Linux mag dan wel niet zo'n gewild doelwit zijn voor cybercriminelen als Windows, helemaal veilig is het standaard ook niet. We zetten in dit artikel de belangrijkste gevaren voor je op een rij, uiteraard met oplossing. Linux beveiligen doe je zo.

Lees eerst: Zo eenvoudig is het hacken van Linux

Zorg om te beginnen dat je systeem niet fysiek bereikbaar is. Een fysiek bereikbaar systeem kan immers worden gehackt. Voorzie Grub dus van een wachtwoord om toegang te krijgen tot de boot-prompt. Maar ook dan kun je nog altijd inbreken op de server door op te starten van een boot-image, zoals een dvd of usb-stick. Dat zet je uit door in de bios van het systeem de interne harde schijf als eerste in de boot-volgorde te definiëren.

Voorzie tot slot je bios (efi) van een wachtwoord en zet de Linux-machine achter slot en grendel. Met deze maatregelen heb je het vrijwel onmogelijk gemaakt om ongeoorloofd het root-wachtwoord te resetten.

Rootkits en software packages

Om software te kunnen installeren, moet je met root-permissies software packages installeren. Er zijn echter maar weinig mensen die packages eerst goed inspecteren om te kijken of ze niet toevallig kwaadaardige code (zoals rootkits) bevatten. En misschien ben je zelf ook weleens tevergeefs via apt, zypper, dnf of yum op zoek geweest naar een driver of programma. Gelukkig kwam je ergens op internet een package tegen met een veelbelovende beschrijving. Het probleem met packages van internet is echter dat je geen idee hebt wát je precies installeert.

belangrijk dat je zeker bent van je zaak. Daar is een vrij eenvoudige oplossing voor: gebruik alleen de repository’s die door je distributie beschikbaar worden gesteld. De kans dat er dan iets misgaat, is bijzonder klein. Het risico neemt dan ook toe wanneer je verder zoekt dan de software die door jouw Linux-distributie beschikbaar wordt gesteld.

Dat geldt al voor ogenschijnlijk betrouwbare externe partijen, maar al helemaal voor packages die je zelf op internet gevonden hebt. Mocht je toch software van internet downloaden en installeren, dan is het verstandig om te analyseren wat je precies gaat doen. Als het om rpm-packages gaat, gebruik dan de opdracht

vóórdat je die installeert.

Scripts

Wellicht het grootste probleem van Linux zijn onbetrouwbare of gewoon slecht geschreven scripts. Heel veel toepassingen en met name webservers maken in ruime mate gebruik van scripts. Deze scripts kunnen bijvoorbeeld zijn inbegrepen in webpagina’s en kunnen ervoor zorgen dat taken geautomatiseerd worden uitgevoerd bij de selectie van een specifieke functie.

Dat probleem hebben we eens live mogen aanschouwen op een server waarop meerdere Apache virtual hosts draaiden voor een aantal websites die door verschillende mensen werden onderhouden. Het gevolg was een wildgroei aan php-, python- en perl-scripts, waarvan één exemplaar de optie had om vanuit het script een shell te openen.

In dit specifieke geval bleef de schade nog enigszins beperkt omdat de betreffende Apache-server gebruikmaakte van een specifiek account dat voor deze service was aangemaakt. In dit account was het echter wel mogelijk om een shell te openen, met als gevolg dat een hacker vanuit het script talloze andere scripts had weggeschreven in de directory /var/tmp/. Deze scripts waren gezamenlijk bezig een ddos-aanval uit te voeren op een aantal vooraanstaande websites.

Mandatory Access Control

Uiteraard had het nooit mogen gebeuren om met het httpd-account een shell te openen. Dit probleem is eenvoudig te voorkomen door in plaats van /bin/bash een programma als /sbin/nologin of /bin/false als shell te specificeren (en gelukkig doet ook bijna elke moderne Linux-distributie dat voor service-accounts). Het ontnemen van een login-shell voor service-accounts biedt echter geen alomvattende oplossing voor eventuele securityproblemen. Een systeem voor Mandatory Access Control zoals SELinux doet dat wel.

Op een systeem waar SELinux of AppArmor actief is, worden alleen handelingen toegestaan waarvoor specifiek een regel in de policy is aangemaakt. Dat betekent dat een Apache-proces bijvoorbeeld bestanden in de Apache DocumentRoot kan lezen of scripts kan uitvoeren vanuit de standaard directory voor scripts. Een handeling die echter niet specifiek is toegestaan, zal worden tegengehouden. Een voorbeeld daarvan is een script dat bestanden wil aanmaken in /var/tmp/- en deze vervolgens wil uitvoeren. Helaas zijn er nog steeds veel beheerders die SELinux direct uitzetten omdat ze er niet goed mee overweg kunnen.

Ssh-brute-force

Een volgende populaire kandidaat voor een succesvolle hack op Linux is ssh. Secure Shell is een handige service die het beheerders mogelijk maakt om van afstand in te loggen op Linux. Tegelijkertijd activeer je met ssh echter een service die het voor iederéén mogelijk maakt in te loggen. Zeker als sshd op de standaardpoort 22 draait en je systeem rechtstreeks aan het internet verbonden is.

Uit meerdere tests blijkt dat een dergelijk systeem binnen een kwartier gevonden is en de eerste ssh-brute-force-attack te verduren krijgt. In een ssh-brute-force-attack probeert de aanvaller toegang te krijgen door geautomatiseerd voor de hand liggende gebruikersnamen en vaak gebruikte wachtwoorden uit te proberen om in te breken. Als de aanvaller dit maar lang genoeg volhoudt, zal dat uiteindelijk ook wel een keer lukken.

©PXimport

De mogelijkheid om toegang te krijgen via ssh is echter vrij eenvoudig tegen te houden door de ssh-service zelf te voorzien van een aantal niet-standaard parameters. Om te beginnen is het aan te raden om geen ssh-services aan te bieden op de standaardpoort 22; geautomatiseerde scripts scannen doorgaans namelijk alleen op die poort.

Vervolgens is het een goed idee om gebruik te maken van de optie AllowUsers, waarmee je aangeeft welke gebruikers via ssh in mogen loggen en álle andere gebruikers de toegang ontzegt. Daarnaast kun je overwegen ssh-logins door middel van wachtwoorden uit te zetten en alleen toegang te verlenen aan gebruikers die gebruikmaken van een ssh-public/private-keypaar. Met deze maatregelen zorg je ervoor dat ssh nagenoeg onneembaar wordt.

Zero-day-exploits

Tot slot is er nog een categorie in Linux (en elk ander besturingssysteem) die aandacht behoeft: de zero-day-exploit. Dat zijn kwetsbaarheden in software die nog niet (algemeen) bekend zijn en dus nog moeten worden ontdekt. Zodoende is het extreem lastig je daartegen te wapenen. Toch zijn er maatregelen die je kunt treffen.

Om te beginnen, is het noodzakelijk om regelmatig patches en updates te installeren. Wellicht is de onbekende exploit voor jouw distributie allang gevonden en staat de oplossing gewoon klaar in de vorm van een patch. De dagen van ‘If it ain’t broke, don’t fix it’ liggen ver achter ons en elk modern computersysteem dat aan internet verbonden is behoort met regelmaat te worden voorzien van de allerlaatste patches.

Wil je echt boven op de feiten zitten en op de hoogte blijven van nieuwe problemen, nog vóórdat er patches voor zijn uitgebracht? Dan loont het de moeite om deze site in de gaten te houden. Hier worden namelijk alle beveiligingsproblemen gepubliceerd op het moment dat ze bekend zijn. Dit stelt je in staat om meteen maatregelen te nemen als de problemen op jouw omgeving van toepassing zijn.

Daarnaast kun je onbekende problemen in zekere mate tegenhouden door gebruik te maken van Mandatory Access Control, waarmee je handelingen die een toepassing niet hoort te doen een halt toeroept, en dat beperkt het risico dat zero-day-exploits schade aanrichten aanzienlijk.

Conclusie

Zoals elk besturingssysteem heeft Linux een aantal zwakke plekken. Daarnaast biedt Linux echter alles wat nodig is om je systeem tegen die zwakke plekken te beschermen. Als je de risico’s dat jouw Linux-systeem wordt gehackt tot een minimum wilt beperken, volstaat het om een paar maatregelen te nemen. Om te beginnen zou elk Linux-systeem gebruik moeten maken van SELinux of AppArmor. Daarmee voorkom je dat toepassingen ongewenste handelingen uitvoeren – denk daarbij aan het script op de webserver dat een shell wil openen, maar ook aan onbekende gevaren (zero-day-exploits).

Daarnaast helpt een consequente updatestrategie natuurlijk ook. Als je niet regelmatig zelf wilt bekijken welke nieuwe exploits zijn gepubliceerd, zorg er dan in elk geval voor dat onbekende problemen voorkomen kunnen worden door updates te installeren.

Een derde maatregel die behoorlijk efficiënt is, is sshd-services aanbieden op een niet-standaard poort, zodat dictionary-attacks weinig kans maken. Combineer dat met de AllowUsers-parameter in sshd_config en zorg ervoor dat inloggen op afstand alleen is toegestaan door één account met een ongebruikelijke naam.

Tot slot: als het mogelijk is de server fysiek te beveiligen door hem in een afgesloten ruimte te zetten, bemoeilijk je daarmee ook alle pogingen om het root-wachtwoord ongeoorloofd te veranderen, met als resultaat een Linux-systeem dat bijna niet te hacken is.

Nog geen jaar na de vorige uitvoering brengt Apple een nieuwe iPad Air uit. De veranderingen zijn dan ook niet heel groot, want het enige verschil is dat de tablet nu is voorzien van een M3-processor in plaats van een M2-processor. Blijft de iPad Air hiermee een aanrader? Wij hebben hem voor je getest.

De nieuwe iPad Air laat zich kort omschrijven: Apple heeft de M2-chip vervangen door een M3. Dat is geen groot probleem: Apple gaf de iPad Air vorig jaar een update waarmee deze qua functionaliteit vrijwel identiek was aan de iPad Pro van het jaar daarvoor en je net als bij de Pro kon kiezen uit twee formaten. Uiterlijk is er geen verschil met de vorige generatie iPad Air: de aluminium tablet is nog steeds verkrijgbaar in een 11- en 13inch-variant, waarbij je kunt kiezen uit dezelfde vier kleuren als vorig jaar. De bouwkwaliteit van de aluminium behuizing is uitstekend.

©Jeroen Boer - ID.nl

De iPad Air ziet er hetzelfde uit als de variant van vorig jaar.

Er is overigens wel een heel een klein verschil waardoor je aan de buitenkant kunt zien dat je de nieuwste iPad Air van de M3-generatie in handen hebt. Apple heeft de aanduiding 'iPad Air' namelijk van de achterkant verwijderd. 

©Jeroen Boer - ID.nl

Het enige verschil is dat er geen 'iPad Air' meer op de achterkant staat.

Qua aansluitingen vind je onderop een usb-c-poort die je behalve voor opladen ook kunt gebruiken voor het aansluiten van een beeldscherm. De aan-uitschakelaar is voorzien van een goedwerkende vingerafdrukscanner. Dat is wel de enige manier van biometrische identificatie; in tegenstelling tot iPhones of de iPad Pro ontbreekt de soms nog wat sneller werkende gezichtsherkenning.

©Jeroen Boer - ID.nl

De iPad Air heeft een usb-c-poort die je gebruikt om de tablet op te laden.

Hoge meerprijzen

De prijzen beginnen bij 719 euro voor het 11inch-model terwijl de 13inch-uitvoering bij 969 euro begint. Voor dat geld krijg je 128 GB opslag. Alle varianten hebben dezelfde M3-processor in combinatie met 8 GB RAM. Wil je 256 GB opslag, dan betaal je 130 euro meer, terwijl de volgende stappen naar 512 GB of 1 TB je ieder nog eens 250 euro kosten. Afhankelijk van je opslagwensen wordt de iPad dus al snel een heel stuk duurder. Daarnaast kun je nog kiezen voor een 5G-variant, waarvoor je 170 euro meer betaalt. Deze variant is voorzien van een ingebouwde e-sim; er is geen fysieke simkaartslot.

Scherm zonder ProMotion

De iPad Air heeft precies hetzelfde scherm als vorig jaar en dat betekent een 11- of 13inch-scherm dat gebruikmaakt van een IPS-paneel. Het scherm combineert goede kleuren met een prima contrast en een helderheid die hoog genoeg kan. Wat we wel jammer vinden, is dat Apple de toch best prijzige iPad Air niet voorziet van een scherm met een hogere verversingssnelheid dan 60 Hz. Zo'n hogere verversingssnelheid die Apple 'ProMotion' noemt zou zeker in combinatie met de stylus waarschijnlijk een vloeiender ervaring opleveren. 

Nog snellere processor

De snellere processor is het belangrijkste verschil met zijn voorganger, en de chip die we al kennen uit andere Apple-producten stelt niet teleur. De M3-processor is in benchmarks op single-coregebied ongeveer 18 procent sneller dan de M2, terwijl de multicore-prestaties zo'n 25 procent hoger liggen. In de benchmark Geekbench 6 zet de iPad een Single-Core Score van 3063 punten neer, terwijl de Multi-Core Score 11.914 punten bedraagt.

De vernieuwde iPad Air is in theorie dus nog iets soepeler in bijvoorbeeld grafische toepassingen, al is de M4-chip in de iPad Pro nog een stukje sneller. Het is gissen waarom Apple nog voor de in andere producten uitgefaseerde M3 koos; misschien hadden ze er nog veel van liggen of wil het bedrijf genoeg onderscheid met de iPad Pro houden. Uiteindelijk maakt het ook weer niet zo heel veel uit, want in de praktijk zijn zowel de vorige als de huidige variant van de iPad Air gewoon snel. De accuduur van de geteste 11inch-uitvoering is erg goed en komt bij normaal gebruik zoals browsen in de buurt van de door Apple geclaimde 10 uur.

Vernieuwd toetsenbord

De iPad Air is compatibel met Apples beste stylus: de Pencil Pro. Deze stylus (149 euro) is druk- en kantelgevoelig en detecteert bovendien of je de stylus draait. Hierdoor kun je in tekenapps als Procreate bijzonder realistisch tekenen. De stylus wordt gekoppeld en opgeladen door hem magnetisch aan de zijkant te plakken, waarmee dit in de praktijk een prettige accessoire is. De iPad Air is trouwens ook compatibel met de goedkopere Apple Pencil usb-c, die minder mogelijkheden heeft en opgeladen wordt met een usb-c-kabel. Als je wilt tekenen, dan raden we je de Pencil Pro aan.

©Jeroen Boer - ID.nl

De Pencil Pro plak je magnetisch aan de zijkant om hem op te laden.

We kregen van Apple ook het vernieuwde Magic Keyboard voor de iPad Air, dat uiteraard ook compatibel is met de iPad Air met M2-processor. Ten opzichte van het vorige Magic Keyboard dat oorspronkelijk voor de oudere generatie iPad Pro was ontworpen, krijg je een rij functietoetsen. Hierdoor kun je de iPad nog beter als laptopvervanger gebruiken.

Ten opzichte van het Magic Keyboard voor de huidige iPad Pro ontbreekt helaas de achtergrondverlichting in de toetsen en de aluminium polssteun, terwijl de prijs van het toetsenbord met 329 euro niet veel lager is. Het is daarnaast jammer dat het toetsenbord er alleen nog in een witte variant is. Dat is toch vlekgevoeliger dan een zwarte uitvoering. 

©Jeroen Boer - ID.nl

Het vernieuwde Magic Keyboard heeft nu functietoetsen.

Conclusie

De iPad Air met M2-processor was een prima tablet, en dat geldt ook voor deze opvolger met een nog snellere chip. Je krijgt met deze iPad Air veel kracht in handen en je kunt dezelfde geavanceerde Pencil Pro gebruiken als op de iPad Pro. Ten opzichte van die iPad Pro zit het belangrijkste verschil 'm in het scherm, want de nog duurdere iPad Pro heeft een oledscherm met hoge verversingssnelheid. Daar moet je wel een paar honderd euro meer voor neertellen, waardoor deze iPad Air een interessante optie blijft voor wie een iPad met lekker veel kracht zoekt.

Bij ID.nl zijn we dol op kwaliteitsproducten waar je niet de hoofdprijs voor betaalt. Daarom speuren we een paar keer per week binnen een bepaald thema naar zulke deals. Dit keer hebben we vijf DAB+-radio's voor je gevonden die je ook nog eens heel makkelijk meeneemt, op vakantie bijvoorbeeld.

Digitale radio via DAB+ (Digital Audio Broadcasting) biedt een helder en storingsvrij radiosignaal, met een steeds groter zenderaanbod. Dat maakt het luisteren een stuk aangenamer. Dankzij modellen met ingebouwde accu of batterijen ben je niet gebonden aan een stopcontact. Voeg daar een netstroomaansluiting aan toe en je hebt een toestel dat net zo makkelijk op de camping als op het aanrecht in de keuken dienst kan doen.

Denver DAB-18 Radio DAB+

De Denver DAB-18 is een compacte DAB+/FM-radio die een retro uiterlijk combineert met moderne functionaliteit. De geïntegreerde Bluetooth-functie maakt het mogelijk om draadloos muziek te streamen vanaf je smartphone of tablet. Daarnaast beschikt de radio over een AUX-ingang voor het aansluiten van externe apparaten. Met de dubbele alarmfunctie en snoozefunctie is de DAB-18 ook geschikt als wekkerradio. Het dimbare lcd-display toont duidelijk informatie over zenders en instellingen. De radio werkt zowel op netstroom als op 4 C-batterijen. Met 20 voorkeuzezenders (10 DAB+ en 10 FM) heb je snel toegang tot je favoriete stations.

Audizio Milan

De Audizio Milan is een compacte draagbare DAB+/FM-radio. De Milan biedt zowel DAB+ als FM-ontvangst, waardoor je kunt genieten van een breed scala aan radiostations met heldere geluidskwaliteit. Dankzij de Bluetooth-functionaliteit kun je draadloos muziek streamen vanaf je smartphone of tablet. Met de ingebouwde 2000mAh-accu heb je genoeg stroom voor zo'n 10 uur luisterplezier, en kan de radio via usb worden opgeladen. Het 2,4-inch kleurendisplay toont duidelijk informatie over zenders en instellingen.

Grundig DTR 4500 BT DAB

De Grundig DTR 4500 BT DAB heeft Bluetooth 5.0-functionaliteit en kun je naast het luisteren naar DAB-stations ook gebruiken om te streamen vanaf je smartphone of tablet. De radio beschikt over een 2.0 stereo luidsprekersysteem met een totaal vermogen van 10 watt RMS. Het 2,4-inch kleurendisplay biedt duidelijke informatie over zenders en instellingen, en de helderheid is in drie stappen aan te passen. Hoewel de DTR 4500 BT DAB geen ingebouwde accu heeft, kan hij natuurlijk wel gewoon op netstroom worden aangesloten.

Lenco PDR-040EF Bambus

De Lenco PDR-040EF Bambus is gemaakt van echt bamboe en gerecycled ABS met tarwevezel, wat niet alleen een mooie uitstraling geeft, maar ook bijdraagt aan duurzaamheid. Met Bluetooth 5.0-functionaliteit kun je eenvoudig muziek streamen vanaf je smartphone of tablet. De radio beschikt over een 3 watt RMS luidspreker en een passieve basradiator. De ingebouwde 2000mAh accu biedt tot 16 uur afspeeltijd via Bluetooth en tot 12 uur via FM of DAB+, waardoor je de hele dag kunt genieten van je favoriete muziek, zowel thuis als onderweg. Daarnaast is de radio uitgerust met een klok- en alarmfunctie, een 3,5 mm hoofdtelefoonaansluiting en een telescoopantenne.

Kenwood CR-M30DAB-R

Deze compacte Kenwood kan overweg met FM-radio en DAB+. De radio beschikt over Bluetooth-functionaliteit, waardoor je draadloos muziek kunt streamen vanaf je smartphone of tablet. Dankzij de geïntegreerde oplaadbare batterij kun je tot 7 uur genieten van je favoriete muziek zonder dat je een stopcontact nodig hebt. Daarnaast is de radio voorzien van een helder LCD-scherm dat informatie over zenders en instellingen duidelijk weergeeft. Met de mogelijkheid om zowel op netstroom als op de interne accu te werken, kun je de CR-M30DAB op verschillende manieren gebruiken.