YubiKey met pass, GPG en SSH integratie

YubiKey + pass + GPG + SSH: één key om ze allemaal te beheren

Hier is de beloning vóór het werk: ik plug ’s ochtends mijn YubiKey in, typ één PIN, en de rest van de dag gebeurt mijn authenticatie gewoon vanzelf. SSH naar een server, geen wachtwoord. Git commit signen, geen passphrase. Een secret uit pass trekken, gewoon de key touchen. Eén fysiek ding zit in een USB-poort en de frictie is weg. Daar komen kostte me ongeveer drie avonden van vloeken tegen gpg-agent. Nu het draait voelt teruggaan ondenkbaar. ...

13 januari 2026 · 9 min leestijd · Tom Meurs
pass password manager, gpg, unix, cli, wachtwoordbeheer

Pass: de unix password manager die gewoon werkt

Ik heb jarenlang KeePass gebruikt. Daarna 1Password. Daarna Bitwarden. Allemaal prima tools, maar elk ervan voelde als te veel. Te veel UI, te veel features, te veel gedoe om ze goed in mijn workflow te krijgen. Elke keer dat ik een wachtwoord nodig had stapte ik over een app-grens heen, en die kleine onderbreking telde op. Toen vond ik pass. Het doet precies wat de naam belooft: wachtwoorden opslaan. Ik neem je mee zoals ik het zelf leerde, te beginnen met het ene commando dat me overhaalde, en daarna laag voor laag tot je mijn volledige setup ziet. ...

10 januari 2026 · 8 min leestijd · Tom Meurs
gpg, gnupg, encryptie, pgp, public key cryptography

GPG uitgelegd: van eerste key tot dagelijks gebruik

GPG is een van die tools die iedereen ooit wil leren en nooit doet. De docs zijn een muur van tekst, de terminologie is een eigen dialect, en de error messages zijn cryptisch in beide betekenissen van het woord. Ik heb het zelf jaren uitgesteld. Het punt is: je blijft er tegenaan lopen. GPG zit onder pass, onder signed git commits, onder versleutelde email, onder het verifiëren dat de binary die je net downloadde echt is wat de maintainer heeft uitgebracht. Als je je eigen security wilt bezitten in plaats van vertrouwen op een vendor die het voor je regelt, kom je hier vroeg of laat uit. ...

6 januari 2026 · 14 min leestijd · Tom Meurs
Kubernetes RBAC access control visualisatie

Kubernetes RBAC: least privilege in de praktijk

Het eerste cluster dat ik echt in productie draaide had precies één permissiemodel: alles was cluster-admin. Mijn CI pipeline, mijn monitoring stack, het kleine webhook-ontvangertje dat ik op een middag in elkaar zette. Allemaal konden ze elk secret lezen, elke deployment verwijderen en elke namespace aanraken. Het werkte prima, tot ik begon na te denken over wat er gebeurt als één van die pods wordt overgenomen. Kubernetes RBAC (Role-Based Access Control) beantwoordt één vraag: wie mag wat doen met welke resources? Het standaardantwoord op de meeste clusters is “iedereen kan alles doen,” en dat antwoord wordt stilletjes je grootste aansprakelijkheid. ...

19 augustus 2025 · 12 min leestijd · Tom Meurs
Falco runtime security monitoring visualisatie

Runtime security met Falco: detecteer verdacht gedrag in je cluster

Ik scande mijn images met Trivy. Ik dwong policies af met Kyverno. Mijn workloads kregen cryptografische identiteit via SPIFFE. Drie lagen preventie, allemaal groen, en een tijd lang voelde dat als genoeg. Toen begon ik de ongemakkelijke vraag te stellen. Wat gebeurt er nadat een pod draait? Mijn scanners controleerden de image die erin ging. Mijn admission controller controleerde de spec bij deployment. Geen van beide kijkt nog mee zodra het proces daadwerkelijk draait. Als een container om 3 uur ’s nachts wordt gepakt door een zero-day, hebben al die controls hun werk al gedaan en zijn ze naar huis. ...

7 augustus 2025 · 13 min leestijd · Tom Meurs