使用 InSpec 运行基准测试

InSpec 是一个免费的开源框架，用于测试和审核应用程序和基础架构。InSpec 检测违规行为，并报告结果以帮助控制修复。

您可以使用 InSpec 工具在 CIS 配置文件中运行测试。请按照以下步骤使用 InSpec 工具运行基准测试：

安装 InSpec 工具
验证工具安装
将基准复制到 NSX Advanced Load Balancer 服务引擎
运行 InSpec

有关 NSX Advanced Load Balancer 的 CIS 合规性的完整信息，请参见 NSX Advanced Load Balancer 的 CIS 合规性。

安装 InSpec 工具

从下载网站中下载 InSpec 工具，并将其安装在服务引擎上，如下所示。

root@user-service-engine:/home/admin# dpkg -i inspec_2.1.54-1_amd64.deb
(Reading database ... 21762 files and directories currently installed.)
Preparing to unpack inspec_2.1.54-1_amd64.deb ...
You're about to install InSpec!
Unpacking inspec (2.1.54-1) ...
Setting up inspec (2.1.54-1) ...
Thank you for installing InSpec!
root@user-service-engine:/home/admin#

注：

上面的示例使用最新版本的 InSpec 工具。您可以使用任何相关的版本。

验证工具安装

可以使用 inspect detect 命令验证是否正确安装了 InSpec 工具。

root@user-service-engine:/home/admin# inspec detect
 
== Operating System Details
 
Name: ubuntu
Family: debian
Release: 14.04
Arch: x86_64
root@user-service-engine:/home/admin#

将基准复制到 NSX Advanced Load Balancer 服务引擎

将 cis-dil-benchmark 目录中的所有内容从 Github 存储库复制或安全复制 (SCP) 到服务引擎的主目录。

root@user-service-engine:/home/admin# ls
cis-dil-benchmark inspec_2.1.54-1_amd64.deb
root@user-service-engine:/home/admin# cd cis-dil-benchmark/
root@user-service-engine:/home/admin/cis-dil-benchmark# ls
LICENSE README.md controls inspec.yml libraries

运行 InSpec

运行 InSpec 工具以运行所有基准测试。

root@user-service-engine:/home/admin# inspec exec /home/admin/cis-dil-benchmark/
root@user-service-engine:/home/admin# inspec exec /home/admin/cis-dil-benchmark/
      
Profile: CIS Distribution Independent Linux Benchmark Profile (cis-dil-benchmark)
Version: 0.1.0
Target:  local://
      
  ✔  cis-dil-benchmark-6.2.1: Ensure password fields are not empty
     ✔  /etc/shadow passwords should not include ""
snip
  ⊚  cis-dil-benchmark-3.3.3: Ensure IPv6 is disabled (6 failed)
     ×  File /boot/grub/grub.conf content should match /ipv6\.disable=1/
     expected nil to match /ipv6\.disable=1/
     ×  File /boot/grub/grub.cfg content should match /ipv6\.disable=1/
     expected nil to match /ipv6\.disable=1/
     ×  File /boot/grub/menu.lst content should match /ipv6\.disable=1/
     expected nil to match /ipv6\.disable=1/
     ×  File /boot/boot/grub/grub.conf content should match /ipv6\.disable=1/
     expected nil to match /ipv6\.disable=1/
     ×  File /boot/boot/grub/grub.cfg content should match /ipv6\.disable=1/
     expected nil to match /ipv6\.disable=1/
     ×  File /boot/boot/grub/menu.lst content should match /ipv6\.disable=1/
     expected nil to match /ipv6\.disable=1/
      
Profile Summary: 86 successful controls, 98 control failures, 38 controls skipped
Test Summary: 942 successful, 316 failures, 44 skipped

注：

默认情况下，将运行 CIS 2.0 配置文件。您需要明确将配置文件更改为 1.0 才能获得 CIS 1.0 结果。