────────────────────────────────────────────
🔐 Public Key Infrastructure (PKI)
────────────────────────────────────────────
Term Uitleg
Public key : Openbare sleutel, gebruikt om data te versleutelen of handtekeningen te verifiëren.
Private key : Geheime sleutel, hoort bij public key. Wordt gebruikt om te ontsleutelen of te ondertekenen.
Self-signed certificate : Certificaat dat door de eigenaar zelf is ondertekend (niet door een CA).
Digital signature : Handtekening gemaakt met private key om authenticiteit te bevestigen.
Wildcard certificate : Eén certificaat dat meerdere subdomeinen dekt (*.example.com).
Hashing : Eenrichtingsfunctie die data omzet naar vaste lengte (bijv. SHA256).
Certificate Authority (CA) : Vertrouwde instantie die certificaten ondertekent en uitgeeft.
────────────────────────────────────────────
🔏 Certificaatgebruik (Use Cases)
────────────────────────────────────────────
Gebruik Voorbeeld
SSL/TLS : Beveiliging van netwerkverkeer (bijv. HTTPS).
Certificate authentication : Certificaten als vervanging voor wachtwoorden (bijv. in SSH of VPN).
Encryption : Versleuteling van gegevens op schijf of over netwerk.
────────────────────────────────────────────
🔑 Authenticatievormen
────────────────────────────────────────────
Methode Uitleg
Tokens : Hardware- of softwaremiddel voor authenticatie (bijv. OTP-apps).
MFA (Multifactor) : Meerdere verificatiemethoden (bijv. wachtwoord + token).
PAM (Pluggable Authentication Modules) : Framework om authenticatie te beheren in Linux (/etc/pam.d).
SSSD : System Security Services Daemon – caching en integratie met externe identiteitsbronnen.
LDAP : (Lightweight Directory Access Protocol) Protocol voor directoryservices (bijv. gebruikersauthenticatie).
SSO (Single Sign-On) : Eén keer inloggen voor toegang tot meerdere systemen/diensten.
────────────────────────────────────────────
🛡️ Linux Hardening (Beveiligingsversteviging)
────────────────────────────────────────────
Praktijk Uitleg
Security scanning : Tools zoals lynis, OpenSCAP of chkrootkit gebruiken om kwetsbaarheden op te sporen.
Secure boot : UEFI-functie om alleen gesigneerde OS-loaders te starten.
UEFI : Moderne firmware met veilige opstartmogelijkheden (vervanging van BIOS).
System logging configurations : Zorgvuldige configuratie van logdiensten (bijv. rsyslog, journald).
Setting default umask : Bepaalt standaard bestandspermissies voor nieuwe bestanden (umask 027).
Disabling/removing insecure services : Uitschakelen van onnodige services via systemctl, chkconfig, of update-rc.d.
Enforcing password strength : Policies via pam_pwquality, passwd, of chage.
Removing unused packages : Verkleint aanvalsoppervlak (dnf remove, apt purge).
Tuning kernel parameters : Bijv. netwerksecurity via /etc/sysctl.conf of sysctl net.ipv4.conf.all.rp_filter=1.
Securing service accounts : Geen login shell, beperkte rechten (/usr/sbin/nologin).
Configuring host firewall : Instellen van firewalld, ufw, of iptables om inkomend verkeer te filteren.
────────────────────────────────────────────
✅ Samenvatting per beveiligingslaag
────────────────────────────────────────────
Categorie Belangrijkste tools/concepten
Authenticatie : PAM, MFA, LDAP, SSSD, SSO
Encryptie & PKI : Certificaten, TLS, hashing
Systeemverharding : umask, services, firewall, sysctl, secure boot
Logging & audit : journald, rsyslog, auditd