Acesso Seguro e SSH
O serviço SSH é frequentemente o único ponto de acesso remoto e, portanto, o mais visado por ataques automatizados. O endurecimento do OpenSSH é obrigatório em qualquer servidor exposto.
Hardening do OpenSSH (sshd_config)
Realize um backup do arquivo original:
sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bakEdite o arquivo:
nano /etc/ssh/sshd_config Altere as seguintes diretrizes de segurança:
| Parâmetro | Valor Recomendado | Justificativa de Segurança |
| Port | 2222 (exemplo) | Reduz o ruído de bots que escaneiam a porta padrão 22. |
| PermitRootLogin | no | Impede ataques de força bruta contra a conta root. |
| PasswordAuthentication | no | Força o uso exclusivo de chaves criptográficas. |
| PubkeyAuthentication | yes | Habilita a autenticação por chaves públicas. |
| MaxAuthTries | 3 | Limita as tentativas de login para mitigar força bruta. |
| ClientAliveInterval | 300 | Envia keep-alive a cada 5 min para detectar quedas. |
| ClientAliveCountMax | 2 | Encerra a sessão após 10 min de inatividade. |
| X11Forwarding | no | Desabilita o redirecionamento gráfico desnecessário. |
| Protocol 2 | Embora versões modernas do Debian já usem o 2 por padrão, é boa prática forçar o uso do Protocolo 2. | |
| AllowUsers user_1 user_2 | Restringir os usuários do sistema que poderão logar no servidor SSH (nomes separados por espaço) |
Autenticação por chave SSH (ED25519)
Prefira o algoritmo ED25519 sobre o RSA antigo devido à sua maior segurança e menor tamanho de chave.
No seu computador local:
ssh-keygen -t ed25519 -a 100 -C "admin@servidor-producao"Para copiar a chave para o servidor:
ssh-copy-id -p 2222 -i ~/.ssh/id_ed25519.pub [email protected].⚠️ ALERTA DE SEGURANÇA: Nunca feche sua sessão SSH atual antes de testar a nova configuração em uma janela separada. Um erro de sintaxe pode causar o bloqueio permanente do acesso remoto.
Ilustrações
SVG REPO
Disponível em: https://www.svgrepo.com/svg/354912/debian
Acesso em: 04 abr. 2026.
Referências
CUBEPATH.COM – Linux Server Hardening: Complete Guide
Disponível em: https://cubepath.com/docs/server-security/linux-server-hardening-complete-guide
Acesso em: 04 abr. 2026.