SSH seguro em VPS Linux
SSH costuma ser o primeiro alvo em qualquer VPS com IP público. Este guia mostra um fluxo prático para reduzir risco sem complicar a rotina: chave ED25519, login sem senha, acesso administrativo com sudo, bloqueio de tentativas automáticas e revisão periódica de chaves autorizadas.
Modelo de ameaça realista
Em uma VPS nova, o padrão é receber tentativas de login automáticas poucos minutos após expor o IP. A maior parte desses ataques usa listas de usuário e senha vazadas. O objetivo não é criar uma configuração perfeita em teoria, e sim remover os vetores que mais aparecem em produção.
O que costuma acontecer na prática
- Bots testam combinações comuns como root, admin e ubuntu sem parar.
- Chaves antigas permanecem em
authorized_keysapós troca de equipe. - Serviço com permissão excessiva facilita movimentação lateral após invasão.
Chaves ED25519 e agent forwarding
Crie uma chave por pessoa e por dispositivo. Isso simplifica auditoria e revogação quando alguém sai da equipe ou perde um notebook. Em ambiente pequeno, essa organização já evita boa parte dos incidentes operacionais.
- Gere a chave com passphrase forte no dispositivo de uso diário.
- Copie apenas a chave pública para o servidor e confira permissões do diretório
.ssh. - Teste login em sessão paralela antes de qualquer alteração de política.
Agent forwarding deve ser exceção. Para saltos entre hosts, prefira ProxyJump quando possível por ser mais previsível em auditoria.
sshd_config mínimo saudável
| Diretiva | Valor sugerido | Motivo |
|---|---|---|
| PasswordAuthentication | no | Elimina ataque por senha remota |
| PermitRootLogin | no ou prohibit-password | Administração com sudo |
| PubkeyAuthentication | yes | Método principal de autenticação |
| AllowUsers | lista explícita | Reduz exposição desnecessária |
Faça backup do arquivo antes de editar, valide com sshd -t e só reinicie o serviço depois de confirmar que a sintaxe está correta. Em VPS, essa validação simples evita perda de acesso por erro de digitação.
Nunca feche sua sessão atual antes de abrir e validar uma nova conexão SSH com as regras recém aplicadas.
fail2ban e rate limit
O fail2ban observa falhas repetidas e bloqueia IPs por um período definido. Ele não substitui autenticação por chave, mas reduz muito o volume de tentativas automáticas no log e o ruído de alerta.
Configure parâmetros de acordo com sua realidade. Time com IP fixo pode usar bloqueios mais agressivos. Time remoto com redes variáveis precisa de ajuste mais conservador para evitar bloqueio de acesso legítimo.
Combine com regras de UFW compatíveis com a porta real de SSH e revise também a integração com Docker quando houver containers publicados.
Operação e auditoria contínua
Segurança de SSH não é ação única. Faça revisão trimestral deauthorized_keys, remova chaves sem dono claro e documente quem tem acesso administrativo. Essa rotina reduz risco sem aumentar complexidade.
Para seguir no hardening da VPS, leia o guia de instalação de Docker no Ubuntu. Para escolha de hardware, compare também VPS Ryzen vs VPS Xeon. Cargas maiores podem pedir servidor dedicado.
- Backup privado do sshd_config antes de mudanças.
- Lista atualizada de usuários autorizados em AllowUsers.
- Console de recuperação testado para emergências.
- Atualizações de segurança aplicadas em janela recorrente.
Perguntas frequentes
- Mudar porta SSH ajuda?
- Ajuda a reduzir ruído de bots simples, mas não resolve o problema principal. Segurança real vem de chave forte, senha remota desativada e controle de usuários permitidos.
- Posso manter senha para emergência?
- O caminho mais seguro é usar console de recuperação do provedor e uma política clara de chaves. Se senha for obrigatória por algum motivo, limite acesso por VPN ou faixa de IP específica.
- fail2ban pode bloquear IP legítimo?
- Sim em NAT corporativo compartilhado. Ajuste findtime, maxretry e whitelist de IPs estáveis da sua equipe.
- 2FA no SSH existe?
- Existe, normalmente por módulos PAM ou bastion com MFA. Vale bastante para times maiores ou ambientes com dados sensíveis, mas exige processo de suporte mais bem definido.
Próximo passo
Ver VPS Ryzen
VPS Ryzen 9 9950X em SP com root, NVMe e AntiDDoS gamer.
Guias relacionados
Firewall UFW em VPS Ubuntu: regras seguras sem travar o servidor
UFW facilita a configuração de firewall no Ubuntu, mas a ordem das regras continua sendo decisiva. Este guia mostra como ativar sem perder acesso SSH, como liberar apenas o necessário e como revisar regras quando Docker e serviços web entram em cena.
Como instalar Docker no Ubuntu 22.04 ou 24.04 em VPS (guia direto ao ponto)
Instalar Docker em VPS Ubuntu com estabilidade depende de fonte de pacote correta e validação em etapas. Neste guia, você configura repositório oficial, instala Engine e Compose, testa o daemon e aplica cuidados básicos de segurança antes de subir aplicações.
VPS Ryzen vs VPS Xeon: o que escolher para jogos e automação
A escolha entre VPS Ryzen e VPS Xeon depende do tipo de carga, não da marca isolada. Este guia compara cenários práticos para jogos, automação e workloads paralelos com foco em decisão técnica e custo operacional.