Er is een moment waarop alles klikt. Je plugt je YubiKey in, typt je PIN één keer, en daarna werkt gewoon alles. SSH naar servers? Geen wachtwoord. Git commits signen? Automatisch. Wachtwoord uit pass halen? Touch de key en klaar. Dat moment duurde bij mij ongeveer drie avonden van frustratie om te bereiken. Maar nu het werkt, wil ik nooit meer terug. Waarom Deze Setup? Ik had een probleem: te veel authenticatiemethoden. ...
Ik heb jarenlang KeePass gebruikt. Daarna 1Password. Daarna Bitwarden. Allemaal prima tools, maar ze voelden altijd… te veel. Te veel UI, te veel features, te veel gedoe om ze goed te integreren in mijn workflow. Toen ontdekte ik pass. Een password manager die precies doet wat de naam zegt: wachtwoorden opslaan. Niets meer, niets minder. Wat is pass? Pass is de “standard unix password manager.” Het is een shell script van ~700 regels dat wachtwoorden opslaat als GPG-versleutelde bestanden in een directory. Dat is het. Geen database, geen proprietary format, geen cloud sync ingebouwd. ...
GPG is een van die tools die iedereen “ooit moet leren” maar waar niemand zin in heeft. De documentatie is overweldigend, de terminologie verwarrend, en de error messages cryptisch (pun intended). Maar GPG is ook onmisbaar. Het is de basis voor pass, voor signed git commits, voor versleutelde email, en voor het verifiëren van software downloads. Als je serieus bent over security, ontkom je er niet aan. Dit is de gids die ik zelf had willen hebben toen ik begon. ...
Wanneer alles cluster-admin heeft, is niets veilig. Kubernetes RBAC (Role-Based Access Control) bestaat om één vraag te beantwoorden: wie kan wat doen met welke resources? De meeste clusters antwoorden verkeerd: “iedereen kan alles doen.” Dit is niet alleen een security probleem — het is een resilience probleem. Wanneer een service account wordt gecompromitteerd, hoeveel schade kan het aanrichten? Wanneer iemand het verkeerde commando uitvoert, wat is de blast radius? Least privilege beperkt die radius. ...
Je scande je images met Trivy. Je dwingt policies af met Kyverno. Je workloads hebben cryptografische identiteit via SPIFFE. Maar wat gebeurt er na deployment? Wat als een container wordt gecompromitteerd tijdens runtime? Wat als een aanvaller een zero-day exploiteert? Preventie is niet genoeg. Je hebt detectie nodig. Falco is een runtime security tool die system calls monitort in je cluster. Het ziet alles wat containers doen — bestandstoegang, netwerkverbindingen, procesuitvoering — en alert wanneer iets er verkeerd uitziet. ...