Servidores Linux são a espinha dorsal de aplicações modernas. Mesmo sendo conhecidos pela robustez, o ambiente fica vulnerável sem práticas constantes de hardening. Equipes enxutas precisam de um processo repetível e eficiente para garantir segurança. Este guia apresenta um checklist mensal abrangente que pode ser aplicado em VPS ou servidores dedicados OTH Host, com foco em prevenção, detecção e resposta rápida.
1. Revisão de patches e atualizações
- Verifique updates críticos do sistema (kernel, glibc, OpenSSL). Utilize ferramentas como
unattended-upgrades,yum-cronou pipelines de automação. - Atualize pacotes de serviços expostos (web server, SSH, banco de dados). Registre versão aplicada e mantenha histórico.
- Revise mudanças de configuração após atualizações para garantir compatibilidade.
2. Auditoria de contas e acessos
- Liste usuários locais (
getent passwd) e confirme se cada conta é necessária. Desative contas inativas e aplique política de expiração. - Revise grupo
sudoewheel, garantindo princípio do menor privilégio. - Confirme configuração de SSH: autenticação por chave, protocolo 2,
PermitRootLogin no,MaxAuthTriesadequado e MFA onde possível.
3. Políticas de senha e TLS
Implemente requisitos de complexidade e rotação. Utilize PAM (pam_pwquality) e configure bloqueio temporário após tentativas falhas (pam_tally2). Revise certificados TLS (validade, algoritmo) e renove antecipadamente. Automatize emissão com Let’s Encrypt ou use certificados gerenciados pela OTH Host.
4. Verificações de integridade
- Execute varreduras com AIDE, Tripwire ou Wazuh para detectar alterações em arquivos de sistema.
- Monitore hashes de scripts críticos e compare com baseline.
- Cheque permissões de diretórios sensíveis (
/etc,/var/www,/home).
5. Firewall e controles de rede
Revise regras de firewall (iptables, nftables, firewalld) e garanta que apenas portas necessárias estejam abertas. Atualize listas de IP confiáveis, reforce fail2ban/CSF para mitigação de brute force e verifique logs de bloqueios incomuns. Utilize redes privadas para comunicação entre serviços internos.
6. Hardening de serviços
- Web servers: ative HTTP/2, cabeçalhos de segurança (HSTS, CSP), configure TLS forte (TLS 1.2+). Remova módulos não utilizados.
- Banco de dados: restrinja acessos a IP específicos, force conexões TLS, revise usuários e privilégios, habilite auditoria.
- Containers: mantenha imagens atualizadas, use
docker scanoutrivy, defina limites de recursos.
7. Logs e observabilidade
Garanta que logs de sistema (syslog, journald) e aplicação estejam sendo enviados para central SIEM ou stack ELK/Prometheus. Configure retenção alinhada a requisitos legais e habilite alertas para eventos críticos (autenticação falha, escalonamento de privilégio, modificações de configuração).
8. Backup e recuperação
Valide backups completos e incrementais. Execute testes de restauração mensalmente para garantir integridade. Armazene cópias em locais distintos (off-site) e use criptografia. Registre tempo de recuperação e compare com RTO/RPO definidos.
9. Escaneamento de vulnerabilidades
Rode scanners como OpenVAS, Nessus ou serviços OTH Host e trate findings conforme severidade. Priorize CVEs críticos, acompanhe remediação e documente exceções aprovadas.
10. Documentação e melhoria contínua
Atualize runbooks com mudanças aplicadas, scripts e lições aprendidas. Mantenha inventário de ativos, atribua responsáveis e registre datas do checklist. Inclua auditorias trimestrais para revisão de políticas, garantindo que o processo evolua com o ambiente.
Conclusão
Hardening não é evento único, mas ciclo contínuo. Com um checklist mensal estruturado e suporte da OTH Host (monitoramento, backups gerenciados, SRE 24/7), mesmo equipes reduzidas conseguem manter servidores Linux protegidos, confiáveis e prontos para auditar a qualquer momento.