我们正在通过扫描来提高 Linux 服务器的安全性。我注意到,在某些机器上,我们现在有如下几行:
LANG=C; printf "priv_escl_start_%s" "[随机 8 alnum]"; su root -c 'printf "command_start_%s" "[随机 8 alnum]"; LC_ALL=C cat '\''/proc/31434/cmdline'\'' 2>/dev/null; printf "command_done_%s" "[随机 8 alnum]"'; printf "priv_escl_end_%s" "[随机 8 alnum]"
这会向 root 发送垃圾邮件。因此,不可能知道 root 之前运行了什么,因为这些消息很容易超出 HISTSIZE。我不完全确定对哪个文件的哪个更改启用了特权历史记录的开始/结束。我不介意记录,但不介意记录到历史文件中。