Estou administrando um servidor com Ubuntu Server que executa pureFTP.
Até agora está tudo bem, mas gostaria de saber o que devo monitorar para poder detectar possíveis problemas de estabilidade e segurança. Não estou procurando um software sofisticado, mas sim uma ideia de quais logs e estatísticas de processos são mais úteis para verificar a integridade do sistema.
Estou pensando que posso observar vários parâmetros de saída do comando "ps" e comparar para ver se tenho coisas como vazamentos de memória. Mas gostaria de saber o que administradores experientes fazem.
Além disso, como faço uma verificação de disco para que, ao reiniciar, não receba uma mensagem dizendo algo como "disco não verificado por x dias, forçando a verificação", o que atrasa a reinicialização? Presumo que haja um comando que posso executar como um cron job tarde da noite. Com que frequência deve ser executado?
O que devo observar para detectar tentativas de intrusão? O único acesso ao shell é SSH em uma porta não padrão através do firewall UFW, e eu regularmente faço um grep em auth.log para "Fail" ou "Invalid". Há mais alguma coisa que eu deveria olhar?
Eu estava registrando o firewall (UFW), mas tenho poucas portas abertas (FTP e SSH em uma porta não padrão), portanto, olhar as listas de IPs que foram bloqueados não pareceu útil.
Responder1
Eu ficaria de olho em /var/log/messagestodos os logs relacionados ao FTP /var/log. É claro que qualquer um ou a maioria dos logins /var/logdevem ser monitorados em busca de erros.
Realizar uma verificação de disco não deve ser um problema. Você realmente não deveria fazer verificações de disco à noite, ou mesmo de vez em quando. Os discos geralmente são muito não contíguos, portanto, você não terá muita fragmentação. Se você realmente deseja configurar um, o comando seria simplesmente fsck /device/name. NO ENTANTO, GRANDE NOTA: você NUNCA deve executar isso em um dispositivo montado, então não espere executar isso no sistema de arquivos raiz ou em qualquer sistema de arquivos sem desmontá-lo primeiro, o que significa que na maioria das vezes (especialmente se você estiver se referindo ao dispositivo raiz), que você precisaria fazer isso na reinicialização. Não espero que você reinicie a caixa do Ubuntu regularmente; apenas para atualizações do kernel.
Eu apenas ficaria de olho auth.log, é uma boa medida.