Back to Basis: bash history

Lorsqu’on recherche des traces, et qu’on n’a pas d’auditd, de SELinux ou autre dispositif permettant de savoir ce qui a été fait en root, le premier réflexe est de balancer un history…

~ $ history

1 ls -ltr
2 cd pgsql
3 ls -ltr
4 cd *
5 ls
6 ls -ltr
7 cd data
8 ls -ltr

… Qui ne nous dit pas grand’chose formaté comme cela. C’est le moment. D’exporter. Ses variables d’environnement.

~ $ export HISTTIMEFORMAT='%F %T %t'
~ $ history
11 2015-01-18 07:39:32 set +x
13 2015-01-18 07:39:32 cat -A apache.conf
14 2015-01-18 07:39:32 cd /var/log/sites/pprod/
15 2015-01-18 07:39:32 ls -trail
16 2015-01-18 07:39:32 cat error_log.2014-09-02
17 2015-01-18 07:39:32 cd -
18 2015-01-18 07:39:32 ls -trail
20 2015-01-18 07:39:32 strace -fp 12895

Plus clair, non ?