Instalação Base do Debian
A segurança de um servidor começa na fase de provisionamento. Uma instalação mal planejada pode deixar resíduos de configuração que se tornam vulnerabilidades permanentes.
Download e Verificação de Integridade (SHA256/SHA512)
O download da ISO deve ser realizado apenas em debian.org. Para garantir que o arquivo não foi corrompido ou adulterado em um ataque de supply chain, você deve verificar o hash do arquivo antes de criar a mídia.
1. Verificação em ambiente Linux
Abra o terminal na pasta onde a ISO foi baixada:
# Gerar o hash SHA256 do arquivo
sha256sum debian-12.x.x-amd64-netinst.iso
# Ou para SHA512 (mais robusto)
sha512sum debian-12.x.x-amd64-netinst.isoCompare a saída com os valores contidos nos arquivos SHA256SUMS ou SHA512SUMS disponíveis no espelho oficial do Debian.
2. Verificação em ambiente Windows
Utilize o Prompt de Comando (CMD) ou PowerShell:
certutil -hashfile debian-12.x.x-amd64-netinst.iso SHA256Compare o código gerado com o oficial.
3. Autenticidade com GPG (Opcional, mas recomendado)
Para garantir que o próprio arquivo de hashes (SHA256SUMS) é legítimo e assinado pelo Debian:
- Importe a chave de assinatura:
gpg –keyserver keyring.debian.org –recv-keys 64E6EA7D - Verifique a assinatura:
gpg –verify SHA256SUMS.sign SHA256SUMS - O resultado deve exibir:
“Good signature” (Assinatura correta).
Passo a passo da instalação
Ao iniciar o instalador, selecione a opção Install (modo texto) para uma experiência mais condizente com o ambiente de servidor. As etapas de configuração de idioma, localização e teclado devem refletir o ambiente operacional da equipe de TI, mas o sistema deve ser configurado preferencialmente em inglês (POSIX) para facilitar a interpretação de logs e suporte técnico global.
A seleção do hostname deve seguir uma convenção de nomenclatura corporativa que evite revelar a função exata do servidor a atacantes externos (ex: EVITAR nomes como db-production-01 se o servidor estiver exposto).
Particionamento recomendado com LVM
O uso do Logical Volume Manager (LVM) é essencial em servidores de produção. O LVM permite que o administrador redimensione partições dinamicamente, crie snapshots para backups consistentes e agregue múltiplos discos físicos em um único volume lógico.
A estratégia de particionamento deve isolar áreas críticas para evitar que o preenchimento acidental ou malicioso de logs ou dados de usuários cause a paralisação do sistema (DoS).
Para um cenário de produção focado em Docker com um SSD de 480GB, a estratégia de particionamento deve priorizar o isolamento do diretório de dados do Docker (/var/lib/docker) e a flexibilidade para expansão futura através do LVM.
Aqui está a versão atualizada do guia com o detalhamento específico para essa arquitetura de armazenamento:
| Partição/Volume | Tamanho Inicial | Justificativa Técnica |
| /boot | 1 GB | Partição primária (fora do LVM). Isolamento do Kernel. |
| / (raiz) | 40 GB | Binários do sistema e /usr . 40GB é seguro para longo prazo. |
| swap | 8 GB | Ajustar conforme a RAM. Essencial para estabilidade do kernel. |
| /var | 10 GB | Dados variáveis do sistema (exceto Docker e logs). |
| /var/log | 20 GB | Isolamento de logs. Evita que logs lotem a partição raiz. |
| /var/lib/docker | 150 GB | Volume dedicado para Docker. Impede que containers parem o host. |
| /home | 10 GB | Espaço mínimo para dados de usuários administrativos. |
| Espaço Livre (LVM) | ~241 GB | Crucial: Deixar livre no Volume Group para expansão futura. |
Por que deixar 50% do disco livre no LVM?
Em produção, é impossível prever qual serviço crescerá mais rápido. O LVM permite que você aumente o volume /var/lib/docker ou /var/log em segundos com o sistema ligado (lvextend). Se você alocar tudo no início, terá dificuldade para reduzir partições (especialmente em Ext4), o que gera maior risco operacional.
Particionamento Manual com LVM (SSD 480GB)
Ao chegar na etapa “Particionar discos”, siga este fluxo para uma configuração otimizada para Docker e segurança:
- Método de Particionamento: Escolha Manual.
- Preparação do Disco: Selecione o SSD de 480GB e crie uma nova tabela de partições vazia (tipo GPT).
- Criar partição /boot:
- Selecione o espaço livre -> Criar nova partição.
- Tamanho: 1 GB.
- Tipo: Primária.
- Localização: Início.
- Usar como: Sistema de arquivos com journal Ext4.
- Ponto de montagem: /boot.
- Nota: Se o sistema for UEFI, você também precisará de uma partição “ESP” (EFI System Partition) de ~512MB em FAT32.
- Criar o contêiner LVM:
- Selecione o espaço livre restante -> Criar nova partição.
- Tamanho: Máximo disponível.
- Usar como: Volume físico para LVM.
- Configurar o Gerenciador de Volumes Lógicos (LVM):
- Selecione Configurar o Logical Volume Manager -> Sim.
- Criar grupo de volumes (VG): Nomeie como vg_server e selecione a partição LVM criada no passo 4.
- Criar volumes lógicos (LV): Dentro de vg_server, crie os volumes seguindo a estratégia Docker:
- lv_root: 40 GB.
- lv_swap: 8 GB.
- lv_var: 10 GB.
- lv_var_log: 20 GB.
- lv_var_lib_docker: 150 GB.
- lv_home: 10 GB.
- Mantenha os ~240GB restantes como espaço livre no VG para expansões futuras.
- Finalizar e Atribuir Montagens:
- Selecione Finalizar para retornar ao menu principal de partição.
- Agora, para cada Volume Lógico listado (ex: LVM VG vg_server, LV lv_root), selecione-o e defina:
- Usar como: Sistema de arquivos Ext4.
- Ponto de montagem: Selecione o respectivo (/, /var, /var/log, etc.).
- Escrita: Selecione Finalizar o particionamento e escrever as mudanças no disco.
Durante a seleção de pacotes (software selection), desmarque todas as opções de interface gráfica. Selecione apenas SSH Server e Standard System Utilities.
Dica técnica:
A criação da partição /boot fora do LVM é uma prática recomendada por diversos motivos técnicos que envolvem a compatibilidade do hardware e a resiliência do sistema:
- Compatibilidade com o Firmware (UEFI/BIOS): O firmware da placa-mãe (seja UEFI ou o antigo BIOS) é simplificado e não possui drivers nativos para entender estruturas complexas como o LVM.
- Limitações do GRUB: Embora versões modernas do GRUB 2 consigam ler volumes lógicos LVM, essa configuração é mais complexa e propensa a erros, especialmente se o Volume Group (VG) se estender por múltiplos discos físicos. Manter o /boot em uma partição primária simples (Ext4) garante que o kernel e o initrd sejam carregados sem depender da ativação da camada LVM.
- Criptografia de Disco: Em cenários onde se utiliza criptografia (LUKS) no restante do disco, a partição /boot deve permanecer descriptografada. O bootloader precisa acessar o kernel e as ferramentas iniciais para então solicitar a senha e montar as partições protegidas que estão dentro do LVM.
- Facilidade de Recuperação: Se houver uma falha crítica nos metadados do LVM ou no mapeamento de volumes, um /boot isolado permite que você acesse o menu de recuperação e edite parâmetros do kernel com muito mais facilidade, sem ter que lidar com camadas de abstração corrompidas logo no início do processo de inicialização.
Essencialmente, colocar o /boot fora do LVM remove uma camada de complexidade do “ponto cego” do sistema: o momento entre ligar a máquina e o sistema operacional assumir o controle total do hardware.
Ilustrações
SVG REPO
Disponível em: https://www.svgrepo.com/svg/354912/debian
Acesso em: 04 abr. 2026.
Referências
OSTECHNIX.COM – How To Install Debian 12 Bookworm
Disponível em: https://ostechnix.com/install-debian-12-bookworm/
Acesso em: 04 abr. 2026.