Linux には、特定のルート テーブルに対して実行される操作を監査する方法がありますか?
カスタム ルート テーブルには次の構成があります。
default dev tun0 scope link
192.168.100.0/28 dev eth0 scope link
理由は不明ですが、一部のプロセスがデフォルトのエントリを削除します。犯人を見つけたいです。
ルート テーブルに対して実行される操作を監査する方法はありますか?
答え1
Linuxの場合、rtmon -ts変更が行われた時点で実行されていた場合、いつ、何が行われたかはわかりますが、誰が行ったかはわかりません。誰が行ったかは簡単にはわかりません。
ログイン履歴や構成ファイルのバックアップを調べて誰がログインしたかを把握することもできますが、将来に向けてより適切な変更管理手順を取得する方が有用と思われます。
これを変更した可能性のあるすべての人に、どのように構成を上書きしたかを伝えます。使用する自動化ツールに必要な構成を取得します。特権アクセスをログに記録します。個人的には、個人ログインで責任を持ち、セッションで何をしていたかの答えを得たいと考えています sudo -u root -i 。
ちなみに、「Linux」は十分に具体的ではありません。Linux にはさまざまなネットワーク管理スクリプトとルーティング プロトコルが存在し、サーバー (ifcfg スクリプト、systemd-networkd) からルーター (VyOS、DANOS、OpenWRT)、デスクトップ (dbus 経由の NetworkManager) まで、あらゆるユース ケースをサポートしています。