要执行本任务,您必须分配有 "Software Installation"(软件安装)权限配置文件才能将软件包添加到系统。您必须分配有管理权限才能执行大多数 compliance 命令。
# pkg install compliance
以下消息指示软件包已安装:
No updates necessary for this image.
有关更多信息,请参阅 pkg(1) 手册页。
在本示例中,有两个基准。
pci-dss-包括一个配置文件,称为 Solaris_PCI-DSS
solaris-包括两个配置文件,称为 Baseliine 和 Recommended
# compliance list -p Benchmarks: pci-dss: Solaris_PCI-DSS solaris: Baseline, Recommended Assessments: No assessments available
使用以下语法运行 compliance 命令:
|
示例:
使用 Recommended 配置文件:
# compliance assess -b solaris -p Recommended
该命令会在 /var/share/compliance/assessments 中创建一个目录,其中包含三个评估文件,分别是一个日志文件、一个 XML 文件和一个 HTML 文件。
使用 PCI-DSS 配置文件:
# compliance assess -b pci-dss
# cd /var/share/compliance/assessments/filename_timestamp # ls recommended.html recommended.txt recommended.xml
可以重复运行定制报告。但是,只能在原始目录中运行一次评估。
在本示例中,-s 选项用于选择哪些结果类型应该显示在报告中。
默认情况下,除了 notselected 或 notapplicable 之外,所有结果类型都将显示在报告中。结果类型指定为除了默认类型之外要显示的逗号分隔列表。可以通过在各个结果类型前加上 - 来隐藏相应的结果类型,而使列表以 = 开头则可以确切地指定应当包括哪些结果类型。结果类型有:pass、fixed、notchecked、notapplicable、notselected、informational、 unknown、error 或 fail。
# compliance report -s -pass,fail,notselected /var/share/compliance/assessments/filename_timestamp/report_A.html
此命令会以 HTML 格式创建包含未通过项和未选定项的报告。该报告针对最近的评估运行。
可以在文本编辑器中查看日志文件,在浏览器中查看 HTML 文件,或者在 XML 查看器中查看 XML 文件。例如,要查看先前步骤所生成的定制 HTML 报告,请键入以下浏览器条目:
file:///var/share/compliance/assessments/filename_timestamp/report_A.html
如果修复步骤包括重新引导系统,请先重新引导系统,然后再次运行评估。