审计特定路由表操作

Question

Linux是否有一种对特定路由表运行的操作进行审计的方法？

我的自定义路由表中有以下配置：

default dev tun0 scope link
192.168.100.0/28 dev eth0 scope link

由于未知的原因，某些进程删除默认条目。我想找出有罪的人。

是否有方法对路由表运行的操作进行审核？

Answer 1

在Linux上，如果在进行更改时rtmon -ts正在运行，这可以告诉您何时、什么，但不是谁。我怀疑谁是容易得到的。

虽然您可以通过登录历史记录和配置文件备份来尝试和拼凑谁，但对于将来获得更好的更改控制程序似乎更有用。

告诉所有可能改变这一点的人，他们是如何覆盖你的配置的。将所需的配置放入您使用的任何自动化工具中。日志特权访问。就个人而言，我希望对个人登录负责，并对我在sudo -u root -i会话中所做的事情有一个答案。

FYI，"Linux“还不够具体。Linux的网络管理脚本和路由协议种类繁多，支持从服务器(ifcfg脚本、systemd)到路由器(VyOS、DANOS、OpenWRT)到桌面(通过dbus)的每个用例。