SSH seguro em VPS Linux
SSH é porta mais batida da internet em VPS novo. Este guia organiza camadas baratas: autenticação por chave, desativação de senha para login remoto, usuário não privilegiado com sudo, jail de tentativas com fail2ban e firewall que só libera o necessário.
Modelo de ameaça realista
Bots tentam senhas fracas e usuários óbvios milhares de vezes por dia em IPv4 público. Patch atrasado somado a credencial vazada em leak antigo vira shell para minerador em minutos. Seu objetivo não é paranoia teórica, é remover vetores triviais antes de investir em ferramentas caras.
- Força bruta distribuída automatizada.
- Keys vazadas por repositório Git público acidental.
- Exploração pós-comprometimento lateral via Docker socket exposto.
Chaves ED25519 e agent forwarding
Gere chave dedicada por máquina física ou perfil de trabalho. passphrase protege cópia offline da chave privada. Evite RSA legado longo demais se política permitir curva moderna. ssh-copy-id ajuda bootstrap inicial, mas revise permissões .ssh (700) e authorized_keys (600).
Agent forwarding só quando necessário e para hosts confiáveis; otherwise use ProxyJump para saltos encadeados mais auditáveis.
sshd_config mínimo saudável
| Diretiva | Valor sugerido | Motivo |
|---|---|---|
| PasswordAuthentication | no | Remove vetor senão |
| PermitRootLogin | prohibit-password ou no | Admin via sudo |
| PubkeyAuthentication | yes | Padrão moderno |
| AllowUsers | lista curta | Reduz superfície |
- sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak antes de editar.
- sudo sshd -t para validar sintaxe antes de restart.
- Mantenha sessão antiga aberta enquanto testa nova conexão em paralelo.
Reiniciar sshd com erro de sintaxe pode cortar acesso se não há console. Sempre validação prévia e backup de arquivo.
fail2ban e rate limit
fail2ban observa journal ou auth.log e bane IP após threshold de falhas. Combine maxretry conservador com whitelist de IPs fixos da empresa. Lembre que CDN ou NAT pode agrupar usuários legítimos sob mesmo IP se mal configurado remotamente.
Arquivo jail.local costuma sobrepor defaults conservadores: aumente bantime gradualmente após observar falsos positivos e mantenha findtime alinhado ao padrão de ataque que seus logs mostram. Reinicie fail2ban após editar e confira status da jail sshd com comando dedicado da sua distro. Integração com nftables ou iptables depende do backend configurado no ban action.
Firewall externo reforça camada: revise UFW em VPS Ubuntu para não liberar range enorme sem motivo.
Operação e auditoria contínua
Liste authorized_keys trimestralmente e remova chaves de funcionários que saíram. Rotate keys após incidente confirmado. Logs centralizados ajudam, mas custam: ao menos journalctl follow durante incidente já melhora resposta.
Para pilhas com Docker após SSH endurecido, continue para instalar Docker no Ubuntu VPS. Comparando linhas de CPU para custo operacional, veja VPS Ryzen vs VPS Xeon. Hardware dedicado para cargas grandes está em servidores dedicados StreetHosting.
- Backup de sshd_config versionado privado.
- Política escrita de quem tem sudo NOPASSWD se usar.
- Console recovery testado antes de incidente real.
- Atualização automática de segurança habilitada quando aceitável.
Perguntas frequentes
- Mudar porta SSH ajuda?
- Reduz ruído de scan trivial mas não é segurança real. Combine com chaves fortes e ausência de senha remota. Security by obscurity não substitui modelo de auth correto.
- Posso manter senha para emergência?
- Melhor ter segundo fator e console recovery do provedor. Senha fraca remota continua sendo vetor dominante. Se precisa senha, limite a VLAN ou VPN interna.
- fail2ban pode bloquear IP legítimo?
- Sim em NAT corporativo compartilhado. Ajuste findtime, maxretry e whitelist de IPs estáveis da sua equipe.
- 2FA no SSH existe?
- Sim via PAM modules ou soluções comerciais. Aumenta atrito operacional; avalie se vale para seu time pequeno versus bastion dedicado.
Próximo passo
Ver VPS Ryzen
VPS Ryzen 9 9950X em SP com root, NVMe e AntiDDoS gamer.
Guias relacionados
Firewall UFW em VPS Ubuntu: regras seguras sem travar o servidor
UFW é frontend simples para iptables/nftables que salva iniciantes de sintaxe arcana, mas ordem de regras e política default ainda travam gente fora do servidor. Este guia cobre fluxo seguro: garantir SSH antes de enable, liberar serviços mínimos e documentar exceções temporárias.
Como instalar Docker no Ubuntu 22.04 ou 24.04 em VPS (guia direto ao ponto)
Docker em VPS Ubuntu começa pelo repositório oficial da Docker Inc., não por pacotes aleatórios do universe sem atualização previsível. Depois de instalar Engine e plugin Compose, você valida com container de teste, ajusta permissões de usuário não-root e só então expõe portas com firewall disciplinado.
VPS Ryzen vs VPS Xeon: o que escolher para jogos e automação
Não existe vencedor universal, existe workload. Jogos e simulações curtas adoram IPC; filas de build e ingest paralelo adoram largura. Escolha com baseline medido, não com fanboy.