何とか私のシステムの1つにiptablesルールが追加されました。 iptablesはいつ、誰がルールを変更したかについてのログを保持しますか(または可能ですか)。 iptables自体ができない場合、これを実行できるラッパーはありますか?私はsudoログコマンドを知っていますが、誰かが「sudo su -」を実行したら終わりです。
答え1
いいえ、iptablesには変更ログはありません。
ルートのみを実行できるため、iptables
設定したロギングをバイパスしたい管理者もそのロギングを無効にすることができ、連携管理者が行った変更だけを記録できます。
を使用している場合は、iptables-save
ルールファイルのバージョン管理を使用してください。意味のある変更メッセージを使用して、変更をコミットするように同僚マネージャーをトレーニングします。
ロギングを自動化するには、実行可能iptables
ファイルをロギングを実行するラッパースクリプトに置き換えます。奇妙なパラメータ(改行など)に強力ではない高速で汚れたスクリプト。ログファイルに書き込めない場合、スクリプトはエラーメッセージを表示しますが、引き続き呼び出されますiptables
。
#!/bin/sh
( exec >/var/log/iptables.log;
echo -n "$(date '+%Y:%m:%d %H:%M:%S')" "$(id -run)" iptables
for x; do echo -n "'$x'"; done )
exec /sbin/iptables.real "$@"