Это для назначения, чтобы практиковать немного судебной экспертизы. Мы получили образы VirtualBox и сказали выяснить, не испортил ли определенный пользователь конфигурацию ssh.

Я смонтировал образ только для чтения и обнаружил, что .bash_history пользователя читает:

rm .bash_history
exit

Я застрял У кого-нибудь есть совет?

В настоящее время я пытаюсь (безуспешно) выяснить инструмент extcarve, и каковы его выходные файлы.

2 ответа2

1

Это один из тех случаев, когда вы вынуждены выучить урок после свершившегося факта.

.bash_history - довольно слабый способ убедиться, что ваши пользователи не шутили, однако вы можете защитить .bash_history , установив флаги chattr .

1

Там может быть более простой способ сделать это, но это то, что я бы попробовал с физической машиной:

  1. Добавьте второй диск.

  2. Загрузитесь с образа Ubuntu Live CD (желательно 12.04 LTS).

  3. Откройте терминал и установите PhotoRec , выполнив

    sudo apt-get install testdisk
    
  4. Установите диск , который вы хотите восстановить в.

  5. Запустите PhotoRec:

    sudo photorec
    
  6. Выберите подходящий диск.

  7. Отмените выбор всего, кроме TXT в File Opt.

  8. Выберите соответствующий раздел.

  9. Выберите подходящую файловую систему.

  10. Свободного должно хватить. Вы можете повторить попытку с Whole, если это не так.

  11. Выберите место для файлов на смонтированном диске.

  12. Дождитесь окончания процесса.

  13. Найдите вывод с помощью grep:

    grep -R ssh_config /media/<mountpoint>
    

Файл истории Bash вряд ли станет фрагментированным, поэтому - если файл уже перезаписан - это должно работать.

Имейте в виду, что кто-то, кто знает, что он делает, не будет пойман этим. Легко предотвратить сохранение команды в файле истории, установив HISTCONTROL=ignorespace и добавив команды с пробелом или просто убив терминал, не выходя должным образом.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .