Afgelopen jaar kwamen talloze bedrijven in de problemen vanwege ransomware. De besmette servers draaiden voornamelijk Windows; Linux-servers kwamen er zonder al te veel kleerscheuren van af. Naar aanleiding van dit incident vragen veel beheerders zich af hoe veilig Linux eigenlijk is.

Door de manier waarop Linux ontworpen is, is het systeem van nature behoorlijk veilig. Dit is voor een groot deel te herleiden tot het gebruik van de execute-permissie. Zonder de execute-permissie kan geen enkel programma automatisch worden uitgevoerd. De beheerder van de betreffende computer zal eerst als bewuste actie de execute-permissie op een script of programmabestand moeten toepassen voordat een programma wordt uitgevoerd.

Bij het aanmaken van een bestand op een systeem zal dat bestand nooit automatisch uitvoerbaar worden gemaakt. Vanwege de manier waarop Linux omgaat met de execute-permissie, krijgen ook virussen op Linux weinig kans. Er zijn dan ook eigenlijk geen bekende virussen, noch zijn er virusscanners die veel meer scannen dan in- en uitgaande mail wanneer Linux gebruikt wordt als mailserver.

Een tweede kernelement is het gebruik van het root-gebruikersaccount. De gebruiker root is de almachtige systeembeheerder voor wie geen enkele beperking geldt. Alle andere gebruikers kunnen alleen bestanden aanmaken in hun eigen home directory of in /tmp. Dat betekent dat de schade, die een gebruiker bewust of onbewust kan uitvoeren, meestal slechts impact heeft op een beperkte omgeving.

Mandatory Access Control

Een ander belangrijk onderdeel van Linux’ beveiliging is Mandatory Access Control (MAC). Er zijn twee belangrijke systemen voor MAC: SELinux en AppArmor. Beide systemen hebben als doel om ervoor te zorgen dat alleen acties die specifiek zijn toegestaan mogen worden uitgevoerd. Hiervoor wordt gewerkt met profielen, die aan toepassingen worden gekoppeld. In deze profielen wordt op system call-niveau bepaald wat is toegestaan. Alles wat niet in zo’n profiel is gedefinieerd, wordt geblokkeerd.

Tot zover lijkt het alsof Linux zijn zaakjes goed voor elkaar heeft en het nagenoeg onmogelijk is om in te breken. Maar schijn bedriegt! Er zijn namelijk enkele precaire zaken die ervoor kunnen zorgen dat een verkeerd beheerde Linux-machine de deur wagenwijd openzet voor ongeoorloofde activiteit. In het vervolg van dit artikel gaan we verder in op aanvallen op het root-wachtwoord, de installatie van onbetrouwbare software, het uitvoeren van instabiele of onbetrouwbare scripts, brute-force attacks op ssh en zero-day-exploits.

Gevaar van root-gebruiker

De grootste zwakke plek in Linux is de root-gebruiker. Bij het ontwerp van het besturingssysteem werd onderscheid gemaakt tussen geprivilegieerde gebruikers en niet-geprivilegieerde gebruikers. Een niet-geprivilegieerde gebruiker is een gebruiker die slechts toegang heeft tot beperkte onderdelen van het besturingssysteem. De root-gebruiker is de geprivilegieerde gebruiker voor wie geen enkele beperking geldt. Je zou kunnen stellen dat de root-gebruiker onbeperkt toegang heeft tot de Linux-kernel. Zodra een aanvaller een root-shell kan openen, is hij dus binnen.

Het spreekt voor zich dat je de root-gebruiker voorziet van een zeer sterk en ingewikkeld wachtwoord. Daarnaast zorg je er als Linux-gebruiker voor om nooit in te loggen als root, want dan wordt elk proces dat je start met root-privileges opgestart. Het zwakke punt blijft echter dat de root-gebruiker überhaupt bestaat en dat het onder bepaalde omstandigheden mogelijk is om in te loggen als root. De enige beperkende factor is dat je hiervoor bij het opstarten wel consoletoegang moet hebben tot het Linux-systeem

Op een modern Linux-systeem geeft de volgende procedure vrijwel altijd toegang tot een root-shell zonder dat een wachtwoord hoeft te worden ingevoerd.

Zorg ervoor dat de doelwitmachine opnieuw wordt opgestart. Zodra je de Grub2 boot-prompt ziet, druk je op e om de editor te openen:

©PXimport

Eenmaal in de editor zoek je de regel op die begint met linux16. Voeg aan het eind van deze regel de tekst

in. Gebruik nu de toetscombinatie Ctrl+X. Het Linux-systeem zal nu opstarten, waarbij alleen een kernel en het initramfs geladen worden. Initramfs is een minimaal besturingssysteem van waaruit je toegang hebt tot je volledige harde schijf, zonder dat je een root-wachtwoord hoeft in te voeren.

Na het opstarten wordt nu een root-shell weergegeven, maar dan ben je er nog niet. Als je het wachtwoord wilt resetten, dien je eerst de volledige toegang tot het root-filesystem op de schijf te herstellen. Hiervoor zijn nog een paar commando’s nodig. Tik eerst

om uit te vinden op welke directory je root-filesystem is gemount. In het onderstaande voorbeeld gaan we uit van CentOS, waar het root-bestandssysteem op /sysroot wordt gemount. Typ nu:

Dit zorgt ervoor dat alle device files beschikbaar zijn. Gebruik nu deze opdracht, zodat ook de belangrijke kernel interface /proc beschikbaar is op het tijdelijke root-mountpunt:

Als deze essentiële bestandssystemen zijn gemount, typ je

sysroot om het tijdelijke mountpunt van het root-filesystem om te zetten naar de / directory. Wanneer je tools gebruikt die toegang vereisen tot de / directory op de schijf, zullen die het nu allemaal doen. Je kunt nu

gebruiken om het root-wachtwoord in te stellen. Tot slot: als je op een distributie werkt waar SELinux is ingeschakeld, moet je ervoor zorgen dat het hele bestandssysteem opnieuw wordt voorzien van SELinux contextlabels. Dat doe je met de opdracht

Typ nu reboot om opnieuw op te starten en in te loggen met je eigen rootwachtwoord. Veel plezier met de onbeperkte toegang tot het betreffende systeem!

Bescherming

Wellicht vraag je je af of het nu echt zo simpel is. Als je geen tegenmaatregelen getroffen hebt: ja, helaas wel. Gelukkig zijn er maatregelen die je als eigenaar van een Linux-systeem kunt treffen om deze zwakke plek te beschermen. Daarover meer in een later artikel.

Tekst: Sander van Vugt

Op zoek naar de ultieme verbinding? Acer onthult tijdens CES vier nieuwe netwerkproducten met de nieuwste wifi 7- en 5G-technologie. Van een krachtige Predator-router voor gamers tot slimme mesh-systemen en een mobiele hotspot.

Acer heeft tijdens CES in Las Vegas het assortiment aan netwerk- en connectiviteitsproducten uitgebreid met vier nieuwe apparaten. Het gaat om een 5G CPE-router gericht op gaming, twee wifi 7 mesh-routers voor thuis en kleine kantoren, en een draagbare 5G-hotspot voor mobiel gebruik. Met deze introducties speelt de fabrikant in op de eeuwige vraag naar snellere en stabielere verbindingen, zowel binnenshuis als onderweg. Alle aangekondigde producten maken gebruik van de laatste wifi 7- en 5G-technologieën en zijn bedoeld voor diverse gebruiksscenario's, zoals vaste thuisnetwerken tot flexibel werken op locatie.

©Acer

5G en wifi 7 in één router

De Predator Connect X7S 5G CPE is een router voor gebruikers die hoge eisen stellen aan netwerkprestaties, zoals gamers en streamers. Het apparaat combineert mobiele 5G-connectiviteit met tri-band wifi 7, waarbij gebruik wordt gemaakt van de 2,4GHz-, 5GHz- en 6GHz-banden. Hierdoor kan de router volgens Acer downloadsnelheden tot 4,67 Gbps via 5G ondersteunen, wat vooral relevant is op locaties waar glasvezel ontbreekt of beperkt beschikbaar is. Door meerdere banden tegelijk te benutten, kan de verbinding stabiel blijven wanneer meerdere apparaten actief zijn.

Naast de draadloze mogelijkheden beschikt de Predator Connect X7S over functies die gericht zijn op het beheren van netwerkverkeer. Via Hybrid Quality of Service en ondersteuning voor Intel Killer Prioritization Engine kan bandbreedte worden toegewezen aan toepassingen die gevoelig zijn voor vertraging, zoals online games of videostreaming. De router ondersteunt zowel 5G als 4G LTE via een nano-SIM en kan daarnaast overschakelen naar een bekabelde 2,5 Gbps Ethernet WAN-verbinding als back-up. Daarmee is het apparaat bedoeld als centrale netwerkoplossing voor vaste én mobiele internetverbindingen binnen één huishouden.

©Acer

Mesh-routers voor woningen en kleine kantoren

Voor vaste netwerken introduceert Acer de Connect Ovia T360 en T520, twee wifi 7 mesh-routers met verschillende configuraties. De T360 is een dual-band model dat gebruikmaakt van 2,4 GHz en 5 GHz en per knooppunt een dekking tot circa 90 vierkante meter biedt. Deze uitvoering richt zich vooral op appartementen en kleinere woningen waar een stabiele basisdekking volstaat. De T520 voegt daar een extra 6GHz-band aan toe en vergroot de dekking per knooppunt tot ongeveer 110 vierkante meter, wat deze router geschikter maakt voor grotere woningen of omgevingen met veel gelijktijdige verbindingen.

Beide mesh-systemen zijn ontworpen om dode zones in huis of kantoor te verminderen door meerdere knooppunten te laten samenwerken. Ondersteuning voor wifi 7-functies zoals Multi-Link Operation maakt het mogelijk om meerdere frequentiebanden tegelijk te gebruiken, wat kan bijdragen aan lagere latentie en een hogere doorvoersnelheid. Extra knooppunten kunnen eenvoudig worden toegevoegd, waarbij apparaten automatisch overschakelen naar het sterkste signaal wanneer gebruikers zich door de ruimte bewegen. Naast draadloze verbindingen bieden de routers ook snelle LAN- en WAN-poorten voor apparaten die je liever bekabeld gebruikt.

©Acer

Mobiele hotspot voor onderweg

Met de Connect M4D 5G Mobile WiFi richt Acer zich op gebruikers die ook buiten huis of kantoor een fatsoenlijke internetverbinding willen. Deze compacte hotspot kan een 5G-verbinding delen met maximaal zestien apparaten tegelijk via dual-band wifi 6. Dat maakt het apparaat geschikt voor zakelijk reizen, woon-werkverkeer of situaties waarin tijdelijk een eigen netwerk nodig is. De ingebouwde batterij heeft volgens Acer een gebruiksduur tot 15 uur, wat genoeg moet zijn voor een volledige werkdag zonder opladen.

De M4D ondersteunt verschillende SIM-opties, waaronder nano-SIM, eSIM en virtuele SIM, waardoor gebruikers tussen providers en regio's kunnen wisselen zonder van hardware te veranderen. Je kunt het apparaat ook inzetten als wifi-extender of via usb-tethering koppelen aan laptops met verschillende besturingssystemen. Met het optionele dockingstation verander je de hotspot in een compacte vaste router met een bekabelde LAN-aansluiting. Op het gebied van beveiliging zijn onder meer WPA2- en WPA3-codering, firewallfuncties en vpn-ondersteuning aanwezig, terwijl software-updates automatisch via het netwerk worden uitgevoerd.

Centraal beheer en beveiliging

Alle nieuwe Predator- en Acer Connect Ovia-producten maken gebruik van dezelfde Acer Connect-app voor installatie en beheer. Via deze app kun je mesh-knooppunten configureren, verbonden apparaten beheren en gastnetwerken instellen via een smartphone. Daarnaast biedt Acer een uniforme set beveiligingsopties, waaronder WPA3-versleuteling, ouderlijk toezicht en firewall-instellingen.

Alle hierboven genoemde apparaten worden in juni in de Benelux verwacht. Exacte prijzen en definitieve specificaties volgen. Volgens Acer wordt aanvullende informatie over lokale beschikbaarheid en configuraties later via de regionale verkoopkanalen bekendgemaakt.

Bij ID.nl zijn we gek op producten waar je niet de hoofdprijs voor betaalt. Daarom speurt de redactie een aantal keer per week naar zulke deals. Na de kerstvakantie gaat iedereen weer naar school en werk en is het misschien wel tijd voor eenieuwe laptop. Wij vonden voor de start van 2026 vijf uiteenlopende laptops voor niet meer dan 600 euro.

Op zoek naar een nieuwe laptop, bijvoorbeeld voor school of studie? Er is ruime keuze, maar welke laptop moet je nu hebben zonder teveel geld uit te geven? Wij vonden een vijftal betaalbare laptops met uitstekende prestaties.

MSI Modern 15 F13MG-473NL 

Met zijn comfortabele 15,6‑inch scherm biedt de MSI Modern 15 een fijne werkruimte voor wie graag overzicht houdt. Perfect voor multitasken, tekstverwerken of genieten van een film zonder in te leveren op draagbaarheid. De Intel Core i3-processor is van de recente 13e generatie, waardoor deze laptop in tegenstelling tot oudere modellen helemaal bij de tijd is qua efficiëntie. Dit maakt het voor dagelijks gebruik en studie een heel aantrekkelijke laptop. Wat wel iets is om rekening mee te houden: het werkgeheugen is standaard 8 GB; dit kan bij veel open tabbladen of zwaardere programma's al snel aan de krappe kant zijn, maar gelukkig kun je het geheugen uitbreiden tot 16 GB.

Processor: Intel Core i3-1315U (13e generatie)
Werkgeheugen: 8 GB (uitbreidbaar)
Opslag: 512 GB SSD
Beeldscherm: 15,6 inch

HP  15‑fd0951nd

De HP 15‑fd0951nd combineert moderne prestaties met een strak ontwerp. Binnenin draait een Intel Core i5‑processor van de 13e generatie, aangevuld met 8 GB RAM en een snelle 512 GB SSD. Ideaal voor werken met documenten, browsen en videobellen in hoge kwaliteit. Het 15,6‑inch Full HD‑beeldscherm biedt voldoende scherpte en ruimte voor comfortabel gebruik, en extra’s zoals een webcam met privacy-schuifje, ruisonderdrukking en een vingerafdrukscanner maken deze laptop net iets slimmer dan de gemiddelde allrounder. Wil je meer werkgeheugen, dan kun je de interne geheugenmodule vervangen door een 16 GB SO-DIMM-module, er is één enkel slot aanwezig. De SSD-opslag is tot 1 TB uit te breiden.

Processor: Intel Core i5-1334U
Werkgeheugen: 8 GB (uitbreidbaar tot 16 GB)
Opslag: 512 GB SSD (uitbreidbaar tot 1 TB)
Beeldscherm: 15,6 inch

ASUS Vivobook Go 14 E1404FA

De ASUS Vivobook Go 14 is een handige, compacte laptop die opvallend makkelijk mee te nemen is. Met zijn lichte behuizing en 14‑inch scherm is hij gemaakt voor onderweg of flexibel thuiswerken. De prestaties zijn prima afgestemd op dagelijkse taken zoals tekstverwerking, internetten en streamen, en dankzij het efficiënte ontwerp werk je stil en zonder afleiding. De vormgeving is modern en praktisch, zonder overbodige franje – gewoon een betrouwbare laptop die doet wat je ervan verwacht. Geheugen uitbreiden is niet mogelijk, wel kun je de interne M.2-ssd vervangen door een exemplaar van maximaal 2 TB.

Processor: AMD Ryzen 5 7520U
Werkgeheugen: 8 GB (niet uitbreidbaar)
Opslag: 512 GB SSD (uitbreidbaar tot max 2 TB)
Beeldscherm: 14 inch

HP 15-fd0651nd

De HP 15-fd0651nd is een budgetvriendelijke, betrouwbare keuze voor dagelijks gebruik, zoals administratie, studie en het streamen van media. Het apparaat beschikt over een 15,6 inch Full HD-scherm, wat zorgt voor scherp beeld bij het werken of video's kijken. Dankzij het matte scherm heb je minder last van reflecties, en de helderheid van 300 nits is netjes voor deze prijsklasse. De laptop wordt aangedreven door een Intel Core i5-1334U processor uit de 13e generatie. Samen met 8 GB werkgeheugen en een 512 GB SSD biedt dit vlotte prestaties voor multitasken en snelle opstarttijden. Voor zware grafische taken of zware games is hij minder geschikt vanwege de geïntegreerde videokaart, maar voor huis-tuin-en-keukengebruik is hij krachtig genoeg. Een pluspunt is de focus op duurzaamheid: de behuizing bevat gerecycled plastic en de laptop is Energy Star-gecertificeerd. Ook handig zijn de ondersteuning voor snelladen (HP Fast Charge: 50% in ca. 45 min) en de aanwezigheid van een numeriek toetsenblok.

Processor: Intel Core i5-1334U
Werkgeheugen: 8 GB (niet uitbreidbaar)
Opslag: 512 GB PCIe NVMe M.2 SSD
Beeldscherm: 15,6 inch

Asus Vivobook 17

De Asus Vivobook 17 is een solide laptop voor thuisgebruik en alledaagse kantoortaken, met als meest opvallende eigenschap het grote 17,3 inch Full HD-scherm. Dankzij het IPS-paneel heb je goede kijkhoeken en kleurweergave, wat prettig is voor het kijken van films of werken in spreadsheets. Onder de motorkap zit een Intel Core i5-1235U processor van de 12e generatie. In combinatie met de 512 GB SSD zorgt dit ervoor dat de laptop vlot opstart en programma's snel reageren. Het werkgeheugen van 8 GB is voldoende voor standaard multitasking, maar kan voor zwaardere gebruikers wat krap aanvoelen (gelukkig is dit uitbreidbaar tot 16 GB).

Het design is afgewerkt in de kleur 'Quiet Blue' en beschikt over praktische functies zoals een fysiek schuifje voor de webcam (privacy), een scharnier dat 180 graden open kan, en een verlicht toetsenbord.

Processor: Intel Core i5-1235U
Werkgeheugen: 8 GB (uitbreidbaar tot 16 GB)
Opslag: 512 GB SSD
Beeldscherm: 17,3 inch