Servidores & Infraestrutura

Configuração SFTP e SSH Seguro em Servidor:
acesso por chave pública, utilizadores isolados, FTP eliminado

Configuramos acessos SSH e SFTP seguros em servidores Linux: autenticação por chave pública, utilizadores SFTP chrooted por cliente ou projeto, permissões corretas de ficheiros e hardening completo do SSH. Migração de FTP inseguro para SFTP incluída.

SSH hardening completo Chaves públicas RSA/ED25519 Utilizadores SFTP chrooted Migração de FTP incluída
O que está incluído

Tudo o que recebe na configuração segura de SFTP e SSH

A configuração segura de acessos ao servidor é um dos passos mais críticos da infraestrutura — e um dos mais frequentemente negligenciados em servidores montados rapidamente.

SSH hardening completo — desativação de login root, desativação de autenticação por password, porta SSH personalizada, protocolo 1 desativado e timeouts de sessão inativa.
Configuração de chaves públicas — geração de par de chaves ED25519 ou RSA para cada utilizador, instalação no authorized_keys e testes de conexão com FileZilla, WinSCP ou terminal.
Utilizadores SFTP chrooted — criação de utilizadores SFTP isolados em diretórios específicos por cliente ou projeto, sem acesso ao resto do sistema de ficheiros.
Permissões de ficheiros e diretórios — configuração de ownership e permissões corretas para ficheiros web — www-data, PHP-FPM user — garantindo segurança sem bloquear o funcionamento do site.
Migração de FTP para SFTP — substituição de contas FTP existentes por SFTP, atualização de credenciais e configuração de clientes FileZilla ou WinSCP com chave pública.
Restrição de acesso por IP (opcional) — limitação de acesso SSH e SFTP a IPs conhecidos do escritório ou VPN corporativa, eliminando tentativas de acesso externo.
Documentação de acessos — documento com lista de utilizadores, permissões, diretórios acessíveis e instruções de conexão para cada membro da equipa.
Formação para a equipa — sessão de 30 minutos para a equipa conectar via SFTP com FileZilla ou WinSCP usando chave pública, incluindo gestão de chaves.
Casos de uso reais

Situações em que a configuração segura de SSH e SFTP é essencial

Um servidor com FTP ativo ou SSH mal configurado é uma vulnerabilidade aberta. Esta configuração é frequentemente o primeiro passo de uma gestão completa de servidor dedicado.

Servidores com FTP ainda ativo

Muitos servidores montados há anos ainda têm FTP em execução com passwords fracas. Substituímos por SFTP com chave pública e desativamos o FTP por completo — eliminando um vetor de ataque crítico.

Acesso de terceiros ao servidor

Designers, developers externos ou parceiros que precisam de acesso a ficheiros do site devem ter utilizadores SFTP chrooted — isolados ao seu diretório, sem ver o resto do servidor ou outros sites.

Equipas de desenvolvimento

Equipas técnicas que acedem ao servidor por SSH precisam de autenticação por chave pública, não por password. Gerimos as chaves da equipa e garantimos que o acesso root está bloqueado para utilizadores que não precisam dele.

O seu servidor ainda tem FTP ativo ou SSH com login por password?

Isso representa um risco de segurança significativo. Resolvemos em 24-48 horas. Veja também como a gestão de servidores dedicados mantém a segurança de forma contínua.

Como implementamos

O nosso processo de configuração de SFTP e SSH seguro

01

Auditoria de acessos existentes

Levantamento de todos os utilizadores, protocolos de acesso (FTP, SSH, SFTP) e permissões atuais. Identificamos contas desnecessárias, passwords fracas e configurações inseguras.

02

Hardening do SSH

Aplicamos o hardening do servidor SSH: desativação de login root, password auth e porta por defeito; configuração de timeouts e de allow list de utilizadores com acesso.

03

Criação de utilizadores e chaves

Criamos utilizadores SFTP chrooted para cada caso de uso, geramos ou importamos chaves públicas e configuramos permissões de diretório. Testamos a conexão de cada utilizador.

04

Migração e desativação do FTP

Migramos quaisquer utilizadores FTP existentes para SFTP, atualizamos credenciais em clientes como FileZilla e WinSCP, e desativamos o servidor FTP por completo.

05

Documentação e formação

Entregamos documento com todos os acessos configurados e realizamos sessão de formação para a equipa conectar com as novas credenciais nos seus clientes habituais.

Tecnologias utilizadas

Ferramentas e protocolos que usamos

OpenSSH SFTP Subsystem ED25519 / RSA 4096 Fail2ban FileZilla WinSCP VS Code Remote SSH SSH Agent Chroot Jail UFW / iptables
Porquê a Vuvo Hosting

O que nos distingue na configuração de SFTP e SSH

Hardening sem downtime

Aplicamos hardening SSH com cuidado para não perder o acesso ao servidor durante o processo — testamos cada alteração antes de confirmar e mantemos sempre uma sessão ativa durante a configuração.

Isolamento real por utilizador

Configuramos chroot corretamente — incluindo as permissões de diretório que o SSH exige para chroot funcionar — e validamos que cada utilizador realmente não consegue sair do seu diretório.

Permissões que funcionam

A configuração de permissões de ficheiros web é delicada — muito restritiva quebra o site, muito permissiva compromete a segurança. Encontramos o equilíbrio certo para o stack específico do cliente.

Entrega em 24-48 horas

Do diagnóstico à configuração completa e testada em 24 a 48 horas úteis. Para situações urgentes de servidor comprometido via FTP, priorizamos a resolução imediata.

Documentação completa

Entregamos documento com todos os utilizadores, permissões e instruções de conexão. Quando a equipa muda, sabem exatamente quem tem acesso e como revogar ou adicionar utilizadores.

Formação incluída

Realizamos sessão de formação para a equipa usar o SFTP com FileZilla ou WinSCP com chave pública. A segurança só funciona se a equipa souber usar as ferramentas corretamente.

Perguntas frequentes

Dúvidas sobre configuração segura de SFTP e SSH

SFTP é mais seguro do que FTP tradicional?

Sim, significativamente mais seguro. FTP foi projetado nos anos 70 sem qualquer encriptação — credenciais, comandos e conteúdo dos ficheiros são transmitidos em texto claro e intercetáveis em qualquer ponto da rede. SFTP (SSH File Transfer Protocol) é um subsistema completamente diferente: encripta toda a comunicação através do SSH, incluindo autenticação, comandos e dados transferidos. FTPS (FTP over TLS) adiciona encriptação ao FTP mas mantém a complexidade do protocolo original, incluindo problemas de firewall. Para ambientes de produção, SFTP com autenticação por chave é o único standard aceitável.

O que é um utilizador SFTP chrooted e porque usar?

Um utilizador SFTP chrooted é confinado a um diretório específico do servidor através do mecanismo chroot do Linux — não consegue navegar para fora do seu diretório raiz. Por exemplo, um utilizador criado para acesso ao site de um cliente fica restrito a /var/www/site-cliente e não tem acesso a /etc, /home, /var/www/outro-site ou qualquer outro diretório do sistema. Esta isolação é essencial sempre que se dá acesso a terceiros — designers, developers externos ou clientes — sem expor informação sensível de outros sites ou configurações do servidor.

Como configurar autenticação SSH por chave pública?

O utilizador gera um par de chaves (RSA 4096 bits ou ED25519 são os algoritmos recomendados) no seu computador: a chave privada fica guardada localmente e a chave pública é enviada para o servidor. A chave pública é adicionada ao ficheiro ~/.ssh/authorized_keys no servidor para o utilizador correspondente. Quando o utilizador tenta ligar via SSH, o servidor verifica se a chave privada corresponde à pública registada — sem transmitir passwords pela rede. As vantagens são claras: sem password para intercetar, sem possibilidade de ataque de força bruta por dicionário, e revogar acesso é tão simples como remover a linha da chave pública.

O FTP está completamente obsoleto?

Para transferência de ficheiros em servidores de produção com dados web ou dados de clientes, sim — deve ser substituído por SFTP sem exceção. O FTP simples não tem lugar em infraestrutura moderna: credenciais em texto claro, sem encriptação de dados e vulnerável a ataques man-in-the-middle. Existem casos muito específicos onde FTP pode ainda ser usado — dispositivos de hardware antigo que só suportam FTP, transferências internas em rede totalmente isolada — mas para qualquer site web, loja online ou sistema com dados sensíveis, SFTP com chave pública é o único protocolo aceitável.

Acesso seguro ao servidor — chaves públicas, utilizadores isolados, FTP eliminado

Diagnóstico gratuito de 30 minutos. Proposta com custo fixo e prazo garantido. Sem compromisso.