Corrección 6 - Sugerencias - Eliminar archivos borrados en uso, añadir mensaje y habilitar Auditd

Los archivos borrados en uso se pueden eliminar de una manera muy simple, siempre y cuando el servidor pueda permitirse reiniciar. Si no fuera el caso, listaríamos éstos con lsof:

sudo lsof | grep deleted

Iríamos uno a uno comprobando los procesos por su PID, por ejemplo el 31269

sudo ps aux | grep 31269

Si este proceso no nos vale, lo podríamos eliminar con:

sudo kill PID

Continuamos añadiendo mensajes a mensajes a /etc/issue o /etc/issue.net y lo siguiente es entrar en /etc/ssh/sshd_config y anular su línea correspondiente:

Banner /etc/issue.net

Tras reiniciar el servicio, debe aparecer lo siguiente cada vez que nos conectemos por ssh:

Por último, vamos a instalar auditd en nuestro sistema, este programa sirve para registrar la mayor cantidad posible de información sobre los eventos en el sistema. Aquí podemos ver una guía sobre este programa, en este caso se dejará por defecto.

sudo apt install -y auditd

El fichero donde se guarda esta información está en /var/log/audit/audit.log, pero es necesario configurar reglas con el comando auditctl para tomar una determinada información.