MISP项目在Debian 9系统上的安装指南

前言

MISP（Malware Information Sharing Platform）是一个开源的威胁情报平台，用于收集、存储、分发和共享网络安全威胁指标。本文将详细介绍如何在Debian 9系统上安装和配置MISP平台。

系统要求

• Debian 9.9 "stretch" 最小化安装
• 建议使用至少4GB内存的服务器
• 至少50GB的可用磁盘空间

安装前准备

1. 系统更新

首先确保系统是最新的：

sudo apt update
sudo apt dist-upgrade -y

2. 安装必要工具

安装编译和系统管理所需的基本工具：

sudo apt install -y curl gcc git gnupg-agent make openssl vim zip

安装LAMP环境

1. 安装Apache和PHP

sudo apt install -y apache2 apache2-doc apache2-utils \
libapache2-mod-php php php-cli php-mbstring php-dev \
php-json php-xml php-mysql php7.0-opcache php-readline \
php-redis php-gnupg php-gd php-zip

2. 安装MariaDB数据库

sudo apt install -y mariadb-client mariadb-server

3. 安全配置MariaDB

sudo mysql_secure_installation

安装Python 3.7

由于Debian 9默认的Python 3.5版本过低，我们需要手动安装Python 3.7：

sudo apt-get install -y make build-essential libssl-dev zlib1g-dev \
libbz2-dev libreadline-dev libsqlite3-dev wget curl llvm \
libncurses5-dev libncursesw5-dev xz-utils tk-dev libffi-dev liblzma-dev

mkdir -p ~/opt/python3
cd /tmp
wget https://www.python.org/ftp/python/3.7.3/Python-3.7.3.tar.xz
tar xvfJ Python-3.7.3.tar.xz
cd Python-3.7.3
./configure --enable-optimizations --with-ensurepip=install --prefix="$HOME"/opt/python3
make -j$(nproc)
make altinstall

安装MISP核心

1. 下载MISP代码

sudo mkdir /var/www/MISP
sudo chown www-data:www-data /var/www/MISP
cd /var/www/MISP
sudo -u www-data git clone https://github.com/MISP/MISP.git .
sudo -u www-data git submodule update --init --recursive

2. 创建Python虚拟环境

sudo -u www-data virtualenv -p ~/opt/python3/bin/python3.7 /var/www/MISP/venv

3. 安装Python依赖

cd /var/www/MISP/app/files/scripts
sudo -u www-data git clone https://github.com/CybOXProject/python-cybox.git
sudo -u www-data git clone https://github.com/STIXProject/python-stix.git
sudo -u www-data git clone https://github.com/MAECProject/python-maec.git
sudo -u www-data git clone https://github.com/CybOXProject/mixbox.git

# 安装各个Python库
cd /var/www/MISP/app/files/scripts/mixbox
sudo -u www-data /var/www/MISP/venv/bin/pip install .
cd ../python-cybox
sudo -u www-data /var/www/MISP/venv/bin/pip install .
cd ../python-stix
sudo -u www-data /var/www/MISP/venv/bin/pip install .
cd ../python-maec
sudo -u www-data /var/www/MISP/venv/bin/pip install .

配置数据库

1. 创建MISP数据库

sudo mysql -u root -p

在MySQL提示符下执行：

CREATE DATABASE misp;
GRANT ALL PRIVILEGES ON misp.* TO 'misp'@'localhost' IDENTIFIED BY 'YourSecurePassword';
FLUSH PRIVILEGES;
EXIT;

2. 导入数据库结构

sudo -u www-data cat /var/www/MISP/INSTALL/MYSQL.sql | mysql -u misp -p misp

配置Apache

1. 创建SSL证书

sudo openssl req -newkey rsa:4096 -days 365 -nodes -x509 \
-subj "/C=US/ST=California/L=San Francisco/O=Security/OU=MISP/CN=misp.local" \
-keyout /etc/ssl/private/misp.local.key -out /etc/ssl/private/misp.local.crt

2. 配置虚拟主机

创建MISP的Apache配置文件：

sudo cp /var/www/MISP/INSTALL/apache.24.misp.ssl /etc/apache2/sites-available/misp-ssl.conf

修改配置文件中的路径和域名，然后启用站点：

sudo a2dissite default-ssl
sudo a2ensite misp-ssl
sudo systemctl restart apache2

配置MISP

1. 复制配置文件模板

cd /var/www/MISP/app/Config
sudo -u www-data cp -a bootstrap.default.php bootstrap.php
sudo -u www-data cp -a database.default.php database.php
sudo -u www-data cp -a core.default.php core.php
sudo -u www-data cp -a config.default.php config.php

2. 生成GPG密钥

sudo -u www-data gpg --homedir /var/www/MISP/.gnupg --gen-key
sudo -u www-data gpg --homedir /var/www/MISP/.gnupg --export --armor your@email.com > /var/www/MISP/app/webroot/gpg.asc

启动后台工作进程

sudo cp /var/www/MISP/INSTALL/misp-workers.service /etc/systemd/system/
sudo systemctl daemon-reload
sudo systemctl enable --now misp-workers.service

完成安装

访问您的MISP实例，使用默认凭据登录：

• 用户名: admin@admin.test
• 密码: admin

首次登录后请立即更改密码。

常见问题解决

1. Python依赖问题：确保使用Python 3.7虚拟环境安装所有依赖
2. 数据库连接问题：检查database.php中的数据库凭据
3. 权限问题：确保/var/www/MISP目录及其子目录的所有者为www-data

后续优化

1. 配置邮件通知
2. 设置定期备份
3. 配置HTTPS证书（替代自签名证书）
4. 设置监控和日志轮转

通过以上步骤，您应该已经成功在Debian 9系统上安装了MISP平台。如需进一步定制或遇到问题，建议参考MISP官方文档或社区支持资源。