清楚的命令历史记录

macOS 和 Linux 都会记录用户在终端中输入的命令，以便用户能够轻松地记住做过的事情。可以通过几种不同的方式访问这些日志。在登录时，此命令会被记录在环境变量 HISTFILE 指向的文件中。当用户从系统中注销时，该记录被写入到用户主目录一个称为、~/.bash_history 的文件中。这样做的好处是使用户能够追溯到以前在不同会话中使用过的命令。由于所有在命令行上键入的内容都会保存，因此也会包括在命令行上传递的密码。攻击者可以滥用这点从这些文件中搜索明文密码。此外，攻击者可以使用多种方法来避免自己的命令出现日志中，比如命令
unset HISTFILE, export HISTFILESIZE=0, history -c, rm \~/.bash_history.

缓解

阻止用户删除或写入某些文件可以阻止攻击者恶意更改其~/.bash_history 文件。
此外，设置这些环境变量为只读可以确保保留历史记录 。

检测

用户进行身份验证，而在其~/.bash_history 没有新条目是可疑的，特别是通过 SSH 这样的远程终端服务进行身份验证。
此外，修改 HISTFILE 和 HISTFILESIZE 环境变量或删除/清除~/.bash_history文件标志着可疑活动。

- 译者: 林妙倩、戴亦仑 . source:cve.scap.org.cn