Fundamental para todo operador: La primera manifestación de un problema, sea cual sea, estará siempre en las bitácoras. Leer las bitácoras del sistema con detenimiento una vez al día no toma mas que unos 20 minutos, y nos puede evitar muchos problemas. En un sistema UNIX, prácticamente la totalidad de las bitácoras estarán en el directorio /var/log

Algunos de los datos que podemos obtener de las bitácoras son:

• El sistema está reportando algún error extraño, desde un error de configuración en software hasta una falla potencial en hardware.
• Hay comportamiento inusual. Por ejemplo, si aparecen intentos de conectarse con diferentes nombres de usuario desde la misma dirección IP, lo más probable es que alguien esté intentando atacarnos desde dicha dirección.
• Hay un error con nuestras páginas. Si aparecen muchas solicitudes fallidas a una página, hay que revisar qué página les origina el intentar abrir esa dirección.

Cuando instalamos un sistema, por lo general viene con la seguridad muy relajada, otorgando casi todos los servicios. Es muy importante revisar los servicios que estemos otorgando (archivos /etc/inetd.conf y /etc/rc?.d tipicamente). La razón para deshabilitar estos servicios es que si no requerimos dar cierta información, no deberíamos requerir estar pendientes de actualizaciones y parches de seguridad de diferentes programas. Además de esto, entre menos información demos de nuestro sistema a un atacante en potencia, más seguros estaremos de él.

Los sistemas UNIX permiten la administración remota, lo cual es una muy gran ventaja para todo administrador - poder manejar todos los sistemas desde una sola computadora es muy, muy cómodo. Sin embargo, muchos administradores continúan utilizando protocolos prehistóricos como telnet y los comandos R (rsh, rcopy, etc.) Estos comandos tienen la gran desventaja que todo el texto que fluya por la red para ellos irá en claro o, lo que es lo mismo, sin encriptación de ningún tipo. Estos protocolos fueron reemplazados por Secure Shell (ssh) y Secure Copy (scp). Con estos nuevos protocolos y algoritmos, toda comunicación entre el servidor y determinado cliente irá encriptada, imposibilitando e un tercero que esté olfateando la conexión ver o modificar los datos.

Es conveniente instalar cuando menos un sistema básico de detección de intrusos en cualquier servidor. Estos sistemas pueden ser desde muy simples y pequeños (como el PortSentry de Psionic, que imposibilita que un atacante nos pueda hacer barridos de puertos en búsqueda de información) hasta grandes y complejos (como el Internet Security System (ISS) o el FireWall toolkit (FWTK). Como la elección de uno o más sistemas de detección de intrusos depende del análisis de cada sitio, no entraré más en detalles.