Hoe beveilig je Linux Mint? – De beste tips voor een veilig systeem

  • February 23, 2021
  • 0

Linux heeft de reputatie een erg veilig besturingssysteem te zijn. Dat klopt op zich wel, maar het betekent niet dat je geen enkele voorzorgsmaatregel meer moet nemen. In deze workshop leggen we stap voor stap uit hoe je Linux Mint veilig houdt.

Filip Vervloesem

Elk computersysteem is maar zo veilig als de zwakste schakel. Nu is Linux van nature behoorlijk veilig, maar die beveiliging haal je als gebruiker gemakkelijk onderuit wanneer je onvoorzichtig te werk gaat. Een wachtwoordbeveiliging is niet veel waard als jouw wachtwoord “123456” is. Encryptie biedt geen bescherming als je de encryptiesleutel op een onveilige plaats bewaart. Een firewall beschermt je niet tegen kwaadwillige software die je zélf installeert. Kortom: jouw Linux Mint-installatie is pas écht veilig als je een aantal richtlijnen volgt.

Beveiligingsupdates

We beginnen meteen met de belangrijkste richtlijn: installeer nieuwe beveiligingsupdates steeds zo snel mogelijk! Gelukkig heeft Linux Mint met Bijwerkbeheer één van de meeste gebruiksvriendelijke updateprogramma’s onder Linux. Bijwerkbeheer is altijd actief in de achtergrond: je opent het door te klikken op het schildvormig icoontje in de taakbalk, links van de klok. Een rood bolletje op het icoontje geeft meteen aan dat er updates beschikbaar zijn. Een icoontje vóór elke pakket geeft aan wat voor type update het is:

  1. een schildje voor beveiligingsupdates
  2. een bliksemschicht voor kernel updates
  3. een pijltje voor bugfixes (fouten in programma’s die geen beveiligingsrisico inhouden)

Voor elke update is er een (eerder technische) lijst van wijzigingen beschikbaar onder het tabblad Wijzigingslogboek. Dat is vooral interessant als je wilt controleren of een bepaald beveiligingslek al gedicht is in de beschikbare update. Maar je installeert natuurlijk best altijd alle updates!

Bijwerkbeheer waarschuwt je zodra er nieuwe beveiligingsupdates zijn.

 

Nieuwe software

Om te begrijpen wat beveiligingsupdates precies inhouden, moeten we even uitleggen hoe de ontwikkeling van Linux Mint in zijn werk gaat. Zoals je weet, is Linux Mint op Ubuntu gebaseerd. Nu werkt Ubuntu volgens een zesmaandelijks releaseschema, waarin zowel updates voor het basissysteem opgenomen worden als updates voor alle programma’s die je via Programmabeheer installeert. Stel dat je vandaag Ubuntu 20.10 installeert. Volgende maand verschijnt er dan een nieuwe versie van jouw favoriete programma: die versie zal je pas in Ubuntu 21.04 terugvinden. Op die manier hebben de ontwikkelaars van Ubuntu voldoende tijd om het programma grondig te testen en te verzekeren dat het de stabiliteit van je systeem niet aantast. Dat staat trouwens los van de stabiliteit van het programma zelf: daar kunnen de ontwikkelaars van Ubuntu weinig aan veranderen. Wil je in de tussentijd tóch een nieuwere versie van een programma installeren? Dan kun je op zoek gaan naar .deb-bestanden van een recentere versie, bijvoorbeeld op de website van de ontwikkelaar of via een PPA (personal package archive). Vanuit beveiligingsoogpunt is dat echter niet aan te raden. Je hebt namelijk geen enkele garantie dat beveiligingsfouten tijdig opgelost worden in die pakketten!

 

Ondersteunde pakketten

Wat Ubuntu namelijk wél aanbiedt in afwachting van de volgende release, zijn beveiligingsupdates. Als één van de door Ubuntu ondersteunde programma’s een beveiligingslek blijkt te bevatten, dan wordt daarvoor zo snel mogelijk een patch gemaakt. Zo blijft jouw systeem hooguit enkele dagen kwetsbaar voor nieuwe beveiligingslekken. Maar let goed op: we spreken wel degelijk over “door Ubuntu ondersteunde” programma’s! De pakweg 60.000 pakketten in de repositories van Ubuntu zijn immers nog in verschillende componenten onderverdeeld: main, restricted, universe en multiverse. Voor het basissysteem en de meest populaire programma’s (main en restricted, ongeveer 8000 pakketten) verzorgen de Ubuntu-ontwikkelaars alle beveiligingsupdates. Voor de rest (universe en multiverse) voorziet Ubuntu geen beveiligingsupdates. Ze worden echter wél aangeboden als mensen uit de gemeenschap ze beschikbaar stellen.

 

Universe en multiverse

Hecht je erg veel belang aan beveiligingsupdates, dan installeer je best zo weinig mogelijk applicaties uit de universe- en multiverse-componenten. Helaas toont Programmabeheer niet uit welke component een pakket komt. In Synaptic pakketbeheer is dat wel mogelijk: klik rechts op een pakketnaam, kies de optie ‘Eigenschappen’ en kijk naar het item ‘Onderdeel’. Pakketten uit de universe- en multiverse-componenten worden daar als dusdanig aangeduid. Ook in Softwarebronnen is het niet mogelijk om bijvoorbeeld universe en multiverse uit te schakelen. Dat kan enkel door het bestand /etc/apt/sources.list.d/official-package-repositories.list aan te passen. Verwijder daar ‘universe’ en ‘multiverse’ op elke regel en ververs daarna de pakketlijsten in Programmabeheer of Synaptic.

Let op: pakketten uit de universe-component krijgen géén gegarandeerde beveiligingsupdates!

Long Term Support

Beveiligingsupdates zijn niet alleen beperkt in aantal, maar ook in tijd. Voor elke Ubuntu-versie worden slechts 9 maanden beveiligingsupdates beschikbaar gesteld. Na die periode moet je upgraden naar de laatste versie als je nog beveiligingsupdates wilt ontvangen. Concreet betekent dat dus dat je eigenlijk steeds de meest recente versie van Ubuntu moet gebruiken. Maar niet iedereen kijkt ernaar uit om elk half jaar een grote update of herinstallatie uit te voeren. Gelukkig komt er om de vier releases (dus elke twee jaar) een zogenaamde LTS (Long Term Support)-versie uit. Daarvoor krijg je maar liefst vijf jaar lang beveiligingsupdates, zodat je minder vaak moet upgraden. Het goede nieuws is dat Linux Mint sinds 2014 uitsluitend gebaseerd is op die LTS-versies. Een tweetal maanden na elke Ubuntu LTS-versie, in juni van de even jaren, verschijnt er steevast een nieuwe versie van Linux Mint. De meest recente versie is momenteel Linux Mint 20, van juni 2020. Die krijgt gegarandeerd beveiligingsupdates tot en met april 2025. Dat geldt overigens ook voor tussenliggende updates zoals 20.1 en latere versies. Ten laatste eind april 2025 moet je dus upgraden naar Linux Mint 21 of hoger. Ook oudere Mint-versies worden nog ondersteund: Mint 19 tot april 2023 en Mint 18 tot april 2021. Gebruikers van die laatste versie moeten wel dringend upgraden.

 

PPA

De software in Linux Mint krijgt slechts om de twee jaar een grondige update. Voor sommige toepassingen duurt dat te lang, waardoor er verschillende alternatieven ontstaan zijn om individuele applicaties sneller te upgraden. Zo kun je extra pakketbronnen inschakelen via de reeds vermelde PPA’s. Die personal package archives laten mensen buiten het Ubuntu-ontwikkelteam toe om nieuwere pakketten aan te bieden van bepaalde applicaties. Je hoeft daarvoor zelfs niet de ontwikkelaar van die applicatie te zijn: echt iédereen kan een PPA aanmaken. Het nadeel is dat je zo volledig afhankelijk wordt van één of meerdere vrijwilligers voor de veiligheid van jouw systeem. Je ziet vaak dat een PPA vol enthousiasme wordt opgestart, maar nadien nooit updates krijgt.

 

Flatpak

Ook Flatpak-applicaties schuiven de verantwoordelijkheid voor beveiligingsupdates volledig door naar de ontwikkelaars zelf. Omdat Flatpak-apps meteen àlle afhankelijkheden bevatten, vergroot dat zelfs de kans op beveiligingslekken. Wordt er een beveiligingslek in OpenSSL gedicht door de Ubuntu-ontwikkelaars? Dan moeten alle Flatpak-apps met OpenSSL erin óók gedicht worden. Die apps maken immers géén gebruik van de OpenSSL-systeembibliotheken die via Bijwerkbeheer gepatcht worden. Het extra gebruiksgemak van Flatpak (sneller nieuwe software draaien) komt dus duidelijk met een keerzijde (geen garantie op snelle beveiligingsupdates). Dat is zeker iets om in het achterhoofd te houden! Flatpak-ondersteuning is standaard geactiveerd in Linux Mint. Vind je in Programmabeheer tweemaal exact dezelfde applicatie terug? Dan is de ene de officiële versie van Linux Mint en de andere de (meestal nieuwere) Flatpak-versie. Denk dus goed na hoeveel belang je hecht aan beveiligingsupdates alvorens een versie te kiezen. Voor een applicatie die geen verbinding maakt met internet is dat bijvoorbeeld minder belangrijk dan voor een webbrowser of een chat-applicatie.

De officiële versie van Inkscape in Programmabeheer.
De nieuwere Flatpak-versie van Inkscape.

Antivirus

Over antivirussoftware onder Linux kunnen we kort zijn: als thuisgebruiker heb je die eigenlijk helemaal niet nodig. Nochtans bestaan er veel verschillende virusscanners voor Linux, vooral commerciële software. Er is ook een open source virusscanner beschikbaar: ClamAV. Al die virusscanners zijn vooral nuttig om Windows-virussen te detecteren op een Linux-systeem. Ze worden dan ook meestal toegepast op een Linux-fileserver of mailserver in een netwerk met veel Windows-clients, om de verspreiding van Windows-virussen bij de bron aan te pakken. Op een desktop-installatie van Linux biedt een virusscanner geen meerwaarde. Op een Linux-systeem kunnen Windows-virussen immers geen schade aanrichten. De virusscanner vertraagt dan alleen maar jouw systeem.

Antivirussoftware zoals ClamAV is enkel nuttig op Linux-servers.

Anti-spyware

Spyware is een tweede bron van ergernis onder Windows. Heel wat gratis programma’s verzamelen stiekem persoonlijke gegevens om die door te verkopen aan advertentiebedrijven. Spyware kan je computer ook enorm vertragen. In principe kun je uit de licentieovereenkomst bij installatie al afleiden dat een programma spyware bevat. Maar wanneer heb jij die ellenlange teksten nog eens gelezen? Onder Linux is de situatie gelukkig helemaal anders. De meeste Linux-systemen bestaan bijna uitsluitend uit open source software. Iedereen kan de broncode vrijelijk inkijken, waardoor het quasi onmogelijk is om ongemerkt spyware mee te leveren. Bovendien spelen er ook geen commerciële motieven mee. Hobby-programmeurs hoeven immers geen geld te verdienen aan hun bijdragen. Maar een bedrijf dat software ontwikkelt en die gratis weggeeft, moet toch ergens zijn inkomsten halen? Kortom: anti-spyware software kan je prima missen onder Linux.

Wil je meer zekerheid dat er geen spyware op jouw systeem terecht komt? Houd dan volgende richtlijnen in het achterhoofd:

  • Kies enkel open source software die onder een gebruikelijke licentie valt, zoals de General Public License, BSD license of MIT license. Lees maar eens de voorwaarden van één van die licenties: ze zijn écht niet zo lang als de bekende End User License Agreements van Microsoft! Zodra je de bekendste licenties doorgenomen hebt, weet je tenminste waarmee je instemt bij installatie van de software. Kan je echt niet zonder een bepaald closed source programma, lees dan erg nauwkeurig de licentieovereenkomst. Helaas heb je ook daarna geen 100% zekerheid dat het programma geen spyware bevat. Niemand kan immers de broncode controleren, dus uiteindelijk is het een kwestie van vertrouwen.
  • Installeer uitsluitend software van betrouwbare bronnen. Het is niet omdat een programma open source is dat elke gecompileerde versie ervan te vertrouwen is. Iedereen kan immers een programma compileren met toegevoegde spyware en vervolgens aanbieden als installatiepakket voor jouw distributie. Gebruik bij voorkeur enkel installatiepakketten van betrouwbare partijen, zoals de repositories van Ubuntu en Linux Mint. Bovendien controleert je package manager via GPG of er niet geknoeid is met de pakketten.

Kort samengevat: installeer enkel open source software uit de officiële repositories van Linux Mint en je hoeft je geen zorgen te maken om spyware!


Firewall

Met een firewall stel je regels in om bepaalde inkomende of uitgaande netwerkverbindingen te blokkeren. Linux Mint bevat standaard een firewall, maar die is niet ingeschakeld. Op zich is dat geen groot probleem. Inkomende verbindingen vanaf internet worden al geblokkeerd door jouw router. Enkel apparaten binnen je thuisnetwerk kunnen dus aan jouw Linux Mint-pc. Maar standaard draaien er nauwelijks services in Linux Mint die je vanaf andere apparaten kunt benaderen. De kans is dus erg klein dat een beveiligingslek in Linux Mint ongemerkt uitgebuit wordt via het netwerk. Uitgaande netwerkverbindingen blokkeer je in een desktop-installatie in principe enkel voor specifieke programma’s waarvan je vermoedt dat ze spyware bevatten. In Linux Mint is het zonder extra software niet mogelijk om firewall-regels per applicatie in te stellen. Gelukkig heb je die functionaliteit eigenlijk zelden nodig. In de vorige paragrafen hebben we al uitgelegd waarom je in Linux weinig te vrezen hebt van spyware. Wil je bepaalde programma’s toch de toegang tot het internet ontzeggen? Lees dan de korte bespreking van Firejail in de rubriek Apt-get.

Ook een firewall hoef je meestal niet te configureren.

Encryptie

Ook al is jouw computer beveiligd met een wachtwoord, iedereen met fysieke toegang tot de hardware heeft ook toegang tot jouw bestanden. De enige manier om je data écht goed te beveiligen, is door die te versleutelen. Encryptie schakel je in tijdens de installatie van Linux Mint. Je hebt twee keuzes: het volledige systeem versleutelen of enkel je homedirectory. Kies alleszins een veilige encryptiesleutel, bestaande uit hoofdletters, kleine letters, cijfers en speciale tekens. Besef ook dat je systeem iets trager wordt door de encryptie én dat je data reddeloos verloren is wanneer je de encryptiesleutel vergeten bent! Maar het voordeel is dat anderen nu niet zomaar aan je data kunnen door het bootmenu aan te passen, een live-cd te starten of je schijven te stelen. Wil je ook externe apparaten zoals een USB-stick of harde schijf versleutelen? Lees dan de korte bespreking van zuluCrypt in de rubriek Apt-get.

Backups

We sluiten af met een korte bedenking over databeveiliging. In principe moeten programma’s en scripts als root (of via sudo) draaien om wijzigingen aan je systeem aan te brengen. Misschien denk je daardoor dat het geen kwaad kan om een script te downloaden van een website en het zonder sudo te starten. Niets is echter minder waar! Je hoeft namelijk geen root-rechten te hebben om bestanden in jouw home directory te verwijderen. Een kwaadaardig script kan dus al jouw persoonlijke data wissen zónder root-rechten! De beste beveiliging tegen dat soort ongelukken is nog altijd een goede back-up. Enkele aanbevelingen:

  • Maak op regelmatige basis back-ups
  • Draai zo weinig mogelijk applicaties gedurende de backup
  • Zorg ervoor dat de back-upschijf alleen aangekoppeld is tijdens het back-upproces

Op die manier verklein je de kans dat de back-upbestanden óók verwijderd kunnen worden door een kwaadaardig script. Ideaal is natuurlijk een back-up die je op een andere locatie bewaart, bijvoorbeeld in de cloud. Zo is jouw data meteen ook beschermd tegen diefstal of brandschade.

Gezond verstand

Beveiliging is onder Linux Mint vooral een kwestie van gezond verstand. Installeer steeds de laatste beveiligingsupdates om lekken zo snel mogelijk te dichten. Gebruik bij voorkeur enkel open source software uit Linux Mints repository en installeer zo weinig mogelijk software via PPA’s of Flatpak. Een virusscanner is nutteloos en een firewall hoef je zelden te configureren. Wil je jouw bestanden beveiligen tegen mensen die fysieke toegang hebben tot jouw computer? Dan biedt enkel schijfencryptie een afdoende beveiliging.