Ubuntu vsftpd监控与报警设置

Ubuntu vsftpd监控与报警设置指南

一、基础监控：服务状态与端口检查

要确保vsftpd正常运行，首先需掌握其服务状态及网络端口监听情况。

• 检查服务运行状态：使用systemctl命令（适用于Ubuntu 16.04及以上版本）查看vsftpd服务是否处于active (running)状态，命令如下：
  sudo systemctl status vsftpd
  若服务未启动，可通过sudo systemctl start vsftpd启动；若需开机自启，执行sudo systemctl enable vsftpd。
• 验证端口监听：vsftpd默认使用21端口（FTP）和990端口（FTPS），通过以下命令检查端口是否处于监听状态：
  sudo ss -tuln | grep -E '21|990'
  若输出包含0.0.0.0:21或:::21，说明端口已正常监听。

二、日志监控：实时追踪与异常筛选

日志是排查问题、检测异常的关键工具，vsftpd的日志主要记录在/var/log/auth.log（Ubuntu默认）或/var/log/vsftpd.log（需手动配置）。

• 实时查看日志：使用tail -f命令实时输出日志最新内容，便于快速定位问题：
  sudo tail -f /var/log/auth.log | grep vsftpd
  若需查看专用日志文件（需提前在/etc/vsftpd.conf中启用xferlog_enable=YES），可使用：
  sudo tail -f /var/log/vsftpd.log
• 筛选关键事件：通过grep命令筛选异常日志（如登录失败、连接超时），例如查找“invalid user”（无效用户）的登录尝试：
  sudo journalctl -u vsftpd | grep "invalid user"
  或查找连接超时日志：
  sudo journalctl -u vsftpd | grep "timeout"

三、自动化报警：fail2ban防止暴力破解

暴力破解是FTP服务器的常见威胁，可通过fail2ban自动封禁恶意IP，实现基础报警（邮件通知需额外配置）。

• 安装与配置fail2ban：
  1. 安装fail2ban：sudo apt install fail2ban
  2. 创建vsftpd专用配置文件（避免修改默认配置）：
     sudo cp /etc/fail2ban/jail.local /etc/fail2ban/jail.local.bak
sudo nano /etc/fail2ban/jail.local
  3. 在文件中添加以下内容（启用vsftpd监控）：

     [vsftpd]
     enabled = true
     port = ftp,ftp-data
     filter = vsftpd
     logpath = /var/log/auth.log
     maxretry = 5  # 允许的最大失败次数
     bantime = 3600  # 封禁时间（秒）
     findtime = 600  # 检测时间窗口（秒）
     

  4. 重启fail2ban服务：sudo systemctl restart fail2ban
     当同一IP在findtime时间内失败登录超过maxretry次，fail2ban将自动封禁该IP，并在/var/log/fail2ban.log中记录报警信息。

四、进阶监控：系统工具与可视化

对于生产环境，需更全面的监控（如CPU、内存、连接数）及可视化展示，推荐以下工具：

• Monit：进程与服务监控：
  Monit可监控vsftpd进程状态，当进程崩溃或资源占用过高时发送报警（支持邮件、短信）。
  1. 安装Monit：sudo apt install monit
  2. 创建vsftpd监控配置文件：sudo nano /etc/monit/conf.d/vsftpd
  3. 添加以下内容（监控进程状态与内存使用）：

     check process vsftpd with pidfile /var/run/vsftpd/vsftpd.pid
         start program = "/etc/init.d/vsftpd start"
         stop program = "/etc/init.d/vsftpd stop"
         if failed port 21 protocol ftp then restart
         if 5 restarts within 5 cycles then timeout
         if memory usage > 200 MB for 5 cycles then alert
     

  4. 重启Monit：sudo systemctl restart monit
• Prometheus + Grafana：可视化监控：
  通过Docker部署Prometheus（采集指标）与Grafana（可视化），监控vsftpd的连接数、传输速率等指标。
  1. 安装Docker与Docker Compose：参考官方文档。
  2. 创建docker-compose.yml文件（包含Prometheus、Grafana、node-exporter）：

     version: '3.7'
     services:
       prometheus:
         image: prom/prometheus:latest
         container_name: prometheus
         volumes:
           - ./prometheus.yml:/etc/prometheus/prometheus.yml
         ports:
           - "9090:9090"
       grafana:
         image: grafana/grafana:latest
         container_name: grafana
         ports:
           - "3000:3000"
         environment:
           - GF_SECURITY_ADMIN_PASSWORD=admin
       node-exporter:
         image: prom/node-exporter:latest
         container_name: node-exporter
         ports:
           - "9100:9100"
     

  3. 启动服务：docker-compose up -d
  4. 配置Grafana：访问http://localhost:3000，添加Prometheus数据源，导入vsftpd监控仪表盘（如社区提供的“FTP Server Monitoring”模板）。

五、自定义脚本：灵活定制报警逻辑

若需特定场景的报警（如每日传输量超过阈值），可编写Shell脚本结合cron定时任务实现。

• 示例脚本（监控连接数）：
  创建/usr/local/bin/vsftpd_monitor.sh，内容如下：

  #!/bin/bash
  MAX_CONNECTIONS=50
  CURRENT_CONNECTIONS=$(ss -tnp | grep vsftpd | wc -l)
  if [ "$CURRENT_CONNECTIONS" -gt "$MAX_CONNECTIONS" ]; then
      echo "警告：vsftpd当前连接数($CURRENT_CONNECTIONS)超过阈值($MAX_CONNECTIONS)" | mail -s "vsftpd连接数报警" your-email@example.com
  fi
  

  赋予执行权限：sudo chmod +x /usr/local/bin/vsftpd_monitor.sh
  添加cron定时任务（每5分钟执行一次）：
  sudo crontab -e
  添加以下行：
  */5 * * * * /usr/local/bin/vsftpd_monitor.sh