バカな相手にしか効かないが工夫すれば使えそうな技を思い付いた。

どこかに侵入して誰かのシェルアカウントを奪取したら、そいつの .login に "script /var/tmp/.ttylog" と書き込んでおく。しばらく放置しておけばシェル上での全アクションを盗聴した事になるので、面白い情報が手に入るかもしれない。もしもそのユーザが su するところを発見出来たなら…。

もちろんそのまま script を実行すると "Script started, output file is typescript" ってなメッセージを表示してしまうが、.tcshrc 等に clear と書いておけばログイン直後に端末がクリアされるのでばれにくくはなる。ほかにもこっそり tcsh や sh をエイリアス名として中身を script とすれば知らぬ間に自分で script 実行させることになる。

結局これらの偽装工作の為に管理者権限が必要になるからクリティカルな攻撃にはならないが。