Hardening Linux para VPS: checklist de segurança para iniciantes

Proteger um VPS não exige conhecimento avançado — exige disciplina. Este guia reúne as práticas essenciais que você deve aplicar em qualquer servidor Linux novo, organizadas por prioridade de impacto.

O que é hardening e por que importa

Hardening significa "endurecer" o servidor, fechando portas, limitando acessos e eliminando configurações padrão que facilitam ataques. Um VPS desprotegido conectado à internet recebe tentativas de invasão em menos de 15 minutos.

Os principais vetores de ataque em VPS são:

• Força bruta SSH — bots tentando milhares de senhas por minuto.
• Serviços expostos — bancos de dados, painéis e APIs acessíveis publicamente.
• Software desatualizado — vulnerabilidades conhecidas que já têm exploit público.
• Permissões excessivas — tudo rodando como root sem necessidade.

Checklist completo de hardening

1. Atualizações de segurança

sudo apt update && sudo apt upgrade -y
sudo apt install unattended-upgrades -y
sudo dpkg-reconfigure -plow unattended-upgrades

Manter pacotes atualizados é a medida de segurança com maior impacto e menor esforço.

2. SSH seguro

• Desativar login por senha (PasswordAuthentication no).
• Desativar acesso root direto (PermitRootLogin no).
• Usar chaves Ed25519 ou RSA 4096.
• Considerar mudar a porta padrão (22 → outra).

Detalhes completos em Como acessar VPS via SSH.

3. Firewall ativo

• Permitir apenas portas necessárias.
• Negar tudo por padrão.
• Revisar regras mensalmente.

Tutorial completo em Configurar firewall UFW.

4. Fail2ban configurado

sudo apt install fail2ban -y
sudo systemctl enable fail2ban

Monitora tentativas de login e bane IPs ofensores automaticamente. Funciona para SSH, Nginx, Apache e outros serviços.

5. Princípio do menor privilégio

• Nunca opere como root no dia a dia.
• Crie usuários específicos por aplicação quando possível.
• Use sudo apenas quando necessário.
• Revise quem tem acesso sudo: grep -Po '^sudo.+:\K.*$' /etc/group

6. Desativar serviços desnecessários

Liste serviços ativos e desative o que não precisa:

systemctl list-units --type=service --state=running
sudo systemctl disable NOME_DO_SERVICO

Menos serviços rodando = menos portas abertas = menos superfície de ataque.

7. Backup testado

Backup sem teste de restore é apenas uma ilusão de segurança.

• Faça backup diário do banco e semanal completo.
• Armazene cópia fora do servidor.
• Teste restore periodicamente.

Guia completo em Backup automático de VPS.

8. Monitoramento contínuo

Um servidor que ninguém observa é um servidor que ninguém protege.

• Instale monitoramento de CPU, RAM e disco.
• Configure alertas para uso crítico.
• Revise logs semanalmente.

Veja como em Monitoramento com Netdata.

Tabela de prioridade

Erros que vemos com frequência

• Configurar segurança uma vez e nunca mais revisar — ameaças evoluem, suas defesas também devem.
• Backup sem teste — você só descobre que o backup falhou quando precisa dele.
• Rodar tudo como root — qualquer comprometimento de aplicação vira comprometimento total.
• Ignorar logs — eles contam a história de cada tentativa de ataque.

Perguntas frequentes (FAQ)

Hardening garante 100% de segurança?

Não existe 100% em segurança. Hardening reduz drasticamente o risco e dificulta a vida do atacante, que vai preferir alvos mais fáceis.

Preciso fazer hardening em VPS gerenciado?

Se o provedor gerencia o servidor, parte do hardening é responsabilidade dele. Mas práticas como backup, menor privilégio e monitoramento continuam sendo suas.

Com que frequência devo revisar a segurança?

Revisão mensal para regras de firewall e permissões. Revisão imediata quando há notificação de vulnerabilidade crítica nos pacotes que você usa.

Próximos passos

• Implemente backup seguro em Backup automático 3-2-1
• Monitore continuamente em Monitoramento com Netdata
• Prepare o ambiente com Docker no VPS

Actualizado em: 16/03/2026