InSpec は、アプリケーションとインフラストラクチャのテストと監査を目的とした無料のオープンソース フレームワークです。InSpec は違反を検出し、修正の制御に役立つ調査結果を報告します。
InSpec ツールを使用して、CIS プロファイルでテストを実行できます。InSpec ツールを使用してベンチマークを実行するには、次の手順を実行します。
NSX Advanced Load Balancer の CIS コンプライアンスに関する詳細については、「NSX Advanced Load Balancer の CIS コンプライアンス」を参照してください。
InSpec ツールのインストール
次に示すように、「downloads」から InSpec ツールをダウンロードし、サービス エンジンにインストールします。
root@user-service-engine:/home/admin# dpkg -i inspec_2.1.54-1_amd64.deb (Reading database ... 21762 files and directories currently installed.) Preparing to unpack inspec_2.1.54-1_amd64.deb ... You're about to install InSpec! Unpacking inspec (2.1.54-1) ... Setting up inspec (2.1.54-1) ... Thank you for installing InSpec! root@user-service-engine:/home/admin#
注:
上記の例では、最新バージョンの InSpec ツールを使用しています。関連する任意のバージョンを使用できます。
ツールのインストールの確認
inspect detect コマンドを使用して、InSpec ツールが正しくインストールされているかどうかを確認します。
root@user-service-engine:/home/admin# inspec detect == Operating System Details Name: ubuntu Family: debian Release: 14.04 Arch: x86_64 root@user-service-engine:/home/admin#
NSX Advanced Load Balancer サービス エンジンへのベンチマークのコピー
cis-dil-benchmark ディレクトリ内のすべてのコンテンツを Github リポジトリからサービス エンジンのホーム ディレクトリにコピー(または SCP を使用してコピー)します。
root@user-service-engine:/home/admin# ls cis-dil-benchmark inspec_2.1.54-1_amd64.deb root@user-service-engine:/home/admin# cd cis-dil-benchmark/ root@user-service-engine:/home/admin/cis-dil-benchmark# ls LICENSE README.md controls inspec.yml libraries
InSpec の実行
InSpec ツールを実行して、すべてのベンチマーク テストを実行します。
root@user-service-engine:/home/admin# inspec exec /home/admin/cis-dil-benchmark/ root@user-service-engine:/home/admin# inspec exec /home/admin/cis-dil-benchmark/ Profile: CIS Distribution Independent Linux Benchmark Profile (cis-dil-benchmark) Version: 0.1.0 Target: local:// ✔ cis-dil-benchmark-6.2.1: Ensure password fields are not empty ✔ /etc/shadow passwords should not include "" snip ⊚ cis-dil-benchmark-3.3.3: Ensure IPv6 is disabled (6 failed) × File /boot/grub/grub.conf content should match /ipv6\.disable=1/ expected nil to match /ipv6\.disable=1/ × File /boot/grub/grub.cfg content should match /ipv6\.disable=1/ expected nil to match /ipv6\.disable=1/ × File /boot/grub/menu.lst content should match /ipv6\.disable=1/ expected nil to match /ipv6\.disable=1/ × File /boot/boot/grub/grub.conf content should match /ipv6\.disable=1/ expected nil to match /ipv6\.disable=1/ × File /boot/boot/grub/grub.cfg content should match /ipv6\.disable=1/ expected nil to match /ipv6\.disable=1/ × File /boot/boot/grub/menu.lst content should match /ipv6\.disable=1/ expected nil to match /ipv6\.disable=1/ Profile Summary: 86 successful controls, 98 control failures, 38 controls skipped Test Summary: 942 successful, 316 failures, 44 skipped
注:
デフォルトでは、CIS 2.0 プロファイルが実行されます。CIS 1.0 の結果を得るには、プロファイルを明示的に 1.0 に変更する必要があります。