SFTP é mais seguro do que FTP tradicional?

Sim, significativamente. FTP (e FTP over TLS = FTPS) transfere ficheiros sobre um protocolo projetado nos anos 70 sem encriptação nativa. SFTP (SSH File Transfer Protocol) é completamente diferente — é um subsistema do SSH que encripta todos os dados transferidos. Credenciais, comandos e conteúdo dos ficheiros estão todos protegidos. FTP simples não deve ser usado em ambientes de produção.

O que é um utilizador SFTP chrooted e porque usar?

Um utilizador SFTP chrooted é confinado a um diretório específico do servidor e não pode navegar fora dele. Por exemplo, um utilizador de cliente que só precisa de acesso a /var/www/site-cliente não consegue ver /etc, /home ou outros diretórios do servidor. Essencial para dar acesso a clientes, designers ou developers externos sem expor o resto do sistema.

Como configurar autenticação SSH por chave pública?

O utilizador gera um par de chaves RSA/ED25519 no seu computador (chave privada fica no computador, pública vai para o servidor). A chave pública é adicionada ao ficheiro ~/.ssh/authorized_keys no servidor. SSH aceita o login se a chave privada corresponde. Vantagens: sem password para farejar na rede, sem brute force possível, revogar acesso é simples (remover a chave pública).

O FTP está completamente obsoleto?

Para transferência de ficheiros em servidores de produção, sim — deve ser substituído por SFTP. Para alguns casos específicos (dispositivos de hardware antigos que só suportam FTP, transferência de dados internos não sensíveis em rede privada), FTP pode ainda ser usado. Mas para acesso a ficheiros de sites web, dados de clientes ou qualquer ambiente com dados sensíveis, SFTP é o único standard aceitável.

Servidores & Infraestrutura

Configuração SFTP e SSH:
acesso seguro ao servidor com chave pública e utilizadores isolados

Configuração segura de SSH e SFTP: autenticação por chave pública, utilizadores SFTP chrooted por cliente ou projeto, permissões corretas e eliminação do FTP inseguro.

Configurar SFTP seguro Ver o que está incluído →

SSH hardening completo — desativar login root, password auth, protocolo 1, porta personalizada e configurações de timeout para sessões inativas.

Configuração de chaves públicas — geração de par de chaves para cada utilizador ou importação de chaves existentes, com instalação no authorized_keys e testes de conexão.

Utilizadores SFTP chrooted — configuração de utilizadores SFTP isolados em diretórios específicos (por cliente, por projeto) que não podem aceder ao resto do sistema.

Permissões de ficheiros e diretórios — configuração de ownership e permissões corretas para ficheiros web (www-data, PHP-FPM user) garantindo segurança sem bloquear o funcionamento do site.

Migração de FTP para SFTP — transformação de contas FTP existentes para SFTP, atualização de credenciais em clientes FileZilla/WinSCP e validação de conexões.

Acesso restrito por IP (opcional) — restrição de acesso SSH e SFTP a IPs conhecidos (escritório, VPN corporativa) para eliminar tentativas de acesso externo.

Documentação de acessos — documento com lista de utilizadores, permissões, diretórios acessíveis e instruções de conexão para FileZilla, VS Code Remote ou outros clientes.

Formação para a equipa — sessão de 30 minutos para a equipa aprender a conectar via SFTP com FileZilla ou WinSCP usando chave pública.

Configuração SFTP e SSH:
acesso seguro ao servidor com chave pública e utilizadores isolados

Tudo o que recebe na configuração de SFTP e SSH

SFTP seguro, utilizadores isolados, sem FTP inseguro

Configuração SFTP e SSH:acesso seguro ao servidor com chave pública e utilizadores isolados

Tudo o que recebe na configuração de SFTP e SSH

SFTP seguro, utilizadores isolados, sem FTP inseguro

Configuração SFTP e SSH:
acesso seguro ao servidor com chave pública e utilizadores isolados