Corrección 6 - Sugerencias - Eliminar archivos borrados en uso, añadir mensaje y habilitar Auditd
Los archivos borrados en uso se pueden eliminar de una manera muy simple, siempre y cuando el servidor pueda permitirse reiniciar. Si no fuera el caso, listaríamos éstos con lsof
:
sudo lsof | grep deleted
Iríamos uno a uno comprobando los procesos por su PID
, por ejemplo el 31269
sudo ps aux | grep 31269
Si este proceso no nos vale, lo podríamos eliminar con:
sudo kill PID
Continuamos añadiendo mensajes a mensajes a /etc/issue
o /etc/issue.net
y lo siguiente es entrar en /etc/ssh/sshd_config
y anular su línea correspondiente:
Banner /etc/issue.net
Tras reiniciar el servicio, debe aparecer lo siguiente cada vez que nos conectemos por ssh
:
Por último, vamos a instalar auditd
en nuestro sistema, este programa sirve para registrar la mayor cantidad posible de información sobre los eventos en el sistema. Aquí podemos ver una guía sobre este programa, en este caso se dejará por defecto.
sudo apt install -y auditd
El fichero donde se guarda esta información está en /var/log/audit/audit.log
, pero es necesario configurar reglas con el comando auditctl
para tomar una determinada información.