Есть ли в Linux возможность аудита операций, выполняемых по определенной таблице маршрутизации?
В моей пользовательской таблице маршрутизации есть следующая конфигурация:
default dev tun0 scope link
192.168.100.0/28 dev eth0 scope link
по неизвестной причине некоторые процессы удаляют запись по умолчанию. Я хотел бы найти виновного.
Есть ли способ аудита операций, выполняемых по таблице маршрутизации?
решение1
В Linux, еслиrtmon -tsбыл запущен, когда было сделано изменение, это может сказать вам, когда и что, но не кто. Я сомневаюсь, что кто-то легко достанется.
Хотя вы можете просмотреть историю входов в систему и резервные копии файлов конфигурации, чтобы попытаться собрать воедино информацию о том, кто именно, представляется более полезным получить лучшую процедуру контроля изменений в будущем.
Расскажите всем, кто мог это изменить, как они перезаписали вашу конфигурацию. Получите нужную конфигурацию в любом используемом вами инструменте автоматизации. Зарегистрируйте привилегированный доступ. Лично я хотел бы быть ответственным с персональным входом и иметь ответ о том, что я делал в сеансе sudo -u root -i .
FYI, "Linux" недостаточно конкретен. Существует широкий спектр сценариев управления сетью и протоколов маршрутизации для Linux, поддерживающих все варианты использования от серверов (скрипты ifcfg, systemd-networkd) до маршрутизаторов (VyOS, DANOS, OpenWRT) и настольных компьютеров (NetworkManager через dbus).