À medida que os negócios online se tornam maiores e mais importantes para o dia a dia das empresas, a busca por mais segurança também precisa acompanhar essa tendência. Por conta disso, entender como configurar SSH é essencial para quem cuida dessas questões.
Sigla para Secure Shell, esse protocolo é considerado o padrão ouro do mercado, já que oferece um canal criptografado para o gerenciamento de infraestruturas remotas, garantindo a integridade e a confidencialidade dos ativos digitais.
Quer entender mais sobre o assunto e como preparar o seu negócio? Continue a leitura e descubra!
O que é SSH e para que serve?
O SSH (Secure Shell) é um protocolo de comunicação em rede que utiliza criptografia para garantir conexões seguras entre dois dispositivos. Ele possibilita a troca de dados de forma protegida, mesmo quando o tráfego passa por redes públicas ou não confiáveis, como a internet.
A primeira e mais conhecida utilidade é o acesso a um shell de linha de comando remoto, permitindo que administradores de sistema executem comandos em um servidor como se estivessem fisicamente sentados em frente a ele.
A segunda é o tunelamento de portas, que permite encapsular o tráfego de outros protocolos (como o de um banco de dados) dentro de uma conexão SSH segura.
A terceira é a transferência de arquivos de forma segura, utilizando diferentes tipos de protocolos associados, como o SFTP (SSH File Transfer Protocol) e o SCP (Secure Copy Protocol).
Pré-requisitos para configurar SSH
Mas antes de iniciar o processo de configuração, é preciso ter alguns pré-requisitos:
- Acesso a um servidor com privilégios administrativos: você precisa de um servidor (seja ele um VPS ou um servidor dedicado) com um endereço IP estático;
- Um cliente SSH instalado na sua máquina local: em sistemas Unix, como Linux ou macOS, o OpenSSH já vem instalado e pode ser acessado diretamente pelo terminal. Para usuários Windows, é possível usar o WSDL2 (que inclui um terminal), PowerShell, Git Bash ou outros clientes capazes de conectar a servidores via SSH;
- Familiaridade com um editor de texto de linha de comando: o processo de configuração envolve a edição de arquivos de texto diretamente no servidor, ou seja, é necessário ter um conhecimento básico de pelo menos um editor de texto de terminal.
Passo a passo para configurar SSH
Agora já é possível fazer uma configuração segura do SSH.
Conexão inicial e criação de um usuário com privilégios sudo
A primeira conexão ao seu novo servidor deve ser feita via usuário root e utilizando a senha fornecida pelo seu provedor de hospedagem, através do comando: ssh root@endereco_de_ip_do_servidor. Após executado esse comando, a senha para acesso, será solicitada.
A primeira medida de segurança é evitar usar a conta root no acesso diário. Crie um novo usuário com o comando adduser nome_de_usuario e, para conceder privilégios administrativos, você pode adicioná-lo ao grupo sudo já na criação (adduser nome_de_usuario sudo) ou posteriormente com usermod -aG sudo nome_de_usuario.
Após isso, desconecte-se e faça um novo login com seu usuário recém-criado para continuar o processo.
Geração do par de chaves SSH no cliente
A base da segurança do SSH é a criptografia de chave pública. Em vez de uma senha, que pode ser adivinhada ou interceptada, você usará um par de chaves criptográficas.
Na sua máquina local, gere esse par de chaves com o comando {ssh-keygen -t rsa -b 4096}. O sistema vai criar dois arquivos no diretório ~/.ssh/: a chave privada (id_rsa), que deve ser mantida em segredo absoluto na sua máquina, e a chave pública (id_rsa.pub), que será copiada para o servidor.
Cópia da chave pública para o servidor
Agora, você precisa autorizar sua chave pública no servidor. A forma mais simples e segura de fazer isso é com o utilitário ssh-copy-id. Execute o seguinte comando no seu terminal local: {ssh-copy-id nome_de_usuario@endereco_de_ip_do_servidor}.
A ferramenta vai se conectar ao servidor (pedindo sua senha pela última vez), encontrar o arquivo {~/.ssh/authorized_keys} no diretório do seu usuário, e anexar sua chave pública a ele de forma segura e com as permissões corretas.
Edição do arquivo de configuração do SSHD
Com a autenticação por chave já funcional, o próximo passo é fortalecer o serviço SSH no próprio servidor.
Faça a conexão ao servidor utilizando seu novo usuário (agora sem a necessidade de senha) e edite o arquivo de configuração do daemon SSH.
O arquivo geralmente está localizado em{/etc/ssh/sshd_config}. Utilize seu editor de texto preferido para abri-lo, por exemplo: {sudo nano /etc/ssh/sshd_config}.
Desabilitando o login por senha e reiniciando o serviço
Dentro do arquivo {sshd_config}, você vai fazer a alteração de segurança mais importante: desabilitar completamente a autenticação por senha.
Encontre a linha que diz {PasswordAuthentication yes} e altere para {PasswordAuthentication no}. Isso garante que o acesso ao seu servidor só será possível através de uma chave SSH autorizada.
Após salvar o arquivo, aplique as alterações reiniciando o serviço SSH com o comando sudo systemctl restart sshd (em sistemas baseados em systemd, como Ubuntu/Debian/CentOS 7+).
Mas antes de desconectar, abra um novo terminal e teste se a sua conexão via chave ainda funciona. Fazer isso evita que você se tranque para fora do servidor caso tenha cometido algum erro.
Ao forçar o uso de chaves criptográficas, você elimina por completo a ameaça de ataques de força bruta que tentam adivinhar senhas, que é a forma mais comum de comprometimento de servidores.
Comandos SSH essenciais para gerenciamento de servidor
Para fazer uma gestão eficiente, é importante conhecer alguns comandos:
- ssh usuario@host: o comando básico para iniciar uma sessão de shell remota no host especificado com a conta do usuário;
- scp /caminho/local/arquivo usuario@host:/caminho/remoto: utiliza o Secure Copy Protocol para copiar um arquivo da sua máquina local para um diretório remoto no servidor. A sintaxe pode ser invertida para baixar arquivos do servidor;
- sftp usuario@host: inicia uma sessão interativa do SSH File Transfer Protocol, que permite navegar no sistema de arquivos remoto e transferir múltiplos arquivos de forma similar a um cliente FTP, mas sobre um canal seguro;
- ssh -p [PORTA] usuario@host: permite a conexão a um servidor SSH que está operando em uma porta não padrão, especificada pelo parâmetro -p;
- ssh -i /caminho/para/chave_privada usuario@host: especifica qual arquivo de chave privada deve ser utilizado para a autenticação, útil quando você gerencia múltiplas chaves para diferentes servidores.
Configurações avançadas
Se o seu caso exige mais cuidado e atenção para esse protocolo, algumas dicas mais avançadas podem ajudar também.
Tunelamento de porta (port forwarding)
O SSH pode criar túneis seguros. Com {ssh -L 8080:localhost:80 user@host}, você redireciona a porta 80 do servidor para a porta 8080 da sua máquina local, permitindo acessar uma aplicação web do servidor de forma segura.
Já o {ssh -R 9090:localhost:3000 user@host} faz o inverso, expondo um serviço local (na porta 3000) na porta 9090 do servidor remoto.
Uso do agente SSH (ssh-agent)
Se sua chave privada for protegida por uma senha (passphrase), o ssh-agent é um programa que a armazena em memória.
Você digita a senha uma vez ao adicionar a chave ao agente (ssh-add) e, a partir daí, pode se conectar a servidores sem precisar digitá-la novamente durante a sua sessão.
Arquivo de configuração do cliente (~/.ssh/config)
Para simplificar a gestão de múltiplas conexões, você pode criar aliases e configurações personalizadas neste arquivo.
Por exemplo, em vez de digitar um comando longo, você pode configurar um Host “servidor-prod” e depois conectar-se com um simples {ssh servidor-prod}.
Dicas para manter a segurança do SSH
Algumas outras dicas podem ajudar a aumentar a segurança do protocolo.
Altere a porta padrão de operação
Milhões de bots na internet estão constantemente escaneando essa porta 22 em busca de alvos.
Ao alterar a diretiva Port no arquivo sshd_config para um número de porta alto e não utilizado (ex: Port 2222), você move seu serviço para fora do radar da maioria desses ataques automatizados.
Restrinja o acesso do usuário root
O usuário root é o mais privilegiado e, portanto, o alvo mais valioso para quem está fazendo um ataque hacker. Por isso, desabilitar o login direto como root via SSH é uma prática de segurança fundamental baseada no princípio do menor privilégio.
Implemente um sistema de prevenção como o Fail2ban
O Fail2ban é um software que monitora os logs do seu servidor em busca de atividades suspeitas, como tentativas de login falhas.
Se um determinado endereço IP falhar múltiplas vezes em um curto período, o Fail2ban o considera malicioso e cria automaticamente uma regra no firewall do servidor para bloquear aquele IP por um tempo determinado.
Saber como configurar o SSH e dominar essas técnicas não são apenas uma habilidade técnica, mas uma responsabilidade estratégica para qualquer profissional que tem a missão de proteger os dados e a continuidade das operações de um negócio no ambiente digital.
Aqui na KingHost, o SSH pode ser ativado facilmente através do nosso Painel de Controle. Conheça nossos planos!
