Se você tem um servidor VPS, o acesso mais comum é via SSH (Secure Shell). Se você usa uma senha (por mais forte que seja) para se conectar, seu servidor está vulnerável a ataques de força bruta.
Na **AtiveSite**, aplicamos o padrão de segurança profissional: **Chaves SSH**. Elas usam criptografia assimétrica, tornando o acesso praticamente imune a ataques remotos.
A Metáfora da Chave e do Cadeado
O SSH Key funciona com um par de chaves criptográficas:
- 🔑 **Chave Privada (Private Key):** É a sua identidade. Fica apenas no seu computador e deve ser protegida com uma senha (passphrase). **Nunca compartilhe.**
- 🔒 **Chave Pública (Public Key):** É o seu cadeado. Você a instala no servidor (na pasta `.ssh/authorized_keys`).
Quando você tenta logar, o servidor envia um desafio criptográfico. Apenas a sua chave privada consegue resolver o desafio do servidor. O servidor diz: “A chave combinou? Ok, pode entrar!”.
Fase 1: Criando Seu Par de Chaves
Abra seu terminal (Linux, Mac ou Git Bash no Windows) e use este comando:
ssh-keygen -t ed25519 -C "seu_email@empresa.com"
Este comando usa o algoritmo **Ed25519** (o mais moderno e seguro). Ele vai perguntar onde salvar e pedir a **passphrase** (não ignore essa senha).
Onde as Chaves Ficam?
Elas são salvas na pasta `~/.ssh/` (na pasta do seu usuário).
- `id_ed25519` (Sua **Chave Privada** – secreta).
- `id_ed25519.pub` (Sua **Chave Pública** – para o servidor).
Fase 2: Instalando a Chave no Servidor
Você precisa copiar o conteúdo da chave **PÚBLICA** (`id_ed25519.pub`) e colá-lo no servidor. O método mais fácil é o `ssh-copy-id` (se disponível):
ssh-copy-id usuario@seu_servidor.com
Se não for, você copia manualmente o texto da sua chave pública e cola no arquivo `~/.ssh/authorized_keys` do servidor, na última linha.
Fase 3: O Teste e a Blindagem
Agora tente logar:
ssh usuario@seu_servidor.com
O terminal deve pedir a **passphrase** (a senha que protege sua chave privada) e, em seguida, você está logado.
A Regra Final: Desative a Senha
Para o servidor ficar verdadeiramente seguro, você precisa desativar o login por senha (permitindo apenas a chave SSH). Edite o arquivo `/etc/ssh/sshd_config` no servidor e mude a linha:
PasswordAuthentication yes # PARA PasswordAuthentication no
Reinicie o serviço SSH. Seu servidor agora está quase impenetrável via força bruta.
FAQ: Dúvidas Cruciais sobre Chaves
1. Por que usar Keys é melhor que a senha mais forte?
A chave é um par criptográfico de centenas de caracteres, que não pode ser adivinhado por força bruta. Além disso, a chave privada só funciona se o atacante souber a passphrase E tiver acesso físico ao seu computador.
2. E se eu perder minha chave privada?
Você perde o acesso a todos os servidores onde a chave pública correspondente estava instalada. Você precisará de um meio alternativo de acesso (como a console da DigitalOcean) para logar, gerar um novo par de chaves e instalá-lo.
3. O que é ‘SSH Agent’?
O SSH Agent é um programa que armazena a chave privada na memória do seu PC após você digitar a passphrase uma vez. Isso permite que você acesse vários servidores sem digitar a senha dezenas de vezes.
4. Posso usar minha YubiKey como Chave SSH?
Sim! O protocolo FIDO2 permite que você use sua YubiKey para armazenar sua chave privada SSH de forma ainda mais segura. Ela exige o toque físico no token, o que é o nível máximo de blindagem.
5. O que é ‘autorized_keys’?
É o arquivo no servidor que lista todas as chaves públicas que têm permissão para acessar o servidor. Cada linha é uma chave pública permitida.
6. Posso usar Putty para isso?
Sim. O Putty (no Windows) tem uma ferramenta chamada PuTTYgen, que gera o par de chaves e permite carregar a chave privada para o login SSH.
7. Qual é a diferença entre RSA e Ed25519?
Ed25519 é o algoritmo moderno (mais curto e rápido) que oferece a mesma segurança que um RSA muito longo. A DigitalOcean e outros provedores recomendam o Ed25519 hoje.
8. Por que devo desativar o login de senha?
Para eliminar o risco de ataques de força bruta. Se o login por senha estiver desativado, o único meio de entrar é com a chave criptográfica, que não pode ser adivinhada.
Conclusão
O futuro da segurança não está na complexidade das senhas, mas na substituição delas por chaves criptográficas. Use o `ssh-keygen`, desative a senha e profissionalize seu acesso.
O Fim da Senha para Servidores: Como usar Chaves SSH (Guia Pragmático)
Tags para suas próximas buscas:
SSH Keys, Ed25519, PasswordAuthentication no, SSH Agent, Segurança de Servidores, DevOps Security, DigitalOcean SSH, Git SSH, Criptografia Assimétrica, Acesso Remoto Seguro.
