Proteger um VPS
Descubra os elementos de base que lhe permitem proteger o seu VPS
Descubra os elementos de base que lhe permitem proteger o seu VPS
Esta tradução foi automaticamente gerada pelo nosso parceiro SYSTRAN. Em certos casos, poderão ocorrer formulações imprecisas, como por exemplo nomes de botões ou detalhes técnicos. Recomendamos que consulte a versão inglesa ou francesa do manual, caso tenha alguma dúvida. Se nos quiser ajudar a melhorar esta tradução, clique em "Contribuir" nesta página.
Última atualização: 05/05/2022
Quando encomendar o seu VPS, pode escolher uma distribuição ou um sistema operativo a pré-instalar. O servidor está pronto para ser utilizado após a entrega. No entanto, cabe-lhe a si, enquanto administrador, implementar medidas que garantam a segurança e a estabilidade do seu sistema.
Este manual fornece-lhe alguns conselhos gerais para proteger um servidor baseado em GNU/Linux.
A OVHcloud fornece-lhe serviços pelos quais é responsável em termos de configuração e gestão. Assim, é responsável pelo seu bom funcionamento.
Se encontrar dificuldades para realizar estas ações, contacte um fornecedor de serviços especializado e/ou discuta o problema com a nossa comunidade de utilizadores em https://community.ovh.com/en/. A OVHcloud não lhe pode fornecer apoio técnico a este respeito.
Tenha em conta que se trata de um guia geral baseado num sistema operativo Ubuntu Server. Algumas encomendas precisam de ser adaptadas à distribuição que utiliza e certos truques convidam-no a utilizar ferramentas de terceiros. Consulte a documentação oficial destas aplicações caso necessite de ajuda.
Se configurar o primeiro VPS da OVHcloud, recomendamos que consulte primeiro o nosso manual sobre a implementação de um VPS.
Os exemplos abaixo pressupõem que está ligado enquanto utilizador com autorizações elevadas.
Os programadores de distribuições e de sistemas operativos propõem atualizações frequentes de pacotes, muitas vezes por razões de segurança.
Assegurar a atualização da sua distribuição ou sistema operativo é um ponto essencial para proteger o seu VPS.
Esta atualização terá duas etapas.
sudo apt update
sudo apt upgrade
Esta operação deve ser efetuada regularmente para manter um sistema atualizado.
Uma das primeiras ações a realizar no seu servidor é a configuração da porta de escuta do serviço SSH. Por predefinição, este é definido na porta 22, pelo que as tentativas de hack do servidor por robots vão direcionar esta porta prioritariamente. A alteração deste parâmetro, em benefício de uma porta diferente, é uma medida simples para reforçar a proteção do seu servidor contra ataques automatizados.
Para isso, altere o ficheiro de configuração do serviço com o editor de texto à sua escolha (nano
é utilizado neste exemplo):
~$ sudo nano /etc/ssh/sshd_config
Deve encontrar as seguintes linhas ou equivalentes:
# What ports, IPs and protocols we listen for
Port 22
Substitua o número 22 pelo número de porta à sua escolha.
No entanto, certifique-se de que não indica um número de porta já utilizado no seu sistema.
Para uma maior segurança, utilize um número entre 49152 e 65535.
Registe e saia do ficheiro de configuração.
Reinicie o serviço:
sudo systemctl restart sshd
Isto deveria ser suficiente para aplicar as alterações. Caso contrário, reinicie o VPS (~$ sudo reboot
).
Lembre-se de que deve indicar a nova porta a cada pedido de ligação SSH ao seu servidor, por exemplo:
ssh username@IPv4_of_your_VPS -p NewPortNumber
Recomenda-se vivamente que altere a palavra-passe do utilizador root para não a deixar ao valor predefinido num novo sistema. Para mais informações consulte este guia.
Em geral, as tarefas que não exijam privilégios root devem ser realizadas através de um utilizador standard. Para criar um novo utilizador, execute o seguinte comando:
sudo adduser NomeUtilizadorPersonalizado
De seguida, indique as informações pedidas pelo sistema: palavra-passe, nome, etc.
O novo utilizador será autorizado a ligar-se em SSH. Ao estabelecer uma ligação, utilize as informações de identificação especificadas.
Uma vez ligado, introduza o seguinte comando para efetuar operações que requerem autorizações root:
su root
Introduza a password quando for convidado e a ligação ativa será migrada para o utilizador root.
O utilizador root é criado por predefinição nos sistemas GNU/Linux. Trata-se do nível de acesso mais elevado a um sistema operativo.
É desaconselhado e mesmo perigoso deixar o seu VPS acessível apenas em root, pois esta conta pode efetuar operações irreversíveis prejudiciais.
Recomenda-se a desativação do acesso direto dos utilizadores root através do protocolo SSH. Não se esqueça de criar outro utilizador antes de seguir os passos abaixo.
Deve modificar o ficheiro de configuração SSH da mesma forma que o descrito anteriormente:
sudo nano /etc/ssh/sshd_config
Consulte a secção seguinte:
# Authentication:
LoginGraceTime 120
PermitRootLogin yes
StrictModes yes
Substitua yes por no na linha PermitRootLogin
.
Para que esta modificação seja tida em conta, deve reiniciar o serviço SSH:
sudo systemctl restart sshd
De seguida, as ligações ao seu servidor através do utilizador root (ssh root@IPv4_of_your_VPS
) serão rejeitadas.
As distribuições GNU/Linux comuns são fornecidas com um serviço de firewall designado iptables. A configuração inicial não tem nenhuma regra predefinida (ativa). Para confirmar o tipo de configuração, deverá executar o comando:
iptables -L
Para mais informações sobre iptables, consulte o nosso guia dedicado.
Recomendamos que crie e adapte regras de firewall à sua utilização. Para mais informações sobre as várias operações, consulte a documentação oficial da distribuição utilizada.
Fail2ban é um framework de prevenção contra as intrusões cujo objetivo é bloquear os endereços IP a partir dos quais bots ou atacantes tentam penetrar no seu sistema.
Este pacote é recomendado, ou mesmo indispensável em certos casos, para proteger o seu servidor contra ataques do tipo Brute Force ou Denial of Service.
Para instalar o pacote de software, utilize o seguinte comando:
sudo apt install fail2ban
Pode personalizar os ficheiros de configuração Fail2ban para proteger os serviços expostos à Internet pública contra as tentativas de ligações repetidas.
Como recomendado pelo Fail2ban, crie um ficheiro de configuração local dos seus serviços copiando o ficheiro "jail.conf":
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
A seguir, abra o ficheiro com um editor de texto:
sudo nano /etc/fail2ban/jail.local
Leia as informações no topo do ficheiro, nomeadamente as observações em [DEFAULT]
.
Os parâmetros [DEFAULT]
são globais e aplicar-se-ão a todos os serviços definidos para serem ativados (enabled
) neste ficheiro.
É importante saber que os parâmetros globais só serão tidos em conta se não existirem valores diferentes definidos nas secções de serviços (JAILS
) mais abaixo do ficheiro.
Tomemos como exemplo estas linhas em [DEFAULT]
:
bantime = 10m
maxretry = 5
enabled = false
Isto significa que um endereço de IP a partir do qual um host tenta conectar-se será bloqueado durante dez minutos após a quinta tentativa de abertura de sessão falhada.
Além disso, todos os parâmetros especificados pela [DEFAULT]
e nas secções seguintes permanecem desativados, exceto se a linha enabled = true
for adicionada para um serviço (listada abaixo # JAILS
).
A título de exemplo de utilização, o facto de ter as seguintes linhas na secção [sshd]
só ativará restrições para o serviço OpenSSH:
[sshd]
enabled = true
port = ssh
filter = sshd
maxretry = 3
findtime = 5m
bantime = 30m
Neste exemplo, se uma tentativa de ligação SSH falhar três vezes em cinco minutos, o período de interdição dos IP será de 30 minutos.
Pode substituir "ssh" pelo número de porta real se o alterou.
A melhor abordagem consiste em ativar o Fail2ban apenas para os serviços que são realmente executados no servidor. Cada parâmetro personalizado adicionado sob # JAILS
será então prioritário relativamente aos valores predefinidos.
Depois de finalizar as suas modificações, registe o ficheiro e feche o editor.
Reinicie o serviço para se certificar de que ele é executado com as personalizações aplicadas:
sudo service fail2ban restart
Fail2ban dispõe de numerosos parâmetros e filtros de personalização, bem como de opções pré-definidas, por exemplo quando deseja adicionar uma camada de proteção a um servidor web Nginx.
Para mais informações e recomendações sobre o Fail2ban, não hesite em consultar a documentação oficial desta ferramenta.
As soluções da OVHcloud incluem a possibilidade de ativar uma firewall no ponto de entrada da infraestrutura, designada Network Firewall. Uma configuração correta desta firewall permite bloquear as ligações antes mesmo que estas cheguem ao seu servidor.
Consulte o guia "Configurar a Network Firewall" se desejar ativá-la.
O conceito de segurança não se limita à proteção de um sistema contra ataques.
A segurança dos seus dados é um elemento chave. É por isso que a OVHcloud oferece-lhe várias opções de backup enquanto serviços:
Snapshot
que lhe permite criar uma imagem manual.Backup automático
permite-lhe conservar os backups regulares do seu VPS (à exceção dos discos suplementares).Na página do produto e nos respetivos guias, poderá encontrar todas as informações sobre as soluções de backup disponíveis para o seu serviço.
Junte-se à nossa comunidade de utilizadores em https://community.ovh.com/en/.
Não hesite em propor-nos sugestões de melhoria para fazer evoluir este manual.
Imagens, conteúdo, estrutura... Não hesite em dizer-nos porquê para evoluirmos em conjunto!
Os seus pedidos de assistência não serão tratados através deste formulário. Para isso, utilize o formulário "Criar um ticket" .
Obrigado. A sua mensagem foi recebida com sucesso.
Aceda ao seu espaço comunitário. Coloque as suas questões, procure informações e interaja com outros membros do OVHcloud Community.
Discuss with the OVHcloud community