O que é hardening de servidor e porque é necessário?

Hardening é o processo de reduzir a superfície de ataque de um servidor: desativar serviços que não são usados, remover pacotes desnecessários, ajustar permissões de ficheiros sensíveis, configurar parâmetros do kernel para resistência a ataques de rede, e configurar auditoria de eventos. Um servidor por padrão (mesmo após uma instalação "mínima") tem muitos serviços e configurações que não são necessários em produção.

O que é o CIS Benchmark e é o padrão que seguem?

CIS Benchmark (Center for Internet Security) é um conjunto de boas práticas de segurança internacionalmente reconhecido para configurar sistemas de forma segura. Existem benchmarks específicos para cada distribuição Linux (Ubuntu, AlmaLinux, Debian). Usamos o CIS Benchmark como referência base e adaptamos ao contexto específico do servidor — algumas recomendações CIS são demasiado restritivas para ambientes de hosting web.

O hardening pode quebrar aplicações existentes?

Sim, se feito sem cuidado. Algumas configurações de sysctl (como restrições de chamadas de sistema) ou permissões de ficheiros mais restritivas podem quebrar aplicações que dependem de comportamentos menos seguros. Por isso, aplicamos hardening progressivamente, testando aplicações após cada alteração, e documentamos tudo para rollback rápido se necessário.

O que é o auditd e porque devo ativá-lo?

auditd é o subsistema de auditoria do kernel Linux que regista eventos de segurança: logins SSH, execução de comandos com sudo, alterações a ficheiros sensíveis como /etc/passwd e /etc/sudoers, e outros eventos definidos nas regras de auditoria. Em caso de comprometimento, os logs do auditd são freqüentemente a fonte mais valiosa para forensics e perceber o que o atacante fez.

Servidores & Infraestrutura

Hardening de Servidores Linux:
superfície de ataque mínima seguindo CIS Benchmark

Hardening profissional de servidores Linux: SSH hardening, desativação de serviços desnecessários, permissões corretas, sysctl seguro, auditd e configuração de segurança seguindo CIS Benchmark adaptado ao contexto de hosting web.

Hardening do servidor Ver o que está incluído →

SSH hardening completo — desativar login root, password authentication desativado, porta personalizada, protocolos limitados a SSH2, MaxAuthTries e ClientAlive configurados.

Desativação de serviços desnecessários — identificação e desativação de serviços não usados que aumentam a superfície de ataque (cups, avahi, NFS, rpcbind conforme aplicação).

Permissões de ficheiros sensíveis — /etc/passwd, /etc/shadow, /etc/sudoers, private keys e outros ficheiros críticos com permissões corretas que impedem leitura por utilizadores não privilegiados.

Configuração de sysctl segurança — parâmetros de kernel para proteção: desativar IP forwarding não necessário, SYN cookies contra SYN flood, ICMP redirect protection e outros parâmetros de rede.

Política de passwords e sudo — complexidade mínima de passwords, expiração, configuração de sudoers com princípio de mínimo privilégio e log de comandos sudo.

Auditd e logging de segurança — configuração do auditd com regras para monitorizar eventos críticos: logins, sudo, alterações a ficheiros de configuração e execução de comandos privilegiados.

Atualizações de segurança automáticas — configuração de unattended-upgrades (Ubuntu/Debian) ou dnf-automatic (AlmaLinux) para aplicar patches de segurança automaticamente sem intervenção manual.

Relatório de compliance — verificação do servidor contra CIS Benchmark após o hardening, com relatório de controlos aplicados, controlos não aplicáveis e justificações.

Hardening de Servidores Linux:
superfície de ataque mínima seguindo CIS Benchmark

Tudo o que recebe no hardening do servidor Linux

Servidor Linux com superfície de ataque mínima e auditoria completa

Hardening de Servidores Linux:superfície de ataque mínima seguindo CIS Benchmark

Tudo o que recebe no hardening do servidor Linux

Servidor Linux com superfície de ataque mínima e auditoria completa

Hardening de Servidores Linux:
superfície de ataque mínima seguindo CIS Benchmark