Umount /mnt/floppy

Рис. 2.6. Фрагмент файла «истории» команд пользователя

В некоторых случаях существование файла истории команд может представлять угрозу, причем не только для взломщика, но и для администратора. Например, в список команд может попасть случайно введенный пароль. Стирание или редактирование текстового файла .bash_history проблему не решает, поскольку история команд находится в памяти процесса /bin/bash и перезаписывается в файл при завершении сеанса. Это, в частности, можно наблюдать, работая от имени одного пользователя из разных виртуальных консолей. В ходе сеанса в каждой из консолей будет отображаться «своя» история команд, которые при завершении работы переписываются в один файл. При этом наблюдаемая последовательность ввода команд может совершенно не совпадать с реальной очередностью. Злоумышленник, совершающий консольную атаку на систему, может для запутывания «командного следа» поочередно работать из разных виртуальных консолей.

Один из способов стирания истории команд злоумышленником заключается в удалении файла .bash_history и создании вместо него символической ссылки с аналогичным именем, которая указывает на специальный файл /dev/null. Команда записывается в виде

ln –s /dev/null ~/.bash_history

Для быстрой и кардинальной очистки файла истории команд рекомендуется запустить из командной строки команду

export HISTSIZE=0,

устанавливая в нуль соответствующую переменную окружения оболочки. Файл истории команд будет обнулен и при завершении сеанса останется пустым.

Наконец, следует уделить внимание завершению процессов. Любой пользователь может завершить свой сеанс встроенной командой оболочки exit. Наряду с этим используется команда logout или просто комбинация клавиш <Ctrl>-<D>. При этом командный интерпретатор завершает свою работу, и пользователь вновь оказывается перед необходимостью прохождения процедуры регистрации.

Для того чтобы завершить работу всей системы, требуются полномочия администратора. Завершить работу можно одной из команд:

shutdown, poweroffили halt. Нажатие «магической» комбинации <Ctrl>+<Alt>+<Del> в зависимости от настроек в файле /etc/inittab может привести либо к останову, либо к перезагрузке системы.

У команды shutdown есть обязательный параметр – время начала останова (например, –t 3 означает остановку системы через три минуты, а –t now — немедленный останов) и факультативный: -r (reboot, перезагрузка) и -h (halt, останов). Без необязательных параметров выполняется переход на первый уровень выполнения, для чего перезапускается стартовый командный интерпретатор суперпользователя. Нажатие Ctrl+Alt+Del, или кнопки выключения питания (в системах, где эта кнопка ничего не выключает, а лишь посылает соответствующий аппаратный сигнал), приводит к запуску команды shutdown -r или shutdown -h.

Останов системы может занимать больше времени, чем ее загрузка. Так, процессы, работающие с дисковой памятью, получив сигнал завершения, могут некоторое время заниматься дописыванием изменений в файл. Остановка сетевой службы также может длиться долго, так как требуется сообщить о закрытии сервиса каждому клиенту.

При сбое электроснабжения, когда сервис, обслуживающий устройство бесперебойного питания, сообщает, что ресурсы на исходе, предпочтительнее быстро остановить процессы, чем дожидаться отключения электроэнергии на работающей системе. Для этого можно послать всем процессам сначала сигнал TERM, а короткое время спустя – KILL. Для обработки таких ситуаций в inittab есть методы, начинающиеся со слова power, а в /etc/rc.d – специальный сценарий rc.powerfail. На самый крайний случай существуют команды halt и reboot -f, однако их почти мгновенное действие практически эквивалентно внезапному отключению питания, и использовать их не рекомендуется.