SSH: Como usar chaves e acessar servidores com segurança

Published On - 25 de setembro de 2023

Redação Artigos
Acesse chave SSH

Descubra como o acesso SSH com par de chaves revoluciona a segurança de servidores, facilitando transferências e administração de servidores Linux.

O que é SSH e a importância das chaves

SSH, abreviação para Secure Shell, é mais do que apenas letras. Imagine um túnel seguro em uma internet cheia de ameaças, esse é o SSH.

É um protocolo que oferece comunicação segura em redes não seguras, sendo crucial para administradores de servidores. A autenticação no SSH pode ser feita através de senhas, mas a verdadeira estrela aqui são os pares de chaves: uma pública e uma privada. Ao invés de se basear em senhas que podem ser decifradas ou adivinhadas, o uso de chaves traz uma camada extra de segurança.

Quando bem gerenciado, este método praticamente elimina os riscos associados a ataques de força bruta, uma vez que a chave privada, mantida em segredo pelo usuário, age como uma espécie de senha digital.

Par de chaves: pública e privada

No coração do SSH estão as chaves criptográficas. Mas o que são essas chaves?

Imagine uma fechadura e uma chave: a chave pública é a fechadura, aberta a todos, enquanto a chave privada é a chave que a abre, mantida apenas por você. A chave pública, como o nome indica, pode ser compartilhada com qualquer pessoa ou servidor. Ela é usada para criptografar informações. Já a chave privada deve permanecer secreta e é usada para descriptografar as informações criptografadas pela chave pública.

A beleza deste sistema é que mesmo que alguém tenha sua chave pública, ela é inútil sem a chave privada correspondente. Assim, quando você tenta se conectar a um servidor via SSH, o servidor criptografa uma mensagem usando sua chave pública. Se você pode descriptografála com sua chave privada, isso prova sua identidade e o servidor permite seu acesso. Este processo ocorre em milissegundos e fornece uma maneira segura de autenticação sem a necessidade de senhas.

Descomplicando

Imagine que você tem uma caixa valiosa que deseja proteger. Esta caixa tem uma fechadura única, e só pode ser aberta com uma chave específica. Em vez de criar uma chave física, você decide fazer algo diferente: cria um molde que qualquer pessoa pode usar para criar uma chave temporária.

Este molde é a sua chave pública. Você pode compartilhá-lo com qualquer pessoa e até mesmo colocá-lo em uma praça pública. As pessoas podem usar este molde para fazer uma chave que consegue fechar a caixa, mas curiosamente, essa chave não pode abri-la novamente, apenas o molde original pode.

Sua chave original, aquela que pode abrir e fechar a caixa, é a chave privada. Você guarda esta chave em um local seguro, onde mais ninguém além de você pode encontrá-la ou usá-la.

Agora, imagine que um amigo quer lhe enviar uma mensagem secreta. Ele pega a mensagem, coloca dentro da caixa e usa o molde da chave pública que você deixou na praça para trancar a caixa. Ele lhe envia a caixa, e você, com sua chave privada, é o único que pode abrir e ler a mensagem.

Este processo garante duas coisas: Primeiro, que apenas você pode ler a mensagem, já que apenas sua chave privada pode abrir a caixa. E segundo, que a mensagem realmente veio daquele amigo, pois ele usou o molde de chave que você compartilhou publicamente.

Assim como na parábola, no mundo digital, a chave pública (molde) é usada para criptografar (fechar) informações, e a chave privada é usada para descriptografar (abrir) essas informações. A beleza do sistema SSH com par de chaves é que ele oferece uma maneira robusta e confiável de garantir a identidade e a segurança das informações trocadas entre máquinas e usuários.

Tipos de Chaves Criptográficas

Não todas as chaves são criadas da mesma maneira. Existem vários algoritmos de criptografia que podem ser usados para gerar pares de chaves SSH, e cada um tem suas próprias vantagens:

  • RSA: Um dos mais antigos e amplamente utilizados, RSA é baseado na dificuldade de fatorar grandes números primos. Chaves RSA são frequentemente usadas em tamanhos que variam de 2048 a 4096 bits, sendo 2048 o mais comum.
  • DSA (DSS): Este é baseado em algoritmos de assinatura digital e é padrão em muitos sistemas. No entanto, ele é limitado a chaves de 1024 bits, que são consideradas menos seguras hoje em dia.
  • ECDSA: Usa criptografia de curva elíptica, que pode oferecer segurança semelhante com chaves mais curtas, economizando largura de banda.
  • ED25519: Uma implementação recente usando criptografia de curva elíptica, que oferece alta segurança com chaves de tamanho fixo de 256 bits.

A escolha do tipo de chave depende da finalidade e das necessidades de segurança. Para novos usuários, RSA ou ED25519 são boas escolhas devido à sua ampla aceitação e robustez.

Como gerar seu par de chaves

Linux (Linha de Comando):

  1. Abra o terminal.
  2. Digite ssh-keygen -t rsa -b 4096 para criar uma chave RSA de 4096 bits.
  3. Você será solicitado a fornecer um local para salvar as chaves. Pressione Enter para aceitar o local padrão (~/.ssh/id_rsa para chave privada e ~/.ssh/id_rsa.pub para chave pública).
  4. Uma senha pode ser definida para a chave privada como uma camada adicional de segurança. Se optar por não configurar, pressione Enter.

Windows 10 ou superior (Linha de Comando com OpenSSH):

  1. Instale o cliente OpenSSH através das “Funcionalidades Opcionais” nas Configurações do Windows.
  2. Abra o PowerShell ou CMD.
  3. Siga as mesmas etapas acima, começando pelo ssh-keygen.

Windows (Via PuTTY):

  1. Baixe e instale PuTTY e PuTTYgen.
  2. Abra o PuTTYgen e clique em “Generate”.
  3. Mova o mouse aleatoriamente na área da janela para gerar entropia.
  4. Salve a chave pública e privada em locais seguros.

Criar e gerenciar chaves SSH é fundamental para garantir que seus acessos sejam seguros. As chaves criptográficas, quando bem manejadas, são uma ferramenta poderosa contra acessos não autorizados.

Transferência de arquivos com segurança via SSH

O SSH não se limita apenas ao acesso remoto para execução de comandos. Ele também possui um irmão poderoso chamado SCP (Secure Copy Protocol) que é usado para transferir arquivos com a mesma segurança do SSH. Outra opção popular é o SFTP (Secure File Transfer Protocol).

Utilizando SCP no Linux:

Para transferir um arquivo do seu computador local para um servidor remoto:

scp /caminho/local/do/arquivo username@servidor:/caminho/remoto/

Para transferir um arquivo de um servidor remoto para seu computador local:

scp username@servidor:/caminho/remoto/do/arquivo /caminho/local/

Utilizando SCP no Windows (com OpenSSH)

As mesmas instruções do Linux podem ser seguidas no Windows se o cliente OpenSSH estiver instalado.

SFTP para Transferências:

Ao contrário do SCP, que é baseado em comandos, o SFTP permite que você interaja em uma sessão, semelhante ao FTP tradicional, mas com a segurança do SSH. Após conectar usando sftp username@servidor, você pode usar comandos como ls, cd, get (baixar) e put (enviar) para gerenciar e transferir arquivos.

Manter seus dados seguros durante a transferência é tão importante quanto garantir um acesso seguro, e o SSH oferece ferramentas robustas para isso.

Gerenciando e Administrando Servidores via SSH

O SSH é a ferramenta de escolha para administradores de sistemas que desejam gerenciar servidores de maneira remota. Com ele, não apenas o acesso é seguro, mas também é versátil. Aqui estão algumas das tarefas comuns que você pode realizar:

Execução Remota de Comandos:

Você não precisa iniciar uma sessão SSH completa para executar um comando. Por exemplo:

ssh username@servidor 'comando'

Este comando executa o ‘comando’ especificado diretamente no servidor remoto.

Tunelamento e Redirecionamento de Portas:

O SSH permite criar túneis seguros, que são úteis para encaminhar tráfego de portas específicas. Por exemplo, você pode redirecionar o tráfego de uma porta local para uma porta no servidor remoto.

Monitoramento de Servidores:

Com o SSH, você pode facilmente monitorar recursos, verificar logs e instalar software. Comandos como top ou htop permitem que você monitore recursos em tempo real, enquanto tail pode ser usado para verificar logs.

Segurança Aprimorada com Chaves:

Além de usar chaves em vez de senhas, para segurança adicional, você pode configurar o servidor SSH para recusar conexões por senha, forçando o uso de autenticação por chave.

Configurações Personalizadas:

O arquivo de configuração principal do SSH, geralmente localizado em /etc/ssh/sshd_config, permite uma ampla gama de personalizações. Desde a mudança da porta padrão até a limitação dos usuários que podem acessar, as opções são abundantes.

Em resumo, o SSH é uma ferramenta indispensável que vai além da simples execução de comandos, permitindo uma administração e gerenciamento completos de servidores.

Boas práticas de segurança ao usar SSH

Embora o SSH seja uma ferramenta poderosa, a maneira como o utilizamos determina o nível real de segurança que podemos alcançar. Aqui estão algumas dicas para maximizar a segurança do seu servidor:

1. Desative o login como root: Evite permitir o acesso direto ao usuário root via SSH. Em vez disso, entre como um usuário normal e eleve seus privilégios com sudo quando necessário.

2. Use autenticação baseada em chave: Como discutido, usar pares de chaves em vez de senhas é mais seguro. Desative a autenticação de senha no arquivo sshd_config com a linha PasswordAuthentication no.

3. Mantenha seu software atualizado: Certifique-se de que seu servidor SSH esteja sempre atualizado para garantir que as vulnerabilidades conhecidas estejam corrigidas.

4. Altere a porta padrão: Mudar a porta padrão do SSH (22) para outra pode ajudar a reduzir ataques automatizados.

5. Implemente um firewall: Use ferramentas como ufw ou firewalld para restringir o acesso ao seu servidor.

6. Monitore os logs de acesso: Regularmente, verifique os logs de acesso em /var/log/auth.log ou similar para qualquer atividade suspeita.

7. Utilize ferramentas de proteção: Softwares como Fail2Ban podem monitorar tentativas de login e bloquear IPs após tentativas de login malsucedidas.

8. Backup regularmente: Sempre tenha backups atualizados de suas configurações e dados. Em caso de qualquer problema, você terá uma maneira de restaurar seu servidor.

Lembrando, a segurança é uma jornada, não um destino. Constantemente aprenda e atualize-se sobre as melhores práticas para garantir que seus servidores e dados estejam seguros.