Hardening Linux: práticas essenciais para servidores em produção
Servidores instalados com configuração padrão trazem risco evitável. Veja um baseline de hardening aplicável e auditável.
Um servidor Linux recém-instalado vem com serviços ativos que você não usa, permissões amplas e configurações pensadas para conveniência, não para segurança. Hardening é o processo de reduzir essa superfície: desligar o que não é necessário, endurecer o acesso e garantir que o sistema gere evidência do que acontece. Feito uma vez e padronizado, ele eleva o piso de segurança de toda a frota.
Este guia apresenta um baseline prático e defensivo para servidores em produção, organizado pelos pontos que mais reduzem risco: acesso por SSH, privilégios, firewall, atualizações, serviços e auditoria. Use os CIS Benchmarks como referência e adapte ao seu ambiente, em vez de aplicar uma lista de forma cega.
Acesso, SSH e privilégios
O SSH é a principal porta de entrada e merece atenção. Desabilite o login direto de root, exija autenticação por chave em vez de senha e restrinja quem pode acessar. Manter a autenticação por chave evita força bruta de senha, que é o ataque mais comum contra SSH exposto.
PermitRootLogin no
PasswordAuthentication no
X11Forwarding noPara privilégios, aplique menor privilégio: cada pessoa tem o próprio usuário, e a elevação acontece via sudo com registro. Evite contas compartilhadas, que destroem a rastreabilidade de quem fez o quê.
Firewall, serviços e atualizações
Habilite um firewall de host e libere apenas as portas necessárias, na lógica de negar por padrão. Liste os serviços ativos e desabilite tudo que não tem função clara: cada serviço a menos é uma vulnerabilidade potencial a menos. Atualizações de segurança devem ter um processo definido, com aplicação regular e prioridade para correções críticas, idealmente testadas em homologação antes de produção.
- Negar por padrão no firewall e liberar apenas o necessário
- Desabilitar serviços e pacotes sem função clara
- Aplicar atualizações de segurança em cadência definida
- Separar homologação de produção para validar mudanças
- Sincronizar horário com NTP para correlação confiável de logs
Logs, auditoria e proteção contra abuso
Centralize os logs em um destino remoto, para que um host comprometido não permita apagar a própria trilha. Habilite auditoria do sistema para registrar eventos sensíveis, como uso de sudo e alterações em arquivos críticos. Ferramentas como fail2ban reduzem força bruta bloqueando origens com muitas tentativas falhas, complementando a autenticação por chave.
Revise permissões de arquivos sensíveis e remova permissões de escrita desnecessárias. Muitos incidentes escalam porque um arquivo de configuração ou um binário tinha permissão ampla demais.
Checklist prático
- Desabilitar login direto de root no SSH
- Exigir autenticação por chave e desativar senha no SSH
- Dar a cada pessoa um usuário próprio e elevar via sudo com registro
- Habilitar firewall de host com negação por padrão
- Desabilitar serviços e pacotes sem função clara
- Definir processo de atualizações de segurança com cadência
- Centralizar logs em destino remoto
- Habilitar auditoria de eventos sensíveis (sudo, arquivos críticos)
- Usar fail2ban ou equivalente contra força bruta
- Revisar permissões de arquivos e remover escrita desnecessária
- Sincronizar horário via NTP
- Padronizar o baseline para novos servidores
Boas práticas
- Use os CIS Benchmarks como referência adaptada ao ambiente
- Padronize o baseline para que novos hosts nasçam endurecidos
- Centralize logs para preservar evidência mesmo sob comprometimento
- Aplique mudanças de hardening de forma incremental e validada
- Documente exceções com justificativa e prazo de revisão
- Monitore desvio em relação ao baseline ao longo do tempo
Erros comuns
SSH com senha e login de root habilitados
Alvo direto de força bruta e comprometimento com privilégio máximo.
Serviços padrão ativos sem uso
Ampliam a superfície de ataque e somam vulnerabilidades desnecessárias.
Logs apenas locais
Um host comprometido permite apagar a própria trilha de evidência.
Atualizações sem processo
Vulnerabilidades conhecidas permanecem abertas por longos períodos.
Contas compartilhadas
Perde-se a rastreabilidade de quem executou cada ação.
Quando procurar apoio especializado
Definir um baseline de hardening que reduza risco sem quebrar a operação, e padronizá-lo na frota, é o foco do serviço de Hardening da GUARDIASEC, que adapta os CIS Benchmarks ao seu ambiente e valida as mudanças de forma incremental.
Perguntas frequentes
Preciso seguir os CIS Benchmarks à risca?
Os CIS Benchmarks são uma excelente referência, mas devem ser adaptados ao seu ambiente. Alguns itens podem quebrar aplicações específicas ou não fazer sentido no seu contexto. A prática recomendada é aplicar o que reduz risco sem inviabilizar a operação e justificar as exceções, em vez de seguir a lista de forma cega.
Autenticação por chave SSH é mesmo mais segura que senha?
Sim, de forma significativa. Chaves eliminam o ataque de força bruta de senha, que é o mais comum contra SSH exposto, e são muito mais difíceis de adivinhar. O cuidado passa a ser proteger a chave privada com senha e controlar quais chaves têm acesso, removendo as que não são mais necessárias.
Por que centralizar logs fora do servidor?
Porque um atacante que compromete o host normalmente tenta apagar rastros para dificultar a investigação. Se os logs ficam apenas locais, ele consegue. Enviando os logs para um destino remoto e restrito, você preserva a evidência mesmo quando o servidor de origem foi comprometido.
Hardening elimina a necessidade de monitoramento?
Não. Hardening reduz a superfície e a probabilidade de comprometimento, mas não impede todo ataque. Monitoramento e detecção continuam necessários para identificar atividade suspeita e responder rápido. Os dois trabalham juntos: o hardening diminui o que pode dar errado e a detecção avisa quando algo acontece.
Guias relacionados
Próximo passo
Vamos avaliar os riscos do seu ambiente?
Conte seu cenário e definimos juntos o escopo certo. O objetivo é reduzir caminhos prováveis de ataque e elevar a maturidade de segurança, sem promessas absolutas.