Workshop: Nextcloud apps in het kader van veiligheid
- February 10, 2023
- 0
Nextcloud heeft meer mogelijkheden dan cloud opslag. In LM 2020-3 schreef ik over apps die tegenwoordig standaard met Nextcloud geïnstalleerd worden. Dit jaar gaan we in een aantal workshops aan de slag met andere apps. Voor LM 2021-2 heb ik een workshop gemaakt om met ‘external storage support’ de bestanden die je bij Dropbox, Google en Microsoft hebt opgeslagen te integreren in Nextcloud (Andre Fondse )
In dit nummer staan apps centraal die ervoor zorgen dat de veiligheid tijdens het gebruiken van Nextcloud of de veiligheid in het algemeen vergroot wordt. Alle in deze workshop behandelde apps werken met Nextcloud 20.x. Uitgangspunten voor de voorbeelden in deze workshop zijn dat Nextcloud 20.x geïnstalleerd is en je onder Nextcloud met de naam linuxmag ingelogd bent. Wil je de apps zonder risico uitproberen, dan kun je er voor kiezen om op http://bit.ly/3peLBj3 het VirtualBox image te downloaden dat voor deze workshop klaarstaat. Je logt als linux gebruiker op dit image in het de gebruiker ‘linuxmag’ en het wachtwoord ‘Reshift’. Alle verdere loginnamen en wachtwoorden vind je in het bestand /home/linuxmag/wachtwoorden.txt
Apps installeren via appstore
Je kunt de zoekfunctie (vergrootglas rechts bovenaan in Nextcloud scherm) van Nextcloud gebruiken voor het installeren van apps als je weet welke app je wilt installeren. De zoekfunctie voor apps werkt alleen maar als je eerst gekozen hebt om naar de apps te gaan. Je komt hier door rechtsboven in de Nextcloud interfce op de 1e letter van je gebruiksnaam te klikken en daarna op ‘Apps’. Als je nu bijvoorbeeld de zoekterm ‘integration’ intypt krijg je een hele lijst (zie afbeelding 1). Zodra je dan op een app klikt, krijg je aan de rechterkant meer informatie van de app. Houd er bij gebruik van de zoekfunctie rekening mee dat het zoeken hoofdletter gevoelig is.
Keeweb
Keeweb is een Nextcloud app voor het benaderen van Keepass databases. Zoek bij apps op ‘Keeweb’ en installeer de app. Voordat de installatie plaatsvindt, moet je eerst je Nextcloud beheerders wachtwoord ingeven. Na installatie zie je Keeweb als icoon in de bovenbalk van Nextcloud (zie afbeelding 2). Zodra je op het icoon geklikt hebt, kom je in een scherm zoals dat er ook ongeveer in de desktopapplicatie Keepass uitziet om onder andere een database te selecteren. Als je in de bestanden die in Nextcloud zijn opgeslagen ook een Keepass database hebt staan, dan open je de Keepass database het makkelijkst via de bestanden browser van Keepass. Je komt dan automatisch in het inlogscherm van Keeweb voor het ingeven van het wachtwoord en / of selecteren van de Keyfile.
Het openen van Keepass databases via de bestanden browser is de meest eenvoudige methode. Een ander voordeel van deze methode is dat wijzigingen in de databases ook zonder extra stappen weggeschreven worden. Nadat je op deze manier een Keepass database geopend hebt, krijg je een scherm als in afbeelding 3.
In de linker kolom zie je allerlei selectiemogelijkheden voor je wachtwoorden. Het is mogelijk ieder record in van de Keepass database een kleur mee te geven. In deze afbeelding hebben alle Nextcloud gebruikers dezelfde kleur gekregen en krijg je de Nextcloud gebruikers te zien door het selecteren van de kleur. Daarnaast is het ook mogelijk om ieder record van de Keepass database één of meerdere tags toe te kennen. De toegekende tags zie je in de linker kolom onder de lijn met de naam ‘colors’. In dit voorbeeld zijn er 2 tags toegekend: beheerder of gebruiker. Klik je in de linker kolom op een tag, dan krijg je in de tweede kolom alle records te zien die deze tag hebben.
Een item maak je aan door bovenaan in de tweede kolom op het plus teken te klikken. Je hebt daarbij de keuze uit een record, een groep of een template. Records uit de database (die in de middelste kolom staan) plaats je in een groep door ze met de muis naar deze groep te schuiven. Klik je op een groepsnaam, dan zie je in de middelste kolom alle records die in deze groep zitten. Je verwijdert records uit de database door in de rechterkolom linksonder op het prullenbakje te klikken.
In de rechter kolom zie je de inhoud van een record van de Keepass database. Als je met de muis boven de sterretjes van het wachtwoord gaat staan, dan verschijnt rechts naast het wachtwoord een pijltje naar beneden. Klik je daar op, dan heb je de mogelijkheid om het wachtwoord te kopiëren of zichtbaar te maken (Reveal, zie afbeelding 4).
Via het tandwieltje rechts onderaan in het scherm pas je de instellingen van Keeweb aan. De meeste instellingen zul je waarschijnlijk niet willen veranderen. Een handige optie is dat je via ‘Shortcuts’ in de linkerbalk een overzicht krijgt van alle sneltoetsen die je in Keeweb kunt gebruiken.
In de linkerbalk zie je ook een optie ‘Plugins’. De mogelijkheid om daarna via ‘Load plugin gallery’ gaf bij mij meerdere keren een foutmelding. Na wat zoeken op internet kwam ik er achter dat deze foutmelding er al een paar jaar voorkomt. Een andere mogelijkheid is het toevoegen van plugins via een url, maar ik heb op internet helaas geen plugins gevonden.
Keeweb verlaat je door rechts onderaan op het uitgang pijltje te klikken. Een van de weinige tekortkomingen een Keeweb is dat de mogelijkheid ontbreekt om in Keeweb een nieuwe Keepass database aan te maken.
Checksum
Met Checksum is het mogelijk om een hash checksum van een bestand te maken als bijvoorbeeld md5, sha245 en dergelijke. Zoek bij apps op ‘Checksum’ en installeer de app. Een checksum van een bestand in je Nextcloud directory lees je uit door op de drie puntjes van het bestand te klikken en daarna op details te klikken (afbeelding 5). In de rechterkant van het scherm krijg je nu allerlei gegevens van het bestand te zien. Onder de bestandsnaam staan tabbladen en een van deze tabbladen is ‘Checksum’ (afbeelding 6). Nadat je hier op geklikt hebt, krijg je de mogelijkheid om een algoritme te selecteren. Daarna verschijnt meteen de checksum op het scherm. Als je een nieuwe checksum voor hetzelfde bestand wilt aanmaken, dan klik je op het overnieuw symbool dat onder de checksum weergegeven staat.
Antivirus for files
Antivirus voor files controleert alle bestanden voordat deze geüpload worden naar Nextcloud op virussen en slaat alleen de bestanden zonder virussen op. Antivirus for files werkt in combinatie met ClamAV of Kaspersky. Gebruik van ClamAV is het meest eenvoudig om te configureren. Installeer eerst ClamAV via een terminal venster met de opdracht:
sudo apt-get install clamav clamav-daemon
Zoek in Nextcloud bij apps op ‘Antivirus for files’ en installeer de app. Na installatie werkt Anti for files voor alle gebruikers. Als je dat niet wilt vink je meteen na de installatie de optie ‘Beperk tot groepen’ aan waarbij je dan in het vak ernaast de groepen selecteert.
De configuratie van Antivirus for files vind je als Nextcloud beheerder terug onder Instellingen, Beheer en vervolgens Beveiliging. Standaard is Antivirus for files zo geconfigureerd dat aanpassing van deze configuratie in principe niet nodig is.
Restrict login to IP addresses
Met deze app beperk je de toegang tot Nextcloud tot de opgegeven IP adressen en/of IP reeksen. Als je op de webserver waarop Nextcloud staat de toegang tot IP reeks niet mag of kunt beperken is deze app een goede mogelijkheid om dit toch nog voor elkaar te krijgen. Een voorbeeld voor het gebruik van beperkte IP adressen is een beperking voor alleen toegang via het interne netwerk. Je installeert de app door in Nextcloud bij apps te zoeken op ‘Restrict login to IP addresses’ en klik op de knop ‘Downloaden en installeren’.
Na installatie vind je als Nextcloud beheerder de instellingen voor de IP adressen die toegang mogen hebben onder Instellingen, Beheer en vervolgens Beveiliging (zie afbeelding 7). In deze afbeelding hebben het enkele IP adres 8.8.8.8 en de IP reeks die begint met 192.168.1.0 toegang tot Nextcloud. Met de /32 geef je aan dat het om 1 IP adres gaat. De /24 betekent dat het om 256 ip nummers gaat (in dit geval de reeks 192.168.1.0 t/m 192.168.1.255). Bij alle nieuwe inlogpogingen gelden nu de ingestelde IP beperkingen.
Group folders
Met de app Group folders is het mogelijk om groepen in directory’s eenvoudig rechten geven. Zoek bij apps op ‘Group folders’ en installeer de app. Na installatie is Group folders voor je als Nextcloud beheerder bij de instellingen onder beheer de optie ‘Groepsmappen’ beschikbaar. Je begint met het aanmaken van een naam voor de groepsmap en je klikt daarna op de knop ‘Aanmaken’. Nadat je de groep aangemaakt hebt, is het pas mogelijk om Nextcloud groepen, rechten, limieten en geavanceerde toegangsrechten aan deze groepen te koppelen (afbeelding 8). De aangemaakte groepen vind je terug in de bestandenbrowser van Nextcloud als je lid bent van deze groep(en).
Ransomware protection
Met de app ‘Ransomware protection’ voorkom je dat de Nextcloud desktop clients ransomware gaan uploaden naar de Nextcloud server. Zoek bij apps op ‘Ransomware protection’ en installeer de app. Na de installatie heb je de mogelijkheid om deze app te beperpken tot groepen. Je vindt de instellingen voor ransomware protection in de Nextcloud instellingen terug onder onder ‘Beheer’ bij ‘Beveiliging’. Je hebt hier onder andere de mogelijkheid om patronen op te geven voor extensies en bestanden die uitgesloten of juist opgenomen moeten worden bij de ransomware beveiliging.
Tot slot
In deze workshop heb ik lang niet alle apps op het gebied van veiligheid de revue kunnen laten passeren. Bij de keuze van de besproken apps heb ik er ook rekening met de moeilijkheidsgraad van deze workshop gehouden. In de appstore van Nextcloud zijn nog veel meer apps op dit gebied te vinden! Het jammere is wel dat je apps op het gebied van veiligheid in verschillende categorieën vindt. Maar elk nadeel heeft ook weer z’n voordeel: hierdoor zie je ook andere mooie mogelijke apps die wellicht het uitproberen waard zijn. Veel succes bij het uitproberen van de in deze workshop besproken apps of de andere mooie apps die je in de appstore tegenkomt.