¿Tiene Linux una forma de auditar las operaciones que se ejecutan en una tabla de rutas específica?
Tengo la siguiente configuración en mi tabla de rutas personalizada:
default dev tun0 scope link
192.168.100.0/28 dev eth0 scope link
Por alguna razón desconocida, algunos procesos eliminan la entrada predeterminada. Me gustaría descubrir a los culpables.
¿Existe alguna forma de auditar las operaciones ejecutadas en una tabla de rutas?
Respuesta1
En Linux, sirtmon -tsse estaba ejecutando cuando se realizó el cambio, eso puede indicarle cuándo y qué, pero no quién. Dudo que sea fácil de conseguir.
Si bien podría revisar el historial de inicio de sesión y las copias de seguridad de los archivos de configuración para intentar identificar quién, parece más útil para obtener un mejor procedimiento de control de cambios para el futuro.
Dígales a todos los que podrían haber cambiado esto cómo sobrescribieron su configuración. Obtenga la configuración deseada en cualquier herramienta de automatización que utilice. Registrar acceso privilegiado. Personalmente, me gustaría ser responsable con un inicio de sesión personal y tener una respuesta sobre lo que estaba haciendo en una sudo -u root -i sesión.
Para su información, "Linux" no es lo suficientemente específico. Existe una amplia variedad de scripts de administración de redes y protocolos de enrutamiento para Linux, que admiten todos los casos de uso, desde servidores (scripts ifcfg, systemd-networkd) hasta enrutadores (VyOS, DANOS, OpenWRT) y escritorios (NetworkManager a través de dbus).