在Linux可以通过一些隐藏技术手段，让我们无法发现操作记录、文档的修改、运行的进程等，这里做下介绍。

隐藏history历史操作命令

可以通过 set +o history 临时禁用SHELL历史功能，这意味着你所执行的所有操作都不会记录到历史中

$ set +o history 
$ echo "can u see me ?"
can u see me ?
$ history
 ……
 1935 2022-11-27 18:10:02 lvs
 1936 2022-11-27 18:10:05 history
 1937 2022-11-27 18:10:49 set +o history

history无法显示刚执行的echo命令，但是set +o history关闭记录功能的命令还在，这里可以手动删除即可

$ history -d 1937 
$ history 
……
 1935 2022-11-27 18:10:02 lvs
 1936 2022-11-27 18:10:05 history

彻底隐藏了历史操作了。想恢复操作记录，执行 set -o history 恢复即可。

注： 另外还有一种方式，需要将操作系统的环境变量 HISTCONTROL 设置为 ignorespace ，这样在执行命令时前面多增加一个空格即可隐藏操作。

进程隐藏

隐藏进程的方法大致可以分为两类，一类是用户态隐藏，另一类是内核态隐藏。其中的用户态常使用的方法有很多，这里介绍一下使用开源的libprocesshider，通过预加载动态链接库的方式来隐藏进程。

首先下载libprocesshider：

$ git clone https://github.com/gianlucaborello/libprocesshider.git

假设此次我们想隐藏的进程是test.py，修改文件processhider.c中所定义的程序名：

$ vim libprocesshider/processhider.c
static const char* process_to_filter = "test.py";

编译生成库文件：

$ cd libprocesshider 
$ make
gcc -Wall -fPIC -shared -o libprocesshider.so processhider.c -ldl

将编译生成的动态链接库文件拷贝至/usr/local/lib，并修改加载：

$ sudo mv libprocesshider.so /usr/local/lib 
$ sudo echo /usr/local/lib/libprocesshider.so >> /etc/ld.so.preload

准备一个简单的可执行文件：

$ vim test.py

#!/usr/bin/python
import time

while True:
    time.sleep(5)
    print("test")

给脚本增加可执行权限后运行：

$ chmod +x test.py 
$ ./test.py

管理员通过ps命令检查进程，是无法看到正在执行中的 test.py 进程

# ps -ef

隐藏vim的操作记录

我们在使用vim的时候，操作都会被记录在.viminfo文件中

这样会留下文件修改操作记录，可以通过修改vim的配置文件/etc/vimrc关闭此功能，最简便的方式是建议使用 vi 来代替vim。

隐藏文件修改时间

我们经常会通过查看文件修改时间，来判断文件是否被人为修改过，我们可以通过touch -r 命令来更改文件修改时间，例：

$ ls -lrt
-rw-r--r-- 1 root root 1994 11月 25 12:00 profile.bak 
-rw-r--r-- 1 root root 1994 11月 27 18:03 profile 
$ touch -r profile.bak profile
$ ls -lrt
-rw-r--r-- 1 root root 1994 11月 25 12:00 profile.bak 
-rw-r--r-- 1 root root 1994 11月 25 12:00 profile

可以看到，用 ls 命令显示的文档修改时间已经改回历史时间。

文件安全删除

shred 命令可安全地从硬盘上擦除数据，默认覆盖3次，可以通过 -n参数指定数据覆盖次数，例如：

$ shred -n 20 -v -f -z -u /tmp/secret

常规参数：

-f, --force 必要时修改权限以使目标可写

-n, --iterations=N 覆盖N 次，而非使用默认的3 次

–random-source=文件 从指定文件中取出随机字节

-s, --size=N 粉碎数据为指定字节的碎片(可使用K、M 和G 作为单位)

-u, --remove 覆盖后截断并删除文件

-v, --verbose 显示详细信息

-x, --exact 不将文件大小增加至最接近的块大小

-z, --zero 最后一次使用0 进行覆盖以隐藏覆盖动作

总结

这里介绍的Linux下各种隐藏的方式，是为让大家增加在应对安全威胁时的技术排查手段，每种隐藏的方式均可准备一些技术手段来应对。