Guia Completo: Checklist Essencial Pós-Instalação de Servidor Linux

Configurar um servidor Linux recém-instalado de forma correta é crucial para garantir segurança, desempenho e estabilidade. Este guia detalha um checklist completo pós-instalação, cobrindo desde atualizações até monitoramento.

1. Atualizações e Patches de Segurança

Manter seu servidor atualizado é a primeira medida de segurança:

• Atualizar repositórios:

sudo apt update && sudo apt upgrade -y   # Debian/Ubuntu
sudo dnf update -y                        # CentOS/AlmaLinux/RHEL 8+

• Configurar atualizações automáticas (opcional):

sudo apt install unattended-upgrades -y   # Debian/Ubuntu
sudo dnf install dnf-automatic -y        # CentOS/AlmaLinux/RHEL

2. Configuração de Usuários e Permissões

Evite usar o root diretamente:

• Criar usuário administrativo:

sudo adduser nome_usuario
# Conceder permissões administrativas
sudo usermod -aG sudo nome_usuario  # (Ubuntu/Debian)
sudo usermod -aG wheel nome_usuario # (Almalinux/RHEL/Rocky)

3. Hardening de SSH: Protegendo o Acesso Remoto

O SSH é a porta de entrada para administradores e também para hackers. Vamos fechar as brechas.

1. Acesse o arquivo de configuração: sudo nano /etc/ssh/sshd_config
2. Desabilite o login do Root: Altere para PermitRootLogin no se deseja que login root seja bloqueado, ou .PermitRootLogin without-password se deseja que root seja feito apenas com chaves ssh.
3. Mude a porta padrão (Opcional): Altere Port 22 para uma porta alta (ex: Port 2552).
4. Desabilite senhas (Recomendado): Se usar chaves SSH, mude PasswordAuthentication no.
5. Clique aqui para SSH seguro além de mudar a porta

Reinicie o serviço para aplicar:

sudo systemctl restart ssh
ou 
sudo systemctl restart sshd

Teste fazer login mantendo uma conexão ativa. Assim você verifica se está conseguindo fazer login após as alterações.

4. Configuração de Firewall (UFW e Firewalld)

O firewall deve atuar sob o princípio do privilégio mínimo.

No Ubuntu/Debian (UFW):

sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow 22/tcp  # Substitua se mudou a porta do SSH
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw enable

No Almalinux/Rocky/RHEL (Firewalld):

sudo firewall-cmd --permanent --add-service=ssh
sudo firewall-cmd --permanent --add-service=http
sudo firewall-cmd --permanent --add-service=https
sudo firewall-cmd --reload

5. Instalação e configuração do CrowdSec

CrowdSec é uma plataforma open-source de segurança colaborativa que detecta e bloqueia ataques cibernéticos em servidores e redes.
Funciona analisando logs em tempo real, identificando comportamentos maliciosos e compartilhando IPs suspeitos com a comunidade.
Quanto mais servidores participam, maior a proteção coletiva contra ameaças.
Clique aqui e aprenda Como instalar Crowdsec

6. Otimização de Recursos e Swap

Evitar travamentos por falta de memória:

• Verificar RAM e Swap:

free -h
swapon --show

• Configurar ZRAM ou zswap em servidores com pouca RAM.
• Ajustar sysctl para desempenho de rede e I/O:

sudo nano /etc/sysctl.conf
net.ipv4.tcp_fin_timeout = 15
vm.swappiness = 10

Aplicar:

sudo sysctl -p

7. Configuração de Backup

Evitar perda de dados é essencial:

• Criar rotinas de backup automáticas:

rsync -avz /var/www/ /backup/www/

• Avaliar soluções: BorgBackup, Restic, Rclone.
• Verificar backups regularmente.
• Clique aqui e veja Como Configurar Backups Automáticos e Testes de Restore no Servidor Linux

8. Monitoramento e Logs

Monitorar o servidor garante que problemas sejam detectados cedo:

• Instalar ferramentas como: Zabbix, Prometheus, Netdata.
• Verificar logs do sistema:

journalctl -xe
tail -f /var/log/messages

• Configurar alertas de recursos críticos (CPU, RAM, disco).

9. Configuração de Serviços Essenciais

Dependendo da finalidade do servidor:

• Servidor web: Apache/Nginx + PHP-FPM
• Banco de dados: MySQL/MariaDB/PostgreSQL
• Cache: Redis ou Memcached
• Certificados SSL: Let’s Encrypt

10. Hardening e Boas Práticas de Segurança

• Remover pacotes e serviços desnecessários:

sudo dnf remove httpd*  # se não usar Apache

• Instalar ferramentas de segurança: Lynis, rkhunter, chkrootkit
• Configurar logs centralizados e auditoria: auditd

11. Kernel Linux

Clique aqui e Veja Hardening de kernel Linux e wordpress para servidores de produção

12. Checklist Final Pós-Instalação

1. Atualizações aplicadas e automáticas configuradas
2. Usuário admin criado, root desabilitado no SSH
3. Firewall ativo, portas essenciais liberadas
4. Crowdsec configurado
5. Swap/ZRAM configurado conforme RAM
6. Rotinas de backup implementadas
7. Monitoramento ativo com alertas
8. Serviços essenciais instalados e testados
9. Hardening de kernel Linux
10. Hardening básico aplicado

Este checklist garante que seu servidor Linux esteja seguro, otimizado e pronto para produção. Seguindo este guia, você minimiza riscos e melhora a estabilidade e desempenho do seu ambiente.

Clique aqui e veja nossos planos de gerenciamento de servidor.