Bash 历史

Bash 使用“history”实用程序跟踪用户在命令行上键入的命令。用户注销后，会将历史记录存到到用户的.bash_history文件中。对于每个用户，此文件位于同一位置：~/.bash_history。通常，此文件会记录用户的最近 500 个命令。通常用户在命令行上键入用户名和密码作为程序的参数，然后在注销时将其保存到此文件中。攻击者可以通过查看文件来查找潜在的凭据来滥用此功能。[1]

减轻

有多种方法可以防止将用户的命令历史记录保存到其 .bash_history 文件，包括使用以下命令：set +o history和set -o history再次开始记录；添加unset HISTFILE到用户的。bash_rc 文件中；并执行ln -s /dev/null ~/.bash_history将命令写入/dev/null。

发现

监控用户的.bash_history查看时间可以帮助对可疑活动进行告警。虽然用户通常依赖于他们的命令历史，但他们经常通过其他实用程序（如“history”）而不是cat ~/.bash_history等命令来访问此历史记录。

- 译者: 林妙倩、戴亦仑 . source:cve.scap.org.cn