Linux 是否有辦法審核針對特定路由表所執行的操作?
我的自訂路由表中有以下配置:
default dev tun0 scope link
192.168.100.0/28 dev eth0 scope link
由於未知原因,某些進程刪除了預設條目。我想找出罪魁禍首。
有沒有辦法審核針對路由表運行的操作?
答案1
在 Linux 上,如果rtmon-ts進行更改時正在運行,它可以告訴您時間和內容,但不能告訴您是誰。我懷疑誰是容易得到的人。
雖然您可以查看登入歷史記錄和設定檔備份來嘗試拼湊出誰似乎更有用,以便為未來獲得更好的變更控管。
告訴每個可能改變這個的人他們如何覆蓋你的配置。將所需的配置新增至您使用的任何自動化工具。記錄特權存取。就我個人而言,我希望對個人登入負責,並對我在會話中所做的事情有一個答案 sudo -u root -i 。
僅供參考,「Linux」不夠具體。 Linux 存在各種各樣的網路管理腳本和路由協議,支援從伺服器(ifcfg 腳本、systemd-networkd)到路由器(VyOS、DANOS、OpenWRT)再到桌面(透過 dbus 的 NetworkManager)的每個用例。