Compliance mit Chef InSpec automatisieren

Chef InSpec stammt von einer Firma, die sich auch sonst in den Themenbereichen Automatisierung und Compliance sehr heimisch fühlt: Chef, der Anbieter hinter dem gleichnamigen Automatisierer. Die Software fußt auf einer eigenen, deklarativen Skriptsprache (DSL), einer Art Pseudo-Programmiersprache. In ihr beschreibt der Administrator nach einer festen Syntax die Regeln, die InSpec im weiteren Verlauf überprüft.

Dabei bietet InSpec dem Anwender einige Erleichterungen. Zum Beispiel stellt es sogenannte Ressourcen (Resources) zur Verfügung. Dahinter verbergen sich fertige Funktionen, um bestimmte Konfigurationsdateien beziehungsweise deren Inhalt zu überprüfen. Diese ersparen viel Handarbeit. Das liegt in der Natur von Konfigurationsdateien: Zwar gibt es bestimmte Basisformate, etwa "ini", in denen Konfigurationsdateien verfasst sein können. Die Schlüsselwörter, die Entwickler einer Software für ihre Konfigurationen nutzen, müsste der Administrator jedoch für jeden Dienst neu schreiben. Deshalb stellen die InSpec-Entwickler dem Anwender für eine Vielzahl gängiger Unix-Dienste entsprechende Parser ab Werk zur Verfügung.

Wer schon mal mit Ansible gearbeitet hat, dem werden bei InSpec gewisse Ähnlichkeiten auffallen. Denn wie Ansible erwartet das Programm Inputdateien im Yaml-Format. Und ähnlich wie Playbooks in Ansible bieten Profile die Möglichkeit, Regeln für bestimmte Arten von Servern zu definieren und im Block anzuwenden. Der Hersteller bietet das Programm vorpaketiert für diverse Systeme auf seiner Webseite [1] an samt entsprechender Installationsanleitung. Zugegeben: Chef hat es hier recht leicht, denn die Software ist in der Skriptsprache Ruby verfasst. Auf dem Zielsystem muss also lediglich eine funktionale Ruby-Umgebung vorhanden sein, und das ist leicht zu bewerkstelligen. Ob die Installation funktioniert hat, lässt sich durch den Aufruf von »inspec« auf der Kommandozeile überprüfen.

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.