CC逆引きリファレンス

履歴ファイルを保護したい

13. セキュリティリスク回避

コマンド / 機能

"deny": ["Read(~/.bash_history)", "Read(~/.zsh_history)"]

概要

シェル履歴やアプリケーション履歴ファイルへのアクセスを制限し、過去のコマンドや操作の漏洩を防ぎます。

設定例

// settings.json
{
  "permissions": {
    "deny": [
      // シェル履歴
      "Read(~/.bash_history)",
      "Read(~/.zsh_history)",
      "Read(~/.sh_history)",
      "Read(~/.history)",
      "Read(~/.fish_history)",

      // その他の履歴ファイル
      "Read(~/.node_repl_history)",
      "Read(~/.python_history)",
      "Read(~/.psql_history)",
      "Read(~/.mysql_history)",
      "Read(~/.sqlite_history)",
      "Read(~/.lesshst)",
      "Read(~/.viminfo)",

      // ブラウザ履歴(必要に応じて)
      "Read(~/.config/google-chrome/*)",
      "Read(~/Library/Application Support/Google/Chrome/*)"
    ]
  }
}

こんな時に使う

  • コマンド履歴の漏洩を防ぎたい時
  • プライバシーを保護したい時

使い方

  1. 1シェル履歴ファイル(.bash_history など)を deny に追加
  2. 2REPL 履歴(.node_repl_history など)も対象に
  3. 3データベースクライアントの履歴も保護
  4. 4必要に応じてブラウザ履歴も保護

Tips

  • 履歴には過去に入力したパスワードやトークンが含まれる可能性
  • HISTCONTROL=ignorespace で機密コマンドを履歴に残さない設定も
  • 定期的に履歴をクリアするのも有効
  • 機密情報は history -d で個別削除可能

同じカテゴリの記事

プロンプトインジェクション対策
提案されたコマンドを実行前に必ず確認
外部スクリプトの安全な実行
ダウンロード→確認→実行
.env へのアクセスを禁止したい
"deny": ["Read(.env*)", "Edit(.env*)"]
秘密鍵を保護したい
"deny": ["Read(*.key)", "Read(~/.ssh/*)"]
rm -rf を禁止したい
"deny": ["Bash(rm -rf*)"]
force push を禁止したい
"deny": ["Bash(git push --force*)", "Bash(git push -f*)"]
前の記事
認証情報ファイルを保護したい
次の記事
操作をログしたい