SSH e SFTP: Como Aceder ao Servidor de Forma Segura

Para gerir um servidor — carregar ficheiros, editar configurações, executar comandos — é preciso ter acesso a ele. O SSH e o SFTP são os protocolos que tornam esse acesso possível e, sobretudo, seguro. Perceber o que são e como usá-los corretamente é essencial para qualquer empresa com infraestrutura própria, mesmo que não seja quem mexe diretamente no servidor.

O que é o SSH

SSH (Secure Shell) é o protocolo que permite ligar-se a um servidor remoto e executar comandos como se estivesse sentado à frente dele — mas através de uma ligação encriptada. É a porta de entrada para administrar um servidor Linux: instalar software, configurar serviços, diagnosticar problemas. Tudo o que viaja por SSH é cifrado, o que significa que ninguém pode interceptar as comunicações ou as credenciais.

O que é o SFTP

SFTP (SSH File Transfer Protocol) é o "primo" do SSH dedicado à transferência de ficheiros. Permite carregar e descarregar ficheiros do servidor de forma segura, com a mesma encriptação do SSH. É o substituto seguro do antigo FTP, que enviava tudo — incluindo passwords — em texto simples, sem qualquer proteção.

Porque não usar o FTP tradicional

Ainda há servidores a usar FTP simples, e é um risco sério. O FTP envia as credenciais e os ficheiros sem encriptação, o que significa que podem ser interceptados em trânsito. Numa era em que a segurança dos dados é crítica, transferir ficheiros por FTP não cifrado é uma vulnerabilidade que não tem justificação. O SFTP oferece a mesma comodidade com proteção completa.

Password ou chave? A grande diferença

Há duas formas de autenticar uma ligação SSH/SFTP:

• Por password — simples, mas vulnerável: passwords podem ser adivinhadas, roubadas ou quebradas por ataques de força bruta que tentam milhares de combinações.
• Por chave — usa um par de chaves criptográficas (uma pública no servidor, uma privada no seu computador). É incomparavelmente mais seguro: sem a chave privada, ninguém entra, por mais tentativas que faça.

A autenticação por chave é a prática recomendada para qualquer acesso sério a um servidor. As passwords, sozinhas, são o elo mais fraco.

Dar acesso à equipa de forma controlada

Quando várias pessoas precisam de aceder ao servidor, o erro comum é partilharem todas a mesma conta e password. O correto é:

• Uma conta por pessoa, com a sua própria chave — assim sabe-se quem fez o quê.
• Permissões ajustadas ao que cada um precisa: nem toda a gente deve ter acesso total.
• Acesso a ficheiros sem acesso administrativo — é possível dar a alguém apenas SFTP para gerir ficheiros, sem lhe dar o controlo total do servidor.
• Remover acessos assim que alguém deixa de precisar deles ou sai da empresa.

Boas práticas de segurança no acesso

• Autenticação por chave em vez de password.
• Restringir o acesso a endereços IP de confiança sempre que possível.
• Desativar o acesso direto da conta de administrador máximo (root), usando contas individuais com elevação de privilégios quando necessário.
• Proteger contra força bruta com ferramentas que bloqueiam tentativas repetidas.
• Registar os acessos para auditoria.

Acesso seguro é a base de tudo

O acesso ao servidor é, literalmente, as chaves do reino: quem o tem pode fazer tudo. Por isso, configurá-lo com segurança — encriptação, chaves em vez de passwords, contas individuais, permissões mínimas — não é um detalhe técnico, é uma decisão de proteção do negócio. Um servidor bem gerido começa por um acesso bem gerido. É um daqueles fundamentos invisíveis que, quando estão bem feitos, evitam os piores incidentes.