Silinen bir .bash_history dosyasını kurtarmaya çalışıyorum

Biraz adli tıp pratiği yapmak için bir görev. Bize VirtualBox görüntüleri verildi ve belirli bir kullanıcının ssh config'ini karıştırıp çözmediğini bulması söylendi.

Resmi salt okunur olarak monte ettim ve kullanıcının .bash_history okuduğunu gördüm:

rm .bash_history
exit

Sıkıştım. Bir tavsiyesi olan var mı?

Şu anda extcarve aracını ve çıktı dosyalarının ne olduğunu anlamaya çalışıyorum.

Bunu yapmanın daha basit bir yolu olabilir, ama bu fiziksel bir makinede deneyeceğim şey:

1. İkinci bir sürücü ekle.

2. Bir önyükleme Ubuntu Canlı CD görüntüsü (tercihen 12.04 LTS).

3. Bir terminal aç ve yükle PhotoRec iterek

   sudo apt-get install testdisk
   

4. Kurtarmak istediğiniz diski takın için .

5. PhotoRec'i Başlat:

   sudo photorec
   

6. Uygun diski seçin.

7. Dışındaki her şeyin seçimini kaldır Txt içinde Dosya Seçimi .

8. Uygun bölümü seçin.

9. Uygun dosya sistemini seçin.

10. Ücretsiz yeterli olmalı. İle tekrar deneyebilirsin Bütün eğer değilse.

11. Takılan diskteki dosyalar için bir hedef seçin.

12. İşlemin bitmesini bekleyin.

13. Grep ile çıktıyı ara:

    grep -R ssh_config /media/<mountpoint>
    

Bash'in geçmiş dosyasının parçalanmış olması muhtemel değildir, bu nedenle - dosyanın üzerine yazılmış değilse - bu çalışmalıdır.

Ne yaptığını bilen birisinin buna yakalanmayacağını unutmayın. Ayarla komutun geçmiş dosyaya kaydedilmesini engellemek kolaydır HISTCONTROL=ignorespace ve komutları bir boşlukla hazırlamak veya uygun bir şekilde çıkmadan terminali öldürmek.

Bu, gerçeklerden sonra bir ders almaya zorlandığınız zamanlardan biridir.

.bash_history kullanıcılarınızın yaramaz olmadığından emin olmanın oldukça zayıf bir yoludur, ancak güvenli .bash_history ayarlayarak chattr bayraklar.