Linux Mint beveiligen

Linux Mint is heel wat veiliger dan Windows. Maar dat betekent niet dat je je helemaal geen zorgen hoeft te maken over de beveiliging van je systeem. In dit artikel geven we een aantal praktische tips om Linux Mint veiliger te maken én te houden.

Op het eerste zicht lijkt beveiligingssoftware volledig afwezig te zijn in een standaardinstallatie van Linux Mint. Er is geen Beveiligings– of Onderhoudscentrum zoals in Windows. Je krijgt ook geen vervelende meldingen over verouderde virusdefinities. Linux Mint zeurt niet dat je antispyware-software moet installeren. Je moet evenmin via je firewall elke toepassing expliciet toegang geven om te verbinden met het internet. Je zou je bijna afvragen of Linux Mint nu écht wel veiliger is dan Windows. Maar onderhuids verschilt Linux sterk van Windows en dus zijn ook de beveiligingsrisico’s behoorlijk anders. In dit artikel bespreken we de belangrijkste risico’s én enkele maatregelen die je daartegen kan nemen.

Beveiligingsupdates

Over firewalls kun je elders in dit nummer meer lezen, dus beginnen we meteen met die andere ergernis van vele Windows-gebruikers: beveiligingsupdates. Om te begrijpen wat die precies inhouden, moeten we even een stap terugzetten. Zoals je weet is Linux Mint op Ubuntu gebaseerd. Ongeveer een maand na elke nieuwe Ubuntu-versie verschijnt er ook een update voor Linux Mint. Nu werkt Ubuntu volgens een halfjaarlijks release-schema, waarin zowel updates voor het basissysteem opgenomen worden, als updates voor alle software die je via Softwarebeheer of Synaptic pakketbeheer installeert. Stel dat je vandaag de laatste versie van Linux Mint installeert (op het moment van schrijven was dat versie 17). Volgende maand verschijnt er een nieuwe versie van jouw favoriete programma: die zal dan pas in Linux Mint 18 meegeleverd worden. Op die manier hebben de ontwikkelaars van Linux Mint (en Ubuntu) voldoende tijd om het programma grondig te testen en te verzekeren dat het de stabiliteit van je systeem niet aantast. Dat staat trouwens los van de stabiliteit van het programma zelf. Daar kunnen de ontwikkelaars van Linux Mint weinig aan veranderen. Wil je in de tussentijd tóch een nieuwere versie van een programma installeren? Dan moet je op zoek gaan naar .deb-bestanden van een recentere versie, bijvoorbeeld op de website van de ontwikkelaar of via een PPA (elders in dit nummer lees je meer over .deb-bestanden en PPA’s). Vanuit beveiligingsoogpunt is dat echter niet aan te raden!

Ondersteunde pakketten

Wat Linux Mint en Ubuntu namelijk wél aanbieden binnen die periode van zes maanden zijn beveiligingsupdates. Als er beveiligingslekken ontdekt worden in één van de door Ubuntu ondersteunde programma’s, dan wordt daarvoor zo snel mogelijk een patch beschikbaar gesteld. Je hoeft dus niet te wachten tot de fameuze “Patch Tuesday” (de tweede dinsdag van de maand), zoals dat bij Windows het geval is. Zo blijft jouw systeem hooguit enkele dagen kwetsbaar voor nieuwe beveiligingslekken. Maar let goed op: we spreken wel degelijk over “door Ubuntu ondersteunde” programma’s! De circa 45.000 pakketten in de repositories van Ubuntu zijn namelijk nog in verschillende componenten onderverdeeld: main, restricted, universe en multiverse. Voor het basissysteem en de meest populaire programma’s (main en restricted, zo’n 6.700 pakketten) verzorgen de Ubuntu-ontwikkelaars alle beveiligingsupdates. Voor de rest (universe en multiverse) voorzien de ontwikkelaars zélf geen beveiligingsupdates. Ze worden echter wél aangeboden als mensen uit de community ze beschikbaar stellen. Hecht je erg veel belang aan beveiligingsupdates, dan installeer je zo weinig mogelijk applicaties uit de universe- en multiverse-componenten. Helaas toont Softwarebeheer niet uit welk component een pakket komt. In Synaptic pakketbeheer is dit wel mogelijk. Klik rechts op een pakketnaam, kies de optie Eigenschappen en kijk naar het item Onderdeel. Pakketten uit de universe- en multiverse-componenten worden daar als dusdanig aangeduid. Ook in Softwarebronnen is het niet mogelijk om bijvoorbeeld universe en multiverse uit te schakelen. Dat kan enkel door het bestand /etc/apt/sources.list.d/official-package-repositories.list aan te passen. Verwijder daar ‘universe’ en ‘multiverse’ op elke regel en voer daarna het volgende commando uit:

 aptitude update

Long Term Support

Beveiligingsupdates zijn niet alleen beperkt in aantal, maar ook in tijd. Voor elke Ubuntu-versie worden slechts 9 maanden security updates beschikbaar gesteld na de verschijning van een nieuwe versie (vroeger was dit nog 18 maanden). Na die periode moet je dus upgraden naar de laatste versie als je nog security updates wilt ontvangen. Concreet betekent dit dus dat je eigenlijk steeds de meest recente versie van Linux Mint moet gebruiken. Maar niet iedereen kijkt er naar uit om elk half jaar een grote update of herinstallatie uit te voeren. Gelukkig komt er om de vier releases (dus elke twee jaar) een zogenaamde LTS (Long Term Support)-versie uit van Ubuntu. Daarvoor krijg je maar liefst vijf jaar lang beveiligingsupdates, zodat je minder vaak hoeft te upgraden. Zo wordt Linux Mint 13 (gebaseerd op Ubuntu 12.04) ondersteund tot april 2017 en Linux Mint 17 (gebaseerd op Ubuntu 14.04) tot april 2019. Linux Mint 18 zal echter maar beveiligingsupdates krijgen tot midden 2015. We kunnen niet sterk genoeg benadrukken hoe belangrijk updates zijn voor de beveiliging van je systeem. Heb je een iets oudere installatie, die niet op een LTS-versie van Ubuntu gebaseerd is? Dan worden lekken, zoals Heartbleed, Shellshock of Poodle, niét gedicht op jouw systeem. Of je moet dus om de zes maanden je systeem zo snel mogelijk updaten naar de laatste Linux Mint-versie, of je blijft bij de LTS-releases en je slaat alle tussenliggende versies over. Gebruik je momenteel Linux Mint 13, dan kan je nog twee jaar gerust zijn. En je nieuwe Linux Mint 17-installatie hoef je pas in 2019 te upgraden naar de laatste versie. Blijf je graag op de hoogte van de verschillende beveiligingslekken, die ontdekt worden in Ubuntu? Volg dan de website, mailinglist of RSS-feed van www.ubuntu.com/usn.

Antivirus

Het klinkt misschien als een verrassing, maar voor Linux bestaan er heel wat verschillende virusscanners. Hoofdzakelijk gaat het hier om commerciële software (en soms met freeware-versies voor persoonlijk gebruik), die je systeem scannen op Windows-virussen. Er is echter ook een open source virusscanner beschikbaar, namelijk ClamAV. Over de kwaliteit van deze virusscanner lopen de meningen sterk uiteen, maar ClamAV kost niets en wordt dagelijks up-to-date gebracht met de nieuwste virusdefinities. ClamAV ondersteunt zowel on access als on demand scanning en het programma scant ook de inhoud van allerlei gecomprimeerde bestanden (zip, rar, gzip, …). ClamAV is een hoofdzakelijk op servers gericht commandline-programma. Wil je ClamAV in Linux Mint gebruiken? Installeer dan het pakket ‘clamtk’, een grafische front-end voor ClamAV. Na installatie vind je het programma in het menu Hulpmiddelen. ClamTK’s interface is wel redelijk beperkt. Het startscherm toont je meteen of de virusdefinities up-to-date zijn. Normaal gezien worden die automatisch gedownload. Via het menu Scannen start je een virusscan voor een bepaald bestand, een map of een volledige schijf. Als ClamAV een geïnfecteerd bestand vindt, wordt dat in quarantaine geplaatst en kun je het achteraf verwijderen.

## afb2.png: Virusscanners voor Linux: het bestaat, maar onmisbaar is het niet…

Voor geavanceerd gebruik van ClamAV (bijvoorbeeld on access scanning) moet je helaas op de commandline terugvallen. Dat komt omdat ClamAV vooral gebruikt wordt op Linux-servers in een Windows-omgeving, zoals mailservers of fileservers. In zulke situaties is het immers belangrijk dat zoveel mogelijk virussen tegengehouden worden vóór de e-mails of bestanden terecht komen op de Windows-clients. De kans dat je een Linux-virus tegenkomt, is namelijk zo goed als nihil. Dat ligt niet alleen aan het beperkte marktaandeel van Linux, maar ook aan het feit dat niet-rootgebruikers weinig aan het systeem kunnen veranderen en dat Linux-systemen in het algemeen zeer snel gepatcht worden. Een virusscanner op een Linux-desktop draaien is dus alleen nuttig als je vreest dat er via jouw Linux-desktop virussen terecht kunnen komen op Windows-computers in je netwerk. Op een Linux-homeserver in een Windows-netwerk is ClamAV uiteraard wél interessant. Zo worden immers alle gedeelde bestanden door twee verschillende virusscanners gecontroleerd (één op de server en één op de clients).

Anti-spyware

Spyware vormt een andere bron van ergernis voor vele Windows-gebruikers. Een leuk freeware-programma gevonden op het internet? Informeer je maar goed naar de ware bedoelingen ervan, voordat je het gaat installeren! Zo is het best mogelijk dat het programma achter jouw rug om persoonlijke gegevens verzamelt om door te verkopen aan advertentiebedrijven. En alsof dat nog niet erg genoeg is, vertraagt spyware je computer ook nog eens! Vaak merk je al aan de licentie-overeenkomst bij installatie dat een programma spyware bevat, maar wie leest die ellenlange teksten ooit? Onder Linux is de situatie (gelukkig maar!) helemaal anders. Op de meeste Linux-systemen staat bijna uitsluitend open source software. Iedereen kan de broncode van dergelijke programma’s vrijelijk inkijken. Daardoor is het bijna onmogelijk om ongemerkt spyware toe te voegen aan een open source programma. Bovendien spelen er ook geen commerciële motieven mee, want hobby-programmeurs hoeven geen geld te verdienen voor hun bijdragen. Maar een bedrijf dat software ontwikkelt en die gratis weggeeft, moet ergens toch zijn inkomsten halen? Momenteel bestaat er dan ook vrijwel geen specifieke anti-spyware software voor Linux.

Wil je toch absolute zekerheid dat er geen spyware op jouw systeem terecht komt? Dan volstaat het om volgende richtlijnen in het achterhoofd te houden:

–     Kies enkel open source software, die onder een gebruikelijke licentie valt, zoals de General Public License, BSD license of MIT license. Lees maar eens de voorwaarden van één van die licenties. Ze zijn echt niet zo lang als de bekende End User License Agreements van Microsoft! Zodra je de bekendste licenties doorgenomen hebt, weet je tenminste waarmee je akkoord gaat bij installatie van de software. Kan je echt niet zonder een bepaald closed source programma, lees dan erg nauwkeurig de licentie-overeenkomst. Die geeft echter geen 100% zekerheid dat het programma geen spyware bevat, want niemand kan de broncode controleren…

–     Installeer enkel software van betrouwbare bronnen. Het is niet omdat een programma open source is, dat elke gecompileerde versie ervan te vertrouwen is. Iedereen kan immers een populair programma, zoals Gimp compileren met toegevoegde spyware en aanbieden als een gemakkelijk te gebruiken installatiepakket voor jouw distributie. Gebruik bij voorkeur enkel installatiepakketten van betrouwbare partijen, zoals de repositories van Ubuntu en Linux Mint. Bovendien controleert je package manager via public/private key signing met GPG de authenticiteit van de repositories.

Kort samengevat: installeer alleen open source software uit de officiële repositories van Linux Mint en je hoeft je geen zorgen te maken over spyware!

Rootkits

Zogenaamde rootkits verdienen een aparte vermelding. Een rootkit is een stukje software, dat gemaakt is om de aanwezigheid van bepaalde bestanden of processen te verbergen. Rootkits nestelen zich erg diep in je systeem en zorgen ervoor dat spyware (of malware in het algemeen) onzichtbaar blijft. Met een rootkit kan ongewenste software dus jarenlang op je computer draaien zonder dat je er iets van merkt. Er bestaan rootkits voor Linux, alsook software om dergelijke rootkits te detecteren en te verwijderen. rkhunter en chkrootkit zijn twee (commandline) tools om rootkits op te sporen. Bedenk wel dat een actieve rootkit zich mogelijk ook voor die tools verbergt. Rootkits opsporen doe je dus het beste vanaf een live-cd. Alleen dan ben je er zeker van dat ze niet actief zijn.

Aangezien rootkits zo lastig te detecteren zijn, moet je absoluut vermijden dat ze op je systeem terechtkomen. Rootkits worden hoofdzakelijk op twee manieren verspreid: door een kwetsbaarheid in een bepaald programma uit te buiten of door jou een aangepast softwarepakket te laten installeren. Maatregelen tegen rootkits kwamen dan ook al eerder in dit artikel aan bod. Installeer steeds de laatste beveiligingsupdates en vertrouw geen software die niet afkomstig is van Linux Mints repositories. De kans is erg klein dat er dan nog een rootkit op je systeem terecht komt!

Databeveiliging

We sluiten af met enkele bedenkingen over databeveiliging onder Linux Mint. We tonen je meteen hoe eenvoudig het is om root-toegang te krijgen tot Linux Mint. Herstart je computer en selecteer de Linux Mint-entry in het bootmenu. Druk nu op “e” om die entry aan te passen. In het volgende scherm breng je de cursor naar het einde van de voorlaatste lijn (die begint met “linux”) en voeg je de volgende tekst toe:

*** LISTING ***

init=/bin/bash

*** EINDE LISTING ***

Vervang op diezelfde regel ook het woord “ro” door “rw”. Druk nu op Control-X om verder te booten en je komt nauwelijks enkele seconden later in een root-shell terecht. Je hoeft hiervoor zelfs geen wachtwoord in te geven, want we hebben het volledige bootproces omzeild en bash rechtstreeks gestart. En wie root-toegang heeft, kan bij alle bestanden op je computer! Dit is een handig trucje als je zelf je wachtwoord vergeten bent, maar erg veilig is het niet. Het is weliswaar mogelijk om het bootmenu zélf te beveiligen met een wachtwoord, maar eigenlijk maakt dat weinig uit. Wie fysieke toegang heeft tot het systeem, kan immers net zo goed een live-cd booten en zo je harde schijf benaderen. Als je dat probeert te verhinderen via een wachtwoord in het BIOS, dan kan iemand nog altijd je pc openbreken en met je harde schijven aan de haal gaan.

De enige manier om je data écht goed te beveiligen is door die te encrypten. Encryptie schakel je in tijdens de installatie van Linux Mint. Je hebt twee keuzes: het volledige systeem encrypten of alleen je homedirectory. Kies een veilige encryptiesleutel, bestaande uit hoofdletters, kleine letters, cijfers en speciale tekens. Besef ook dat je systeem iets trager wordt door de encryptie én dat je data reddeloos verloren is, wanneer je de encryptiesleutel vergeten bent! Maar het voordeel is dat anderen nu niet zomaar bij je data kunnen door het bootmenu aan te passen, een live-cd te starten of je schijven te stelen.

## afb3.png en afb4.png: Zo eenvoudig is het om een root-shell te openen in Linux Mint!

## afb5.png: De Linux Mint-installer ondersteunt nu ook schijfencryptie

Gezond verstand

Onder Linux Mint heb je nauwelijks extra beveiligingssoftware nodig. Beveiliging is dus vooral een kwestie van gezond verstand. Installeer steeds de laatste beveiligingsupdates om lekken zo snel mogelijk te dichten. Gebruik bij voorkeur enkel open source software uit Linux Mints repository. Je hoeft je dan geen zorgen te maken over rootkits, spyware of andere nare software. Een virusscanner is alleen nuttig als er veel bestanden of e-mails via jouw Linux Mint-systeem naar Windows-machines verstuurd worden. In de meeste gevallen is dat dus overbodig. Wil je jouw bestanden ook beveiligen tegen mensen, die fysieke toegang hebben tot jouw computer? Dan biedt alleen schijfencryptie voldoende beveiliging.