Segurança SSH · 4 min read · Nov 14, 2025

Melhores Práticas de Segurança do OpenSSH

SSH (Secure Shell) é um protocolo de rede criptográfico para iniciar sessões de shell baseadas em texto em máquinas remotas de forma segura.

OpenSSH é o cliente e servidor SSH padrão usado pela maioria das distribuições Linux. É uma ferramenta de conectividade da qual a maioria dos administradores depende para trabalhar em seus servidores Linux e *BSD. O OpenSSH criptografa todo o tráfego (incluindo senhas) para eliminar efetivamente escuta, sequestro de conexão e outros ataques. Em outras palavras, “o OpenSSH garante que a conexão com seu servidor seja segura”. Veja o artigo da Wikipedia para um excerto detalhado sobre SSH.

Este tutorial cobre as melhores práticas para configurar seu servidor SSH de forma segura.

Segurança do OpenSSH

Estas são as seis tarefas mais importantes para proteger a configuração do seu servidor SSH:

  1. Use uma senha forte.
  2. Altere a porta padrão do SSH.
  3. Sempre use a versão do protocolo 2.
  4. Desative o login como root.
  5. Limite o acesso do usuário.
  6. Use autenticação baseada em chave.

Use uma senha forte

Uma senha é uma palavra ou sequência de caracteres usada para autenticação do usuário para provar identidade ou aprovação de acesso para obter acesso a um recurso. Mantenha-a em segredo de quem não tem permissão para acessar o servidor. Use uma senha complexa e longa, deve ser fácil de lembrar e única para você, mas não fácil de adivinhar para os outros. Não use admin123 ou admin etc. que são fáceis de adivinhar e não use datas de nascimento, o nome da sua esposa etc. Uma boa senha também deve conter caracteres especiais como ‘.!;/‘ (não apenas os caracteres a-c e 0-9). Use caracteres maiúsculos e minúsculos na senha.

Altere a porta padrão do SSH

A porta padrão do serviço SSH é 22, você deve alterá-la para tornar menos óbvio que seu servidor está executando um serviço SSH. O arquivo de configuração do SSH está localizado no diretório /etc/sshd/, você deve editar o arquivo de configuração /etc/ssh/sshd_config.

nano /etc/ssh/sshd_config

Procure pela linha “Porta”:

Port 22

e altere para o seu número de porta favorito, exemplo: 1337

Port 1337

Porta Padrão SSH

Por favor, escolha uma porta que ainda não esteja em uso no seu servidor. Você pode obter uma lista de portas que estão atualmente em uso com o comando:

netstat -ntap

Este comando resulta em uma lista bastante longa que mostra todas as portas e conexões abertas. Se você apenas quiser verificar se sua porta desejada está disponível, use este comando em vez disso:

netstat -ntap | grep 4422

Neste exemplo, vou verificar se a porta 4422 está livre. Se o comando não retornar um resultado, então a porta está disponível e pode ser usada para SSH.

Sempre use o protocolo 2

O SSH tem duas versões de protocolo, o antigo protocolo 1 que é inseguro e o novo protocolo 2. Portanto, sempre use o protocolo 2 para seu servidor SSH, ele é mais seguro do que o protocolo 1. Mais informações aqui.

Protocolo 2 SSH

Desative o login como root

Você deve desativar o login direto para o usuário root porque há muitos ataques de força bruta contra o nome do superusuário root. IMPORTANTE: teste o login SSH com seu usuário alternativo não-root que você planeja usar para logins SSH antes de desativar a conta root.

PermitRootLogin no

Desativar login como root

Depois de definir “PermitRootLogin” como “no”, você não poderá mais fazer login com a conta root, embora use a senha correta para o usuário root.

Limite o usuário

Você deve adicionar um novo usuário para login no seu servidor. Suponha que você tenha criado os usuários ruiko e mikoto para fazer login no seu servidor, então você pode adicionar a nova linha:

AllowUsers ruiko mikoto

Limitar Usuário

no arquivo /etc/ssh/sshd_config para limitar o acesso SSH a esses usuários.

Use Autenticação Baseada em Chave

Eu recomendo que você use esta opção porque é muito fácil de configurar e mais segura do que a autenticação baseada em senha. Primeiro, você deve criar um par de chaves pública-privada em seu computador local (desktop), eu uso Linux para criá-lo.

Você pode criar o par de chaves pública/privada com este comando:

ssh-keygen -t rsa -b 4096

Isso criará 2 arquivos localizados no diretório ~/.ssh/, id_rsa como chave privada e id_rsa.pub como chave pública. Se for solicitado uma senha, você pode deixá-la em branco ou digitar sua senha. Usar uma senha para proteger sua chave é recomendado.

Gerar Chave SSH

Agora faça o upload da chave pública id_rsa.pub para o seu servidor com o comando ssh-copy-id.

ssh-copy-id -i ~/.ssh/id_rsa.pub user@serverip

Isso escreverá automaticamente sua chave pública no arquivo ~/.ssh/authorized_keys/ no seu servidor.

Agora volte para o seu servidor e edite novamente seu arquivo de configuração ssh.

nano /etc/ssh/sshd_config

Descomente esta linha:

AuthorizedKeysFile     %h/.ssh/authorized_keys

Adicionar Chave Pública

e finalmente reinicie seu servidor ssh:

systemctl restart sshd

Agora tente conectar-se ao seu servidor:

ssh -p '4422' 'user@serverIP'

Conclusão

OpenSSH é o padrão para acesso remoto seguro a servidores *Unix-like, substituindo o protocolo telnet não criptografado. O SSH (e seu subprotocolo de transferência de arquivos SCP) garante que a conexão do seu computador local ao servidor seja criptografada e segura. A instalação base do OpenSSH já é bastante segura, mas podemos melhorá-la seguindo o guia acima.

Share: X/Twitter LinkedIn
#Segurança SSH

Receba novas postagens na sua caixa de entrada

Sem spam. Cancele a assinatura a qualquer momento.