Tentando recuperar um arquivo .bash_history excluído

Pode haver uma maneira mais simples de fazer isso, mas é isso que eu tentaria com uma máquina física:

1. Adicione uma segunda unidade.

2. Inicialize a partir de uma imagem do Live CD do Ubuntu (de preferência 12.04 LTS).

3. Abra um terminal e instale PhotoRec executando

   sudo apt-get install testdisk
   

4. Monte o disco que você deseja recuperar para .

5. Iniciar o PhotoRec:

   sudo photorec
   

6. Selecione o disco apropriado.

7. Desmarque tudo, exceto txt , em Opção de arquivo .

8. Selecione a partição apropriada.

9. Selecione o sistema de arquivos apropriado.

10. Livre deve ser suficiente. Você pode tentar novamente com Whole , se não o fizer.

11. Escolha um destino para os arquivos no disco montado.

12. Aguarde o processo terminar.

13. Pesquise a saída com o grep:

    grep -R ssh_config /media/<mountpoint>
    

É improvável que o arquivo de histórico do Bash fique fragmentado, então - a menos que o arquivo já tenha sido sobrescrito - isso deve funcionar.

Tenha em mente que alguém que sabe o que está fazendo não será pego por isso. É fácil evitar que o comando seja salvo no arquivo de histórico definindo HISTCONTROL=ignorespace e prefixando os comandos com um espaço ou apenas matando o terminal sem sair corretamente.

Este é um daqueles momentos em que você é forçado a aprender uma lição depois do fato.

.bash_history é uma maneira bastante fraca de garantir que seus usuários não estejam sendo desobedientes, no entanto, você pode secure .bash_history configurando chattr flags.