el atacante ha obtenido acceso y puede ejecutar un shell como mi usuario de administrador no root habitual
Si esta es la misma cuenta que usa para realizar operaciones privilegiadas con sudo , entonces el atacante podría realizar cambios en su entorno que lo hacen ejecutar un binario diferente. En el caso más simple, esto sería cambiar PATH, de modo que simplemente escribiendo sudo en realidad no se ejecutaría /usr/bin/sudo sino algunos /home/admin/.attacker/sudo manipulados. Este atacante proporcionó la implementación de sudo y luego podría olfatear su contraseña y luego simplemente iniciar el sudo real.
Pero se puede hacer que sea más sigiloso, como cambiar tu perfil para que genere un shell provisto por el atacante con el registro de clave incluido. O simplemente ejecute script para registrar cada entrada y salida.
Si es así, ¿hay alguna precaución que pueda tomar para minimizar este riesgo de registro de teclas?
No permitir usuarios locales en el sistema. Endurecimiento general del sistema. Limite a los usuarios con privilegios especiales (como la capacidad de sudo ) a solo algunas cuentas bien protegidas.