HISTCONTROL

HISTCONTROL 环境变量记录 history 命令保存的内容，并用户注销时保存到 ~/.bash_history 中。可以通过设置该配置为"ignorespace"，从而忽略以空格开头的命令。也可以通过设置"ignoredups"使 HISTCONTROL 忽略重复的命令。在一些 Linux 系统中默认设置 HISTCONTROL 为"ignoreboth"，它包括了前面的两个示例。这意味着不会保存"
ls"，但是"ls"将被 history 保存。默认情况下 HISTCONTROL 不在 macOS 上，但可以由用户设置，并受到尊重。­攻击者可以利用此进行操作而不留下任何痕迹，只需在所有终端命令前添加一个空格。

缓解

阻止用户更改 HISTCONTROL 环境变量 。
另外，确保将 HISTCONTROL 环境变量设为“ignoredup”，而不是“ignoreboth”或“ignorespace”。

检测

将用户会话与其 .bash_history 中新命令的明显缺失相关联，有助于发现可疑行为。
此外，用户检查或更改其 HISTCONTROL 环境变量也是可疑的。

- 译者: 林妙倩、戴亦仑 . source:cve.scap.org.cn