O que registra / processa estatísticas para monitorar em um servidor FTP do Ubuntu?

2

Estou administrando um servidor com o Ubuntu Server que está executando o pureFTP.
 Até agora, tudo está bem, mas gostaria de saber o que devo monitorar para poder detectar possíveis problemas de estabilidade e segurança. Eu não estou procurando por software sofisticado, mais uma ideia de quais logs e estatísticas de processo são mais úteis para verificar a saúde do sistema.

Eu estou pensando que eu posso olhar para vários parâmetros de saída do comando "ps" e comparar para ver se tenho coisas como vazamentos de memória. Mas gostaria de saber o que os administradores experientes fazem.

Além disso, como faço uma verificação de disco para que, quando reinicializo, não receba uma mensagem dizendo algo como "disco não verificado por x dias, forçando verificação", o que atrasa a reinicialização? Eu suponho que há um comando que eu posso executar como um cron job tarde da noite. Quantas vezes deve ser executado?

Quais as coisas que eu deveria estar vendo para identificar tentativas de invasão? O único acesso ao shell é o SSH em uma porta não padrão através do firewall UFW, e eu faço regularmente um grep no auth.log para "Fail" ou "Invalid". Há mais alguma coisa que eu deveria olhar?

Eu estava registrando o firewall (UFW), mas tenho poucas portas abertas (FTP e SSH em uma porta não padrão), portanto, olhar para as listas de IPs que foram bloqueadas não parece útil.

    
por Adam Salkin 16.06.2010 / 21:24

1 resposta

1

Eu ficaria de olho no /var/log/messages e em qualquer log relacionado ao FTP em /var/log . É claro que qualquer log, ou a maioria dos logs em /var/log , deve ser monitorado em busca de erros.

A realização de uma verificação de disco não deve ser um problema. Você não deveria estar fazendo verificações de disco à noite, ou mesmo de vez em quando. Os discos geralmente são muito não-contíguos, portanto, você não terá muita fragmentação. Se você realmente quiser configurar um, o comando seria simplesmente fsck /device/name . No entanto, grande NOTA: você nunca deve executar isso em um dispositivo montado, por isso não espere para executar isso no sistema de arquivos raiz, ou qualquer sistema de arquivos sem desmontá-lo primeiro, o que significa, na maioria das vezes (especialmente se você está se referindo para o dispositivo raiz), que você precisaria fazer isso na reinicialização. Eu não espero que você esteja reiniciando a caixa do Ubuntu regularmente; apenas para atualizações de kernel.

Eu ficaria de olho em auth.log , isso é uma boa medida.

    
por 16.06.2010 / 21:37