Linux 是否有办法审核针对特定路由表运行的操作?
我的自定义路由表中有以下配置:
default dev tun0 scope link
192.168.100.0/28 dev eth0 scope link
由于未知原因,某些进程删除了默认条目。我想找出罪魁祸首。
有没有办法审计针对路由表运行的操作?
答案1
在 Linux 上,如果rtmon-ts 命令在进行更改时正在运行,它可以告诉您何时发生什么,但不能告诉您是谁。我怀疑谁很容易得到。
虽然您可以通过登录历史记录和配置文件备份来尝试拼凑出谁是谁,但似乎对获得未来更好的变更控制程序更有用。
告诉所有可能改变这一点的人他们是如何覆盖你的配置的。将所需的配置放入你使用的任何自动化工具中。记录特权访问。就我个人而言,我希望对个人登录负责,并回答我在会话中所做的事情 sudo -u root -i
。
仅供参考,“Linux” 还不够具体。Linux 有各种各样的网络管理脚本和路由协议,支持从服务器(ifcfg 脚本、systemd-networkd)到路由器(VyOS、DANOS、OpenWRT)到桌面(通过 dbus 的 NetworkManager)的所有用例。