{"id":5967,"date":"2018-07-31T11:13:01","date_gmt":"2018-07-31T14:13:01","guid":{"rendered":"http:\/\/wiki3.locaweb.com.br\/?post_type=ht_kb&#038;p=5967"},"modified":"2023-05-24T10:48:24","modified_gmt":"2023-05-24T13:48:24","slug":"como-melhorar-seguranca-dos-servidores-cloud","status":"publish","type":"ht_kb","link":"https:\/\/www.locaweb.com.br\/ajuda\/wiki\/como-melhorar-seguranca-dos-servidores-cloud\/","title":{"rendered":"Como melhorar a seguran\u00e7a dos servidores &#8211; Cloud"},"content":{"rendered":"    \t\t<div class=\"hts-messages hts-messages--info  hts-messages--withtitle hts-messages--withicon \"   >\r\n    \t\t\t<span class=\"hts-messages__title\">Informa\u00e7\u00e3o!<\/span>    \t\t\t    \t\t\t\t<p>\r\n    \t\t\t\t\tAbaixo listamos algumas boas pr\u00e1ticas para aumentar a seguran\u00e7a de seu servidor, evitando ataques, invas\u00f5es e\/ou perdas de dados. Vale ressaltar que as pr\u00e1ticas sugeridas s\u00e3o apenas dicas e que, sozinhas, podem n\u00e3o garantir 100% de seguran\u00e7a em seu ambiente.    \t\t\t\t<\/p>\r\n    \t\t\t    \t\t\t\r\n    \t\t<\/div><!-- \/.ht-shortcodes-messages -->\r\n    \t\t\n<h6>Via SSH<\/h6>\n    \t\t<div class=\"hts-toggle  \"  >\r\n    \t\t\t<div class=\"hts-toggle__title\">Mudar a porta do SSH<\/div>\r\n    \t\t\t<div class=\"hts-toggle__content\">\r\n    \t\t\t\t<div class=\"hts-toggle__contentwrap\">\r\n    \t\t\t\t\t<p>Apesar de o bypass ser uma mudan\u00e7a muito f\u00e1cil de ser realizada, o simples fato de alterar a porta padr\u00e3o em que o servi\u00e7o roda dificulta a a\u00e7\u00e3o de rob\u00f4s mais simples. Consequentemente, cada passo que voc\u00ea adicionar para dificultar um acesso n\u00e3o autorizado, ajuda.<\/p>\n<p>Para mudar a porta padr\u00e3o do servi\u00e7o de SSH, basta alterar a diretiva Port no arquivo <strong>\/etc\/ssh\/sshd_config<\/strong>, citado na dica anterior. Para o servi\u00e7o de SSH responder, por exemplo, na porta 2222, basta fazer a altera\u00e7\u00e3o no arquivo e reiniciar o servi\u00e7o:<\/p>\n<pre>root@cpro36320:~# vim \/etc\/ssh\/sshd_config\r\n\r\n# What ports, IPs and protocols we listen for Port 2222\r\n\r\n# Port 22 root@cpro36320:~# service ssh restart ssh stop\/waiting\r\nssh start\/running, process 28867\r\n\r\nroot@cpro36320:~#<\/pre>\n<p>\n    \t\t\t\t<\/div>\r\n    \t\t\t<\/div><!-- \/ht-toggle-content -->\r\n    \t\t<\/div>\r\n    \t\t\n    \t\t<div class=\"hts-toggle  \"  >\r\n    \t\t\t<div class=\"hts-toggle__title\">Bloquear ataques de bruteforce<\/div>\r\n    \t\t\t<div class=\"hts-toggle__content\">\r\n    \t\t\t\t<div class=\"hts-toggle__contentwrap\">\r\n    \t\t\t\t\t<p>Para bloquear ataques de bruteforce, existe algumas ferramentas como denyhosts e fail2ban, que bloqueiam, temporariamente, o endere\u00e7o IP do atacante para qualquer tentativa de acesso via SSH. O fail2ban pode ser configurado para bloquear acesso a outros servi\u00e7os como Apache, Asterisk e MySQL-auth, entre outros.<\/p>\n<p>Voc\u00ea tamb\u00e9m pode personalizar as a\u00e7\u00f5es a serem tomadas, mais do que apenas bloquear o atacante no iptables, como enviar e-mails de notifica\u00e7\u00f5es de alerta.<\/p>\n<p>Fail2ban<\/p>\n<p>Utilize o gerenciador de pacotes em nossa Distribui\u00e7\u00e3o Linux:<\/p>\n<ul>\n<li>Para CentOS, RedHat, Fedora e similares:<\/li>\n<\/ul>\n<pre>root@cpro36320:~# yum install fail2ban<\/pre>\n<ul>\n<li>Para Debian, Ubuntu, Mint e similares:<\/li>\n<\/ul>\n<pre>root@cpro36320:~# apt-get install fail2ban<\/pre>\n<p>O arquivo de configura\u00e7\u00e3o do fail2ban fica em <strong>\/etc\/fail2ban\/jail.conf<\/strong>. Voc\u00ea deve se ater aos seguintes par\u00e2metros:<\/p>\n<ul>\n<li><strong>ignoreip:<\/strong> define que redes ser\u00e3o ignoradas do monitoramento. Deve ser declarado no formato de CIDR, ex.: 192.168.1.0\/255.255.255.0 ou 192.168.1.0\/24;<\/li>\n<li><strong>bantime:<\/strong> tempo em segundos que o atacante ser\u00e1 banido;<\/li>\n<li><strong>maxretry:<\/strong> define o m\u00e1ximo de tentativas permitidas;<\/li>\n<li><strong>banaction:<\/strong> define qual ser\u00e1 a a\u00e7\u00e3o que o fail2ban vai tomar, o padr\u00e3o \u00e9 bloquear o acesso a todas as portas via iptables.<\/li>\n<\/ul>\n<p>Essas configura\u00e7\u00f5es s\u00e3o para qualquer servi\u00e7o e ficam dentro de<em> [DEFAULT]<\/em>. As diretivas espec\u00edficas para acesso SSH est\u00e3o agrupadas pela marca\u00e7\u00e3o [ssh] e, dentre elas, destacam-se as seguintes:<\/p>\n<ul>\n<li><strong>enable:<\/strong> habilita o servi\u00e7o;<\/li>\n<li><strong>port:<\/strong> define a porta a ser monitorada para o servi\u00e7o;<\/li>\n<li><strong>filter:<\/strong> define o filtro que ser\u00e1 usado pelo ao analisar os arquivos de logs;<\/li>\n<li><strong>logpath:<\/strong> define o caminho para o arquivo de log que ser\u00e1 usado durante o monitoramento;<\/li>\n<li><strong>maxretry:<\/strong> usado para sobreescrever o valor padr\u00e3o de tentativas global.<\/li>\n<\/ul>\n<p>O mais interessante \u00e9 que voc\u00ea pode ver os endere\u00e7os IPs sendo bloqueados e desbloqueados no log:<\/p>\n<pre>root@cpro36320:~# tail -f \/var\/log\/fail2ban.log<\/pre>\n<p>\n    \t\t\t\t<\/div>\r\n    \t\t\t<\/div><!-- \/ht-toggle-content -->\r\n    \t\t<\/div>\r\n    \t\t\n    \t\t<div class=\"hts-toggle  \"  >\r\n    \t\t\t<div class=\"hts-toggle__title\">N\u00e3o permitir acesso root<\/div>\r\n    \t\t\t<div class=\"hts-toggle__content\">\r\n    \t\t\t\t<div class=\"hts-toggle__contentwrap\">\r\n    \t\t\t\t\t<p>Evite realizar o acesso ao seu servidor Linux via usu\u00e1rio root, prefira sempre logar no ambiente com um usu\u00e1rio comum e assumir, ent\u00e3o, o acesso root com o comando <strong>sudo su<\/strong> ou <strong>sudo -i<\/strong>. Lembrando que:<\/p>\n<ul>\n<li>Ao utilizar o comando <strong>su<\/strong>, \u00e9 necess\u00e1rio informar a senha do root;<\/li>\n<li>Com o comando <strong>sudo<\/strong>, basta apenas a senha do usu\u00e1rio comum;<\/li>\n<\/ul>\n<p>Antes de bloquear o acesso root, lembre-se de j\u00e1 ter criado um usu\u00e1rio comum. Veja abaixo o exemplo de comando em Linux para criar um usu\u00e1rio:<\/p>\n<pre>root@cpro36320:~# adduser wsilva<\/pre>\n<ul>\n<li>Para bloquar o root, voc\u00ea dever\u00e1 editar o arquivo <strong>\/etc\/ssh\/sshd_config<\/strong>:<\/li>\n<\/ul>\n<pre>root@cpro36320:~# vim \/etc\/ssh\/sshd_config<\/pre>\n<ul>\n<li>A linha com o conte\u00fado <strong>PermitRootLogin yes<\/strong> deve ser alterada para <strong>PermitRootLogin<\/strong>. Depois, n\u00e3o se esque\u00e7a de gravar e sair do arquivo de configura\u00e7\u00e3o e, em seguida, reiniciar o servi\u00e7o de SSH:<\/li>\n<\/ul>\n<pre>root@cpro36320:~# sudo service ssh restart ssh stop\/waiting ssh\r\nstart\/running, process 30751\r\n\r\nroot@cpro36320:~#<\/pre>\n<p>\n    \t\t\t\t<\/div>\r\n    \t\t\t<\/div><!-- \/ht-toggle-content -->\r\n    \t\t<\/div>\r\n    \t\t\n<h6><strong>Dicas<\/strong><\/h6>\n    \t\t<div class=\"hts-toggle  \"  >\r\n    \t\t\t<div class=\"hts-toggle__title\">Mensagem que iniba o acesso<\/div>\r\n    \t\t\t<div class=\"hts-toggle__content\">\r\n    \t\t\t\t<div class=\"hts-toggle__contentwrap\">\r\n    \t\t\t\t\t<p>Essa \u00e9 uma t\u00e9cnica usada para assustar a atacante mais inexperiente.<\/p>\n<ul>\n<li>No arquivo <strong>\/etc\/ssh\/sshd_config<\/strong>, descomente a op\u00e7\u00e3o banner:<\/li>\n<\/ul>\n<pre>root@cpro36320:~# vim \/etc\/ssh\/sshd_config Banner \/etc\/issue.net<\/pre>\n<ul>\n<li>No arquivo <strong>\/etc\/issue.net<\/strong>, colocamos o texto e ascii art, se tivermos:<\/li>\n<\/ul>\n<pre>root@cpro36320:~# cat \/etc\/issue.net\r\n##############################################################\r\n# All connections are monitored here. #\r\n# Disconnect IMMEDIATELY if you are not an authorized user. #\r\n# LAWS will be applied in case of RULES VIOLATION. #\r\n##############################################################<\/pre>\n<p>Em seguida, basta reiniciar o servi\u00e7o SSH e acessar novamente para ver a mensagem inserida. <\/p>\n    \t\t\t\t<\/div>\r\n    \t\t\t<\/div><!-- \/ht-toggle-content -->\r\n    \t\t<\/div>\r\n    \t\t\n    \t\t<div class=\"hts-toggle  \"  >\r\n    \t\t\t<div class=\"hts-toggle__title\">Permitir acesso por chave ao inv\u00e9s de senha<\/div>\r\n    \t\t\t<div class=\"hts-toggle__content\">\r\n    \t\t\t\t<div class=\"hts-toggle__contentwrap\">\r\n    \t\t\t\t\t<p>Esta t\u00e9cnica consiste em gerar um par de chaves (uma chave p\u00fablica e uma chave privada) e enviar a chave p\u00fablica para o servidor. Ao acessar o servidor, n\u00e3o ser\u00e1 mais necess\u00e1rio digitar a sua senha.<\/p>\n<p>Para criar a chave, <a href=\"http:\/\/wiki3.locaweb.com.br\/wiki\/cadastrar-chave-ssh-no-servidor\/\" target=\"_blank\" rel=\"noopener noreferrer\">veja nosso procedimento<\/a>. <\/p>\n    \t\t\t\t<\/div>\r\n    \t\t\t<\/div><!-- \/ht-toggle-content -->\r\n    \t\t<\/div>\r\n    \t\t\n    \t\t<div class=\"hts-toggle  \"  >\r\n    \t\t\t<div class=\"hts-toggle__title\">Redes privadas<\/div>\r\n    \t\t\t<div class=\"hts-toggle__content\">\r\n    \t\t\t\t<div class=\"hts-toggle__contentwrap\">\r\n    \t\t\t\t\t<p>Uma t\u00e9cnica muito eficaz \u00e9 colocar os servidores em uma rede privada inacess\u00edvel. Nessa mesma rede, deixe um servidor exclusivo para acesso, chamado <strong>bastion<\/strong>. O acesso a qualquer servidor \u00e9 feito via bastion.<\/p>\n<p><strong>Servidores windows<\/strong><\/p>\n<div class=\"hts-messages hts-messages--info    \"   >\n<p>\n    \t\t\t\t\tAlgumas dicas se baseiam em t\u00e9cnicas que podem ser aplicadas tamb\u00e9m em servidores Windows, por\u00e9m, devemos ter aten\u00e7\u00e3o com outras brechas de seguran\u00e7a.    \t\t\t\t<\/p>\n<\/p><\/div>\n<p><!-- \/.ht-shortcodes-messages -->\n    \t\t<\/p>\n<p><strong>Mantenha seus servidores sempre atualizados:<\/strong> sempre instale as atualiza\u00e7\u00f5es de seguran\u00e7a disponibilizadas pela Microsoft, pelo menos uma vez por m\u00eas, elas normalmente corrigem falhas que podem ser exploradas por atacantes mal intencionados.<\/p>\n<ul>\n<li>Basta ir em <strong>Control Panel &gt; System and Security &gt; Windows Update<\/strong> para verificar se existe alguma atualiza\u00e7\u00e3o dispon\u00edvel. Voc\u00ea pode aproveitar para checar o que ser\u00e1 alterado com a atualiza\u00e7\u00e3o. Isso o ajuda a se prevenir e instalar as atualiza\u00e7\u00f5es dispon\u00edveis.<\/li>\n<\/ul>\n<p><strong>Bloqueie o acesso remoto para administradores:<\/strong> usu\u00e1rios administradores t\u00eam muitos privil\u00e9gios. N\u00e3o \u00e9 seguro acessar o servidor diretamente com esse tipo de usu\u00e1rio. Assim como no Linux \u00e9 recomendado bloquear o acesso, se necess\u00e1rio, fa\u00e7a login com um usu\u00e1rio comum e execute os programas que precisa como administrador. Lembre-se de que \u00e9 poss\u00edvel o acesso por meio do painel de administra\u00e7\u00e3o da Locaweb.<\/p>\n<ul>\n<li>No Windows, para remover esse privil\u00e9gio de acesso remoto, devemos acessar <strong>Computer Configuration &gt; Windows Settings &gt; Security Settings &gt; Local Policies &gt; User Rights Assignment<\/strong>.<\/li>\n<\/ul>\n<p><strong>Utilize firewalls:<\/strong> execute as tarefas do servidor com o firewall habilitado. Somente libere as portas que s\u00e3o necess\u00e1rias para que a aplica\u00e7\u00e3o relacionada ao servidor seja acessada. Voc\u00ea pode acessar o Firewall do Windows 2012 Server pelo <strong>Server Manager &gt; Tools &gt; Windows Firewall with Advanced Security<\/strong>. <\/p>\n    \t\t\t\t<\/div>\r\n    \t\t\t<\/div><!-- \/ht-toggle-content -->\r\n    \t\t<\/div>\r\n    \t\t\n    \t\t<div class=\"hts-toggle  \"  >\r\n    \t\t\t<div class=\"hts-toggle__title\">DMZ<\/div>\r\n    \t\t\t<div class=\"hts-toggle__content\">\r\n    \t\t\t\t<div class=\"hts-toggle__contentwrap\">\r\n    \t\t\t\t\t<p>Assim como no Linux, mostramos a t\u00e9cnica de acesso via Bastion no Windows. \u00c9 recomendado que seu servidor esteja em uma rede DMZ, protegendo sua rede interna ou privada.<\/p>\n    \t\t\t\t<\/div>\r\n    \t\t\t<\/div><!-- \/ht-toggle-content -->\r\n    \t\t<\/div>\r\n    \t\t\n    \t\t<div class=\"hts-messages hts-messages--info  hts-messages--withtitle hts-messages--withicon \"   >\r\n    \t\t\t<span class=\"hts-messages__title\">Conhe\u00e7a!<\/span>    \t\t\t    \t\t\t\t<p>\r\n    \t\t\t\t\tAproveite e conhe\u00e7a outros produtos da Locaweb, como o E-mail Locaweb, <a href=\"https:\/\/www.locaweb.com.br\/solucoes-de-email\/email-locaweb\/\" target=\"_blank\" rel=\"noopener noreferrer\">clique aqui<\/a> e saiba mais!    \t\t\t\t<\/p>\r\n    \t\t\t    \t\t\t\r\n    \t\t<\/div><!-- \/.ht-shortcodes-messages -->\r\n    \t\t\n","protected":false},"excerpt":{"rendered":"<p>Via SSH Dicas<\/p>\n","protected":false},"author":6,"comment_status":"closed","ping_status":"closed","template":"","format":"standard","meta":{"footnotes":""},"ht-kb-category":[118,106],"ht-kb-tag":[495,377],"class_list":["post-5967","ht_kb","type-ht_kb","status-publish","format-standard","hentry","ht_kb_category-vps-locaweb","ht_kb_category-cloud-server-pro","ht_kb_tag-categoriacloud-e-dedicados","ht_kb_tag-categoriavps-locaweb"],"_links":{"self":[{"href":"https:\/\/www.locaweb.com.br\/ajuda\/wp-json\/wp\/v2\/ht-kb\/5967","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.locaweb.com.br\/ajuda\/wp-json\/wp\/v2\/ht-kb"}],"about":[{"href":"https:\/\/www.locaweb.com.br\/ajuda\/wp-json\/wp\/v2\/types\/ht_kb"}],"author":[{"embeddable":true,"href":"https:\/\/www.locaweb.com.br\/ajuda\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/www.locaweb.com.br\/ajuda\/wp-json\/wp\/v2\/comments?post=5967"}],"version-history":[{"count":10,"href":"https:\/\/www.locaweb.com.br\/ajuda\/wp-json\/wp\/v2\/ht-kb\/5967\/revisions"}],"predecessor-version":[{"id":31578,"href":"https:\/\/www.locaweb.com.br\/ajuda\/wp-json\/wp\/v2\/ht-kb\/5967\/revisions\/31578"}],"wp:attachment":[{"href":"https:\/\/www.locaweb.com.br\/ajuda\/wp-json\/wp\/v2\/media?parent=5967"}],"wp:term":[{"taxonomy":"ht_kb_category","embeddable":true,"href":"https:\/\/www.locaweb.com.br\/ajuda\/wp-json\/wp\/v2\/ht-kb-category?post=5967"},{"taxonomy":"ht_kb_tag","embeddable":true,"href":"https:\/\/www.locaweb.com.br\/ajuda\/wp-json\/wp\/v2\/ht-kb-tag?post=5967"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}