Distributions GNU Linux orientées sécurité

flattr this!

Parler de systèmes d’exploitation, c’est souvent un sujet à trolls. Accessoirement j’utilise de temps en temps Backtrack, mais voilà… sans plus. Pour mes besoins professionnels toutes mes machines embarquent des outils de tests d’intrusion et une petite panoplie d’utilitaires réseau, forensic, wireless etc… Comme tout geek qui se respecte, j’aime avoir mon environnement à moi, configuré aux petits oignons.  Ce petit article n’a pas d’autre prétention que de proposer une manière très simple d’avoir un système orienté sécurité bien à soi et que l’on peut utiliser au quotidien sans se piquer des sueurs froides. Mais bien plus que les outils, ne perdez pas de vue que c’est votre curiosité et votre capacité à vous documenter qui primeront. Ce qui suit est donc centré sur Debian parce que c’est le meilleur OS de l’univers, mais ça fonctionnera probablement pas trop mal sur des OS inférieurs ;)

De nombreuses distributions GNU/Linux orientées sécurité fleurissent sur la Toile, mais  la sécurité, c’est quand même quelque chose d’assez vaste. On pourrait distinguer 4 types de distributions, relatifs à 4 usages, 4 univers de la sécurité informatique :

  • Les distributions orientées forensic
  • Les distributions orientées offensif et tests d’intrusion
  • Les distributions orientées anonymat et protection des données personnelles
  • Les distributions Gateway/firewall/UTM ( Unified Threat Management) orientées protection du patrimoine informationnel (nous ne les traiterons pas ici mais vous pouvez par exemple vous tourner vers Redwall, IPCop, GibraltarEndian…).

Si l’on trouve des distributions orientées offensif qui font très bien leur office en forensic, il est assez improbable que vous trouviez une distribution à vocation offensive et donnant satisfaction en matière de protection des données personnelles. Matriux, une distribution basée sur Debian est cependant un projet à suivre car il propose un arsenal offensif intéressant et se montre assez versatile pour être utilisée au quotidien.

Les distributions orientées forensic et celles orientées tests de pénétration présentent souvent les faiblesses de leurs force, le défauts de leurs qualités. Certaines comme Backtrack propose de nombreux scripts d’intégration d’ applications à usage offensif et offrent au final quelque chose d’homogène et relativement agréable à utiliser, pour peu que l’on sache ce que l’on fait. Mais très vite, on se rend compte qu’une distribution comme Backtrack n’est pas destinée à un usage quotidien. La simple idée d’être en full root avec un X, pour toutes les applications, comme le navigateur ou le client IRC, peut vite donner des sueurs froides aux personnes soucieuses de la protection de leurs données et de la sécurité de leur propre système.

Pour ma part, je considère des distributions comme Backtrack ou Backbox très utiles, quand je ne souhaite pas perdre de temps et que je me trouve devant un cas d’utilisation  particulier qui me demanderait un peu trop de configuration et que le temps me manque. Le reste du temps, je reste très attaché à ma Debian.

Une Debian correctement configurée pourra se montrer assez versatile pour assurer correctement les 3 fonctions relatives aux 3 grands univers de la sécurité informatique qui nous intéressent aujourd’hui (offensif, forensic et protection des données personnelles). Le grand nombre de logiciels packagés par les contributeurs Debian en font un excellent choixpour presque tous les usages (au même titre qu’une Fedora ou qu’une Gentoo diront certains, mais les goûts et les packages managers… ça ne se discute pas). La « meilleure distribution », c’est avant tout celle avec laquelle vous vous sentez le plus à l’aise, celle que vous comprenez le mieux, celle dont vous connaissez les forces et les faiblesses.

Debian offre une base déjà robuste, mais ce n’est pas parceque c’est tout fait qu’il ne faiut rien faire. On préférera donc un installation avec l’option LVM Chiffré. Si vous préférez faire ça post-installation, voici un tutoriel vous expliquant comment chiffrer votre filesystem. Pour durcir votre système, vous pouvez également opter pour l’installation des patchs GRSecurity/Pax, c’est également une bonne pratique.

Voici une commande qui, post-installation, vous permettra de bénéficier de nombreux outils (forensic et offensifs) :

# apt-get install tcpdump wireshark tshark ettercap-gtk dsniff w3af john sipcrack sucrack weplab crack-md5 pdfcrack pyrit fcrackzip zzuf fusil fuzz inguma eresi flawfinder hping3 netsed netcat opendnssec-auditor mz smb-nat ratproxy nast wapiti nmapsi4 packit pnscan rkhunter chkrootkit sslscan ssldump scanssh memdump netsniff-ng yersinia autopsy tct scalpel pasco rdd dcfldd unhide openvas-server openvas-client openvas-plugins-dfsg mtr scamper git subversion python-setuptools python-pastescript

Tous les outils que j’utilise n’étant pas packagés, il va falloir en installer certains manuellement :

  • Metasploit, un outil d’exploitation incontournable
$ wget http://downloads.metasploit.com/data/releases/metasploit-latest-linux-x64-installer.run
# chmod +x metasploit-latest-linux-x64-installer.run && ./metasploit-latest-linux-x64-installer.run
  • Mantra : un firefox avec pas mal de plugins assez sympas
  • Xsser : un petit outil pour tester de manière automatisée les XSS
$ svn co https://xsser.svn.sourceforge.net/svnroot/xsser xsser
# apt-get install python-pycurl
# cd xsser && python setup.py install
  •  Backfuzz : un petit fuzzer assez polyvalent.
$ git clone https://github.com/localh0t/backfuzz
  • Nikto : un autre petit fuzzer celui ci web mais très efficace
$ wget --no-check-certificate https://cirt.net/nikto/nikto-2.1.4.tar.gz && tar -xvzf nikto-2.1.4.tar.gz
  • SQLMap : un incontournable pour tester les vulnérabilités SQL
$ git clone https://github.com/sqlmapproject/sqlmap.git

Concernant la protection de vos données personnelles voici une commande qui vous installera quelques outils bien utiles :

# apt-get install pidgin pidgin-otr icedove enigmail openvpn sweeper bleachbit linux-patch-grsecurity2 gradm2 twinkle pork irssi stunnel autossh

Additionnellement, il est toujours recommandé d’installer Tor (le Bundle est un bon moyen de débuter mais il est toujours bon de mettre un peu les mains dedans pour comprendre un peu les subtilités de configuration du proxy socks pour chiffrer le trafic de toutes ses applications) ou I2P (pour l’anonymisation) ainsi que Truecrypt (chiffrement local et cloaking).

Les distributions orientées anonymat et protection des données personnelles :

Les distributions orientées sécurité offensive

Les distributions orientées forensic