Estoy administrando un servidor con Ubuntu Server que ejecuta pureFTP.
Hasta ahora todo está bien, pero me gustaría saber qué debo monitorear para poder detectar posibles problemas de estabilidad y seguridad. No busco software sofisticado, sino más bien una idea de qué registros y estadísticas de procesos son más útiles para comprobar el estado del sistema.
Estoy pensando que puedo observar varios parámetros generados por el comando "ps" y compararlos para ver si tengo cosas como pérdidas de memoria. Pero me gustaría saber qué hacen los administradores experimentados.
Además, ¿cómo hago una verificación del disco para que cuando reinicie no reciba un mensaje que diga algo como "disco no verificado durante x días, forzando la verificación", lo que retrasa el reinicio? Supongo que hay un comando que puedo ejecutar como trabajo cron a altas horas de la noche. ¿Con qué frecuencia se debe ejecutar?
¿Qué cosas debería tener en cuenta para detectar intentos de intrusión? El único acceso al shell es SSH en un puerto no estándar a través del firewall UFW, y regularmente hago un grep en auth.log para detectar "Error" o "No válido". ¿Hay algo más que debería mirar?
Estaba iniciando sesión en el firewall (UFW) pero tengo muy pocos puertos abiertos (FTP y SSH en un puerto no estándar), por lo que mirar las listas de IP que han sido bloqueadas no me pareció útil.
Respuesta1
Estaría atento a los /var/log/messagesregistros relacionados con FTP /var/log. Por supuesto, cualquiera o la mayoría de los inicios de sesión /var/logdeben ser monitoreados para detectar errores.
Realizar una verificación del disco no debería ser un problema. En realidad, no deberías realizar comprobaciones del disco por la noche, ni siquiera de vez en cuando. Los discos generalmente no son contiguos, por lo que no habrá mucha fragmentación. Si realmente desea configurar uno, el comando sería simplemente fsck /device/name. SIN EMBARGO, GRAN NOTA: NUNCA debe ejecutar esto en un dispositivo montado, así que no espere ejecutarlo en el sistema de archivos raíz o en cualquier sistema de archivos sin desmontarlo primero, lo que significa que la mayoría de las veces (especialmente si se refiere al dispositivo raíz), que deberá hacer esto al reiniciar. No espero que reinicies la caja de Ubuntu con regularidad; sólo para actualizaciones del kernel.
Solo estaría atento auth.log, esa es una buena medida.