar de gezondheid en veiligheid van de nas moet kijken. Om de mail te versturen is behalve het mailadres waar het bericht naartoe gestuurd moet worden ook een geldige smtp-server of mailservice nodig. Gebruik je één van de standaard services, moet je daarop eenmalig inloggen of je inloggegevens configureren. Het is verstandig om met een testbericht te controleren of de nas ook echt mail kan versturen. Afhankelijk van het merk nas kun je ook kiezen voor sms of een andere pushservice.

©PXimport

10 S.M.A.R.T.

Bij beveiliging denken we vooral aan hackers, maar bij een nas is het noodzakelijk verder te kijken. Voor de beveiliging van de gegevens op de nas is het namelijk nadrukkelijk nodig ook naar de hardware te kijken en die geregeld te controleren. En dat geldt vooral voor de harde schijven in de nas. Elke harde schijf gaat ooit stuk en dus is het belangrijk de gezondheid van elke schijf te monitoren. De nas gebruikt hiervoor s.m.a.r.t (self-monitoring analysis and reporting technology), een techniek om de gezondheid, temperatuur en de verbruiksstatus van een harde schijf te beoordelen, en wanneer een kritische waarde wordt overschreden, alarm te slaan. Je kunt de levensduur van de schijven al flink verhogen door speciale nas-schijven te gebruiken zoals de Western Digital Red en Seagate IronWolf. Deze zijn geoptimaliseerd voor gebruik in een nas. De laatste hebben zelfs een eigen gezondheidssysteem dat nog verder gaat dan s.m.a.r.t..

©PXimport

Raid

©PXimport

11 R-sync

Bij raid1 heb je, als beveiliging tegen uitval van een schijf, een kopie op een tweede schijf in dezelfde nas. Maar met de functie rsync synchroniseer je de hele nas of een deel ervan, naar een tweede nas. Die tweede nas kan op hetzelfde netwerk zitten, maar mag ook bij vrienden of familie heel ergens anders staan. Besef wel dat als de tweede nas buiten je eigen netwerk staat, dat je in je router via nat een poort (meestal 873) moet openzetten. En dat moet uiteraard ook in de router op de andere locatie.

Rsync werkt op bijna elke nas identiek. Activeer de rsync-server, bepaal een gebruikersnaam en wachtwoord en maak een gedeelde map aan om te synchroniseren. Rsync werkt heel efficiënt, na de eerste kopieerslag worden alleen nog de wijzigingen verstuurd. Heb je veel data, doe dan in elk geval de eerste rsync met de nas-apparaten op hetzelfde netwerk.

©PXimport

12 Cloud-back-up

Heb je geen tweede nas bij de hand, maar wil je wel de gegevens ook buiten het eigen huis bewaren, dan is cloud-back-up een optie. Je gebruikt dan de opslagruimte van één van de bekende cloudopslagsystemen zoals Microsoft OneDrive, Google Drive of Strato Hi-Drive. Voor veel van deze diensten zijn er apps beschikbaar: dat is een kwestie van installeren, een account toevoegen en je kunt back-uppen. QNAP en Synology bieden beide een back-upprogramma dat al deze diensten verenigt. Dat maakt het nog makkelijker. Synology heeft inmiddels ook een eigen cloud-back-updienst: Synology C2. Bedenk wel dat een beetje nas meestal veel meer bestanden bevat dan je gratis bij deze diensten kunt neerzetten. Wil je veel back-uppen, dan zal dat niet gratis zijn.

13 Lokale back-up

Misschien minder sexy, maar zeker zo handig is een back-up naar een via usb aangesloten externe schijf. Elke nas kan het en het is van alle back-upmogelijkheden vaak de snelste en in elk geval de meest overzichtelijke. Indien nodig kun je dit op een nog professionelere manier doen door niet te werken met normale schijven en een usb-dockingstation, maar te kiezen voor de RDX-oplossing van Tandberg Data. Verwisselbare schijven in een compacte behuizing mét overschrijfbeveiliging en een handig via usb 3.0 aan te sluiten schijfstation.

Als je ervoor kiest om meer dan één lokale back-up via usb te maken, dan kun je de schijven roteren en zorgen dat er altijd één buitenshuis wordt bewaard. Die kun je dan bewaren bij een familielid of een goede vriend (iemand die je vertrouwt, want het gaat wel om belangrijke data).

©PXimport

14 Is er nog meer?

©PXimport

Als je alle punten op deze checklist bent afgelopen, dan is de nas zeker beter beveiligd, en dat geldt ook voor de gegevens op de nas. Toch lijkt het alsof je altijd nog meer kunt doen, al betreft het dan handelingen waar niet iedereen het nut van inziet. Zo zou je ook antivirus op de nas kunnen installeren. Synology biedt bijvoorbeeld gratis het op ClamAV-gebaseerde Antivirus Essential (ClamAV heeft overigens niet zo’n beste reputatie) en kun je betaald zowel bij Synology als QNAP ook McAfee gebruiken. Maar over de zin of onzin van antivirus op een nas zijn de experts het nog niet eens?

Een andere optie is versleuteling van de schijven. De hele schijf of alleen een volume. Enerzijds is dat een geruststellende gedachte voor als je schijven gestolen worden of je de nas op een externe locatie staat, anderzijds wordt de nas er een stuk langzamer door en kan het lastig zijn om nog bestanden te herstellen als er ooit is misgaat met zo’n schijf.

Een vriezer die goed en efficiënt vriest, heeft allerlei voordelen. Zo is het gunstig voor je gezondheid, omdat bacteriën in een ijskoude vriezer minder kans krijgen. Ook bespaar je energie én hoef je je vriezer minder vaak te ontdooien. Met een paar simpele stappen zorg je ervoor dat jouw vriezer optimaal koelt.

Lees ook: Hier moet je op letten bij de aankoop van een nieuwe vriezer

De juiste temperatuur

Een goedwerkende vriezer begint met het instellen van de juiste temperatuur. Is je vriezer te warm, dan bederft voedsel sneller en zal er door het overtollige water sneller ijsvorming in het vriesvak ontstaan. In principe zijn alle temperaturen onder de -18°C goed, maar hoe kouder je je vriezer instelt, hoe meer energie hij verbruikt. Met een temperatuur van -18°C bewaar je je voedsel veilig, blijven voedingsstoffen lang behouden én ben je energiezuinig bezig. Veel vriezers beschikken over een ingebouwde thermostaat, vaak in de vorm van een draaiknop, waarop je de temperatuur kunt instellen. Heeft jouw vriezer dit niet, dan kun je een losse thermometer aanschaffen om de temperatuur in je vriezer te controleren.

Slim invriezen

Ook de manier waarop je je eten invriest, heeft veel invloed op hoe efficiënt jouw vriezer koelt. Zo laat voedsel dat nog warm is de temperatuur in je vriezer snel stijgen, waardoor voedingsmiddelen sneller bederven en je te maken kunt krijgen met ijsvorming. Het is dus verstandig om je kliekjes eerst op kamertemperatuur te laten komen voor je ze in de vriezer stopt. Om ervoor te zorgen dat het eten snel de juiste temperatuur bereikt, is het daarnaast beter om kleine porties in te vriezen. Let er daarbij op dat je luchtdichte bakjes of zakjes gebruikt, want als ingevroren eten in contact komt met lucht kan er vriesbrand op voedingsmiddelen ontstaan.

©qwartm

Een beetje overzicht in je vriezer is ook wel zo fijn. Zo weet je exact wat waar staat en hoef je de deur van de vriezer niet elke keer onnodig lang open te laten staan. Daarmee maak je het voor je vriezer een stuk makkelijker om de temperatuur vervolgens weer omlaag te krijgen. Je kunt bijvoorbeeld producten die je als eerste gebruikt voorin je vriezer zetten en overige producten meer naar achteren. Of plak labels op je bakjes met de data waarop je de producten hebt ingevroren. Ook kun je regelmatig even kijken welke producten weggegooid kunnen worden, zodat het geen rommeltje wordt in je vriezer.

Goed vullen (maar niet te vol)

Is jouw vriezer vaak maar voor de helft gevuld? Dat is zonde, want een halfvolle vriezer verbruikt veel onnodige energie. Misschien vind je in je keuken nog wat groente of fruit dat je niet van plan bent om op korte termijn op te eten. Mocht dat niet het geval zijn, dan kun je altijd een paar halfgevulde waterflessen in je vriezer leggen. Voor het afkoelen van producten (massa) hoeft een vriezer namelijk minder hard te werken dan voor het afkoelen van lucht. En omdat producten koude lucht goed vasthouden, gaat er bij het openen van je vriezerdeur minder kou verloren. Let op: een te volle vriezer is ook niet goed, want dit belemmert de luchtcirculatie en veroorzaakt ongelijke temperaturen in je vriezer.

Regelmatig ontdooien

IJsvorming beperkt niet alleen de ruimte in je vriezer, maar maakt ook dat het apparaat minder efficiënt gaat werken. IJs op de wanden van je vriezer werkt namelijk als een soort isolatielaag, waardoor het apparaat minder goed in staat is om warmte naar buiten af te voeren. Daar komt nog bij dat als ijsvorming zich op voedsel nestelt, vooral als dat niet luchtdicht is ingepakt, er vriesbrand op voedingsmiddelen kan ontstaan. Heeft jouw vriezer geen No Frost-functie? Dan moet je helaas zelf regelmatig aan de bak om het ijs uit je vriezer te verwijderen. Om het ontdooiingsproces te versnellen, kun je een bak met heet water in de vriezer plaatsen of het ijs met een föhn verwarmen. Als je je vriezer toch ontdooit, maak 'm dan meteen goed schoon. Ook op vuil in je vriezer kan namelijk ijs of rijp ontstaan.

©Thomas Heitz

De condensor schoonmaken

Maak tot slot, als dat mogelijk is, de condensor van je vriezer regelmatig schoon. De condensor is het zwarte rooster aan de achterkant van je vriezer dat ervoor zorgt dat warmte goed wordt afgevoerd. Zit de condensor vol met stof of vuil, dan blijft warmte in je vriezer circuleren. De condensor kun je eenvoudig schoonmaken met een zachte borstel of met een stofzuiger met borstel-opzetstuk.

Op een smartphone met Android wordt standaard alles aan je Google-account gekoppeld. Daardoor weet het bedrijf heel wat over jou en niet iedereen voelt zich daar goed bij. Gelukkig zijn er ook manieren om Android te gebruiken zonder dat je Google volledige inzicht in je digitale leven geeft, bijvoorbeeld met de alternatieve firmware LineageOS met microG.

Wanneer je een Android-smartphone of -tablet installeert, is aanmelden met een Google-account een van de eerste dingen die je doet. Vanaf dat moment zijn alle Google-apps zoals Gmail, Google Maps, Chrome, Google Calendar en Google Play op je apparaat aan je account gekoppeld. Handig … maar zo krijgt Google wel heel veel controle over je digitale leven.

In principe kun je op je Android-apparaat gewoon geen Google-account aanmaken en alternatieve apps installeren. Maar omdat het hele besturingssysteem rond Google-componenten is gebouwd, is dat knap lastig. Dan installeer je beter een alternatieve Android-firmware die geen koppeling met het Google-ecosysteem heeft ingebouwd. In dit artikel doen we dat met LineageOS en microG, en hebben we het ook over enkele andere mogelijkheden.

1 Android Open Source Project

Voordat we naar die alternatieven kijken, moeten we het even hebben over hoe die mogelijk zijn als Google-diensten zo nauw met Android verweven zijn. De basis van Android bestaat uit het Android Open Source Project (AOSP). Dit is een volwaardig mobiel besturingssysteem waarvan de broncode beschikbaar is onder een opensource-licentie. Fabrikanten van Android-apparaten voegen hier drivers aan toe om Android op hun hardware te laten werken, en vaak nog eigen aanpassingen. Andere belangrijke componenten die we in een Android-systeem verwachten, zoals Google Play Services, zijn niet opensource. Wanneer je een Android-telefoon koopt, staat daarop dus een besturingssysteem dat door de fabrikant is gecreëerd op basis van AOSP, Google Play Services en eigen aanpassingen.

LineageOS is een project dat de broncode van AOSP neemt en daar extra functionaliteit aan toevoegt, vaak met de focus op aanpasbaarheid, beveiliging en privacy. De nieuwste versie is LineageOS 21, gebaseerd op Android 14. Het biedt voor zo’n tweehonderd apparaten installeerbare images met de drivers van de fabrikanten ingebouwd. Staat je toestel niet in de lijst met apparaten, dan kun je LineageOS helaas niet installeren. De apps van Google zijn (net zoals Google Play Services) hierin niet opgenomen, omdat de licentie dat niet toestaat. Die kun je wel achteraf installeren, waarna je je met een Google-account kunt aanmelden en LineageOS zoals de standaard Android-versie op je telefoon is te gebruiken.

LineageOS ondersteunt zo’n tweehonderd apparaten.

2 MicroG

Nu zou je denken dat je zonder de apps van Google wel verder kunt, maar dat is helaas niet het geval. Google heeft gaandeweg meer en meer functionaliteit van AOSP naar Google Play Services en andere propriëtaire componenten verplaatst. Die vereisen een Google-account of tracken je op een andere manier. En heel wat Android-apps maken van deze propriëtaire componenten gebruik. Als je die apps op LineageOS zonder Google-apps installeert, dan zouden die in het beste geval maar deels werken en in het slechtste geval starten ze niet eens op.

Het project microG biedt hier een oplossing voor. Dit is een opensource-project dat allerlei propriëtaire Android-componenten van Google her-implementeert. Zo biedt GmsCore een alternatieve implementatie voor Google Play Services. Ook Google Cloud Messaging (voor pushnotificaties) en geolocalisatie zijn op deze manier mogelijk. De versies van microG kun je dan op bijvoorbeeld LineageOS gebruiken, waardoor allerlei Android-apps toch weer werken zonder dat je een Google-account of Google-apps nodig hebt.

Het microG-project her-implementeert een deel van Google Play Services.

3 LineageOS met microG

Helaas kun je microG niet zomaar op LineageOS installeren. MicroG werkt namelijk alleen op een Android-versie met ‘signature spoofing’. Die truc zorgt ervoor dat de componenten van microG zich als Google Play Services kunnen voordoen, waardoor apps er mee samenwerken zonder dat ze weten dat het niet om een officiële Google-dienst gaat. Maar de ontwikkelaars van LineageOS hebben om diverse redenen besloten om signature spoofing niet op te nemen.

Er zijn manieren om een al geïnstalleerd Android-systeem te patchen zodat het signature spoofing ondersteunt. MicroG biedt ook zijn eigen versie van LineageOS aan: LineageOS for microG. Die versie heeft een minimale vorm van signature spoofing ingebouwd die alleen geprivilegieerde systeem-apps toelaat om de spoofing-permissie te gebruiken en alleen na toestemming van de gebruiker. LineageOS for microG ondersteunt exact dezelfde apparaten als LineageOS en verspreidt twee keer per maand over-the-air-updates.

LineageOS for microG biedt een opensource Android-versie zonder Google-apps.

4 Installeren

De installatie van LineageOS for microG gebeurt exact hetzelfde als bij LineageOS: zoek je toestel op in de lijst met ondersteunde apparaten van de LineageOS Wiki en volg daar de installatiegids. Het enige verschil is dat je de installatiebestanden voor je apparaat niet van de website van LineageOS downloadt, maar van de downloadpagina voor LineageOS for microG. Voor de Fairphone 5 vind je die bijvoorbeeld in de map FP5.

Installeer eerst Android Debug Bridge en fastboot en volg op die pagina ook de instructies om de usb-foutopsporingsmodus op je Android-apparaat in te stellen. Daarna dien je op sommige apparaten de bootloader te ontgrendelen, zodat je alternatieve firmware kunt installeren. De instructies hangen van je apparaat af. Op sommige apparaten moet je ook nog extra partities flashen met fastboot. Let op dat je de downloadbestanden van LineageOS for microG flasht en niet degene waarnaar in de installatie-instructies van LineageOS wordt verwezen.

Daarna flash je het herstelbestand van LineageOS for microG en start je het apparaat in herstelmodus. Voer dan een factory reset uit. Nu kun je eindelijk het zip-bestand met het rootbestandssysteem van LineageOS for microG naar je telefoon flashen met de opdracht adb vanaf je computer. De stap om een Google Apps-add-on te installeren sla je over, want we willen Google juist vermijden. Herstart daarna je telefoon, waarna je in LineageOS for microG opstart.

Volg heel nauwgezet alle waarschuwingen en tips in de installatie-instructies van LineageOS.

5 Configureren

Na de eerste keer opstarten, word je verwelkomd door de configuratiewizard, waarin je onder andere je wifi-netwerk instelt. Maar in tegenstelling tot een normale Android-installatie krijg je nu niet de vraag om een Google-account in te voeren. Wanneer de initiële configuratie van LineageOS is voltooid, open je de app microG Settings. Klik dan op Self-Check. Uiteindelijk moet de hele lijst met controles aangevinkt zijn. Je moet hiervoor diverse permissies aan de app toekennen, zodat microG zijn werk kan doen.

Keer terug naar het hoofdvenster van microG Settings. Hier staan allerlei functies standaard uitgeschakeld en het is aan jou om te kiezen welke je inschakelt. Zo kun je hier een Google-account toevoegen, maar dat doen we in het kader van dit artikel juist niet. Exposure Notifications kun je niet hier inschakelen; daarvoor dien je een app te installeren die deze API gebruikt. Google SafetyNet kun je hier wel inschakelen. Sommige apps vereisen deze functie om te controleren of je Android-apparaat wel veilig is. Mocht je zo’n app gebruiken, schakel die functie dan hier in.

Geef microG alle permissies die het nodig heeft om zijn taken uit te voeren.

6 Pushnotificaties

Als je nu apps zou installeren, zou je merken dat je geen pushnotificaties krijgt. Veel apps, onder meer WhatsApp en Slack, maken hiervoor immers gebruik van Google Cloud Messaging. MicroG implementeert dit ook, maar heeft dit standaard uitgeschakeld. Om pushnotificaties naar je apparaat te kunnen sturen, moet Google je apparaat ook kunnen identificeren aan de hand van een uniek apparaat-ID. Ga daarvoor in microG Settings naar Google device registration en schakel Register device in. Standaard (in het profiel Native) genereert microG nu een ID waaruit Google je apparaattype en softwareversie kan afleiden, maar niet het serienummer. Het profiel Real geeft ook het eigenlijke serienummer aan Google door. Er zijn ook profielen om je voor een Google Nexus 5X of Motorola Moto G uit te geven, voor als je zo weinig mogelijk informatie wilt prijsgeven. Als je een Google-account hebt toegevoegd, wordt dit overigens ook bij je apparaatregistratie aan Google doorgegeven.

Nadat je apparaat bij Google is geregistreerd, tik je op Cloud Messaging en vink je Receive push notifications aan. Zodra je apps installeert die van Google Cloud Messaging gebruikmaken, komen ze hier in de lijst te staan. Als je merkt dat je notificaties met vertraging aankomen, tik dan op de drie puntjes bovenaan rechts, dan op Advanced en pas de instellingen voor pushnotificaties per netwerk aan. Zet ze bijvoorbeeld op Ping interval: 60 seconds. Maar dit is alleen nodig als de netwerkkwaliteit laag is, de standaardwaarde Automatic zou op de meeste netwerken voldoende moeten zijn.

Dankzij microG kunnen je apps ook pushnotificaties ontvangen.

7 Locatiemodules

Diverse apps vragen je locatie op, bijvoorbeeld om een relevante selectie van nabije winkels of laadpalen te tonen. Maar als ze daarvoor altijd je gps gebruiken, belast dat de batterij van je telefoon te veel. Bovendien hoeft die locatie niet altijd zo precies te zijn als van je gps. Google heeft daarvoor de component Network Location Provider, die communiceert met servers van Google om bijvoorbeeld op basis van de zichtbare wifi-netwerken te bepalen waar je apparaat zich bevindt.

In de instellingen van microG kun je ook hiervoor een alternatief instellen. Tik daarvoor op Location modules. Standaard bood microG één geolocalisatiemodule die op basis van gsm-netwerken en wifi-toegangspunten in de buurt je locatie bepaalt: Mozilla Location Service. Helaas is die dienst inmiddels stopgezet. Je kunt wel de app Local GSM Location installeren en de locatiedienst die ze aanbiedt daarna hier inschakelen.

MicroG kan ook je locatie bepalen zonder servers van Google.

8 OpenCelliD gebruiken

Tik daarna op de module en dan op Configure. Geef de app toestemming om altijd toegang tot je locatie te krijgen en daarna om bestanden op te slaan. Maak nu een gratis OpenCelliD-account door op www.opencellid.org op Sign Up te klikken. Klik op de verificatielink en dan in het dashboard op Access Tokens. Je ziet daar één toegangstoken. Klik op Show Token en kopieer die.

Open dan op je telefoon weer de configuratie van de locatiemodule, tik linksboven op het menu en dan op Advanced Settings. Vul bij OpenCellID Access Token je token in. Keer terug, open Settings en vink bij Sources de optie OpenCellID aan. Keer weer terug, tik op Database / Create Database. De module downloadt nu de locatiedatabase naar je telefoon. Op een later moment kun je altijd op Update Database tikken om de database bij te werken.

Haal locatiedata uit de database van OpenCelliD.

9 Apps installeren met F-Droid

LineageOS for microG komt standaard met F-Droid, een appwinkel voor opensource-apps. Zo kun je hiermee de app Local GSM Location installeren, maar ook apps als Aegis Authenticator voor tweefactorauthenticatie, Joplin voor todo-lijstjes, Organic Maps voor offline navigatie, Syncthing voor synchronisatie van je bestanden, apps voor Home Assistant en openHAB, en nog veel meer. Voor veel propriëtaire Android-apps bestaan er opensource-alternatieven die je in F-Droid vindt. Ook apps updaten gebeurt in F-Droid. In de instellingen kun je zelfs automatische updates instellen.

Opvallend is dat F-Droid per app de zogenoemde anti-functies toont, bijvoorbeeld of de app gebruikmaakt van een propriëtaire back-end of je activiteiten aan de makers rapporteert. Ook de door de app gevraagde machtigingen toont F-Droid bij elke app. Zo kun je op basis van de anti-functies en machtigingen beslissen of je de app wel met deze functies wilt gebruiken of voldoende vertrouwt.

F-Droid toont bij elke app de ‘anti-functies’, functies die je misschien minder leuk vindt.

10 Apps installeren met Aurora Store

Op F-Droid vind je alleen opensource-apps. Voor apps als WhatsApp, Slack, Snapchat, Instagram, TikTok, Spotify en meer heb je een andere bron nodig. Maar zonder een Google-account kan dat niet met Google Play Store. Gelukkig bestaat er een alternatief: Aurora Store. Dit is een onofficiële opensource-client voor de Google Play Store. Je kunt hiermee dus apps op de Google Play Store zoeken, downloaden en updaten. Dat kan met een Google-account, maar ook anoniem. Aurora Store koppelt je dan aan een van de vele anonieme gebruikersaccounts. Soms lukt het aanmelden niet. Probeer het dan opnieuw, dan word je aan een willekeurig ander account gekoppeld.

Net zoals in Google Play Store krijg je in Aurora Store apps te zien per categorie, inclusief lijstjes met de populairste apps of apps die voor jou zijn aangeraden. De mogelijkheden zijn minder uitgebreid dan met Google Play Store. Zo kun je geen betaalde apps downloaden of updaten. Bovendien werken heel wat in-app-functies van allerlei apps niet wanneer je Aurora Store anoniem gebruikt. Soms krijg je bepaalde apps ook niet te zien, omdat het anonieme account dat je op dat moment gebruikt van een bepaald land is waar de app niet is toegelaten. Tik in dat geval bovenaan rechts op het tandwiel, dan op Manage your account / Log uit en log weer in als Anoniem. Je krijgt dan een willekeurig ander anoniem account en kunt opnieuw proberen of je de gewenste app vindt.

Met Aurora Store download en update je anoniem apps uit de Google Play Store.

11 Alternatieven voor Google-apps

Nu je een Android-systeem zonder Google-account hebt, moet je uiteraard voor alle Google-apps nog alternatieven zoeken. Wil je onmiddellijk een heel ecosysteem, dan loont het de moeite om naar Proton te kijken. Je kunt gratis een account maken bij deze dienstenprovider die zich focust op privacy en geen toegang heeft tot je gegevens dankzij end-to-end encryptie. Voor wie meer opslag en mogelijkheden wil, biedt Proton ook betaalde abonnementen aan. De apps Proton Mail, Proton Calendar, Proton Drive, Proton VPN en Proton Pass zijn te vinden in F-Droid en Aurora Store.

Maar je hoeft jezelf niet aan één ecosysteem te verbinden. Je kunt perfect losse apps installeren (zoals de mail-app K-9 Mail) of met DAVx5 in combinatie met een CalDAV/CardDAV-server je agenda en contacten in de standaard-apps van LineageOS integreren. Als wachtwoordbeheerder kun je bijvoorbeeld de app van Bitwarden installeren, in combinatie met de server van Bitwarden of je eigen Vaultwarden-server. Voor tweefactorauthenticatie is Aegis Authenticator een goede keuze.

Als je gewend bent om je browsergeschiedenis en -tabs tussen verschillende apparaten te synchroniseren met Google Chrome, dan is er ook daarvoor een alternatief zonder Google-account. Mozilla biedt een vergelijkbare functie voor Firefox aan met Firefox Sync. Als je de Firefox-app op LineageOS installeert en een gratis Mozilla-account aanmaakt, kun je dus ook je tabs synchroniseren. Interessant om te weten is dat dit met end-to-end encryptie werkt. Mozilla krijgt dus niet te zien welke webpagina’s je bezoekt.

Proton biedt een heel ecosysteem aan van diensten met end-to-end encryptie.