InSpec は、アプリケーションとインフラストラクチャのテストと監査を目的とした無料のオープンソース フレームワークです。InSpec は違反を検出し、修正の制御に役立つ調査結果を報告します。

InSpec ツールを使用して、CIS プロファイルでテストを実行できます。InSpec ツールを使用してベンチマークを実行するには、次の手順を実行します。

  1. InSpec ツールのインストール

  2. ツールのインストールの確認

  3. NSX Advanced Load Balancer サービス エンジンへのベンチマークのコピー

  4. InSpec の実行

NSX Advanced Load Balancer の CIS コンプライアンスに関する詳細については、「NSX Advanced Load Balancer の CIS コンプライアンス」を参照してください。

InSpec ツールのインストール

次に示すように、「downloads」から InSpec ツールをダウンロードし、サービス エンジンにインストールします。

root@user-service-engine:/home/admin# dpkg -i inspec_2.1.54-1_amd64.deb
(Reading database ... 21762 files and directories currently installed.)
Preparing to unpack inspec_2.1.54-1_amd64.deb ...
You're about to install InSpec!
Unpacking inspec (2.1.54-1) ...
Setting up inspec (2.1.54-1) ...
Thank you for installing InSpec!
root@user-service-engine:/home/admin#
注:

上記の例では、最新バージョンの InSpec ツールを使用しています。関連する任意のバージョンを使用できます。

ツールのインストールの確認

inspect detect コマンドを使用して、InSpec ツールが正しくインストールされているかどうかを確認します。

root@user-service-engine:/home/admin# inspec detect
 
== Operating System Details
 
Name: ubuntu
Family: debian
Release: 14.04
Arch: x86_64
root@user-service-engine:/home/admin#

NSX Advanced Load Balancer サービス エンジンへのベンチマークのコピー

cis-dil-benchmark ディレクトリ内のすべてのコンテンツを Github リポジトリからサービス エンジンのホーム ディレクトリにコピー(または SCP を使用してコピー)します。

root@user-service-engine:/home/admin# ls
cis-dil-benchmark inspec_2.1.54-1_amd64.deb
root@user-service-engine:/home/admin# cd cis-dil-benchmark/
root@user-service-engine:/home/admin/cis-dil-benchmark# ls
LICENSE README.md controls inspec.yml libraries

InSpec の実行

InSpec ツールを実行して、すべてのベンチマーク テストを実行します。

root@user-service-engine:/home/admin# inspec exec /home/admin/cis-dil-benchmark/
root@user-service-engine:/home/admin# inspec exec /home/admin/cis-dil-benchmark/
      
Profile: CIS Distribution Independent Linux Benchmark Profile (cis-dil-benchmark)
Version: 0.1.0
Target:  local://
      
  ✔  cis-dil-benchmark-6.2.1: Ensure password fields are not empty
     ✔  /etc/shadow passwords should not include ""
snip
  ⊚  cis-dil-benchmark-3.3.3: Ensure IPv6 is disabled (6 failed)
     ×  File /boot/grub/grub.conf content should match /ipv6\.disable=1/
     expected nil to match /ipv6\.disable=1/
     ×  File /boot/grub/grub.cfg content should match /ipv6\.disable=1/
     expected nil to match /ipv6\.disable=1/
     ×  File /boot/grub/menu.lst content should match /ipv6\.disable=1/
     expected nil to match /ipv6\.disable=1/
     ×  File /boot/boot/grub/grub.conf content should match /ipv6\.disable=1/
     expected nil to match /ipv6\.disable=1/
     ×  File /boot/boot/grub/grub.cfg content should match /ipv6\.disable=1/
     expected nil to match /ipv6\.disable=1/
     ×  File /boot/boot/grub/menu.lst content should match /ipv6\.disable=1/
     expected nil to match /ipv6\.disable=1/
      
Profile Summary: 86 successful controls, 98 control failures, 38 controls skipped
Test Summary: 942 successful, 316 failures, 44 skipped
注:

デフォルトでは、CIS 2.0 プロファイルが実行されます。CIS 1.0 の結果を得るには、プロファイルを明示的に 1.0 に変更する必要があります。