🇨🇳 简体中文 🇹🇼 繁體中文 🇯🇵 日本語 🇰🇷 한국어 🇮🇳 हिन्दी 🇧🇩 বাংলা 🇮🇩 Bahasa Indonesia 🇪🇸 Español 🇧🇷 Português 🇫🇷 Français 🇩🇪 Deutsch
Implantar site de documentação, painel de monitoramento e outras aplicações estáticas/leve / Conhecimento básico / Guia de hardening de segurança

Guia de hardening de segurança

não deixa seu servidor de IA virar máquina de sacar dinheiro de hacker

Implantação online

Muita gente monta o serviço todo feliz da vida, aí deixa porta exposta na internet, senha ainda é "123456". Aí um dia é escaneado, toma o servidor pra minerar moeda, fica arrependido de não ter feito hardening antes.

Esse comando fez o seguinte: sistema de arquivo só leitura, todos os privilégios tirados, memória limitada a 1G, CPU limitada a 1 núcleo, processos limitados a 100, internet completamente cortada. Bem pesado mesmo.

Ameaças de segurança comuns

['Porta exposta diretamente na rede pública, qualquer um consegue acessar', 'Rodar serviço com conta root, problema é desastre total', 'SSH ainda usa login de senha, força bruta é questão de segundos', 'Firewall não ativado, portas todas abertas', 'API Key hardcoded no código, empurrou GitHub vaza tudo', 'Nunca atualiza sistema, vulnerabilidade conhecida monte']

Plano completo de hardening de segurança

['Login chave SSH + desabilitar senha', 'Firewall UFW apenas portas necessárias abertas', 'Fail2ban bloqueia automaticamente IP de força bruta', 'Isolamento seguro de container Docker', 'Atualização de sistema regular + patches de segurança automático']

Primeiro passo: Login com chave SSH

Login por senha é um dos maiores riscos de segurança. Usa chave SSH, ataque de força bruta não funciona.

Gera a chave no seu computador local 
# Gerar par de chaves SSH (aperte Enter o tempo todo)
Desabilita login por senha no servidor 
# Editar configuração SSH

Segundo passo: Configurar firewall

UFW é firewall integrado do Ubuntu, simples e fácil de usar:

Configuração firewall UFW 
# Rejeitar por padrão todas as entradas

Terceiro passo: Fail2ban contra força bruta

Fail2ban monitora logs de login, se detectar múltiplas tentativas erradas de senha bloqueia IP automaticamente:

Instala e configura Fail2ban 
# Instalar

Quarto passo: Configuração de segurança do Docker

Container não é naturalmente seguro, alguns parâmetros tampam bastante buraco:

docker-compose.yml configuração de segurança 
services:
  openclaw:
    image: openclaw/openclaw:latest
    security_opt:
      - no-new-privileges:true
    read_only: true
    tmpfs:
      - /tmp
      - /var/tmp
    deploy:
      resources:
        limits:
          cpus: "2.0"
          memory: 2G
    environment:
      - OPENCLAW_API_KEY_FILE=/run/secrets/api_key
    secrets:
      - api_key

secrets:
  api_key:
    file: ./secrets/api_key.txt

resumo do processo de reforço

1

Login com chave SSH

Gera par de chaves, upload chave pública, desabilita login por senha e root direto.

2

Habilita firewall

Use UFW para fechar todas as portas desnecessárias, deixando só SSH, HTTP, HTTPS aberta.

3

Fail2ban anti-força bruta

Bloqueia automaticamente IP que tentou login errado várias vezes, poupa de ficar olhando log todo dia.

4

Isolamento Docker

Efeito de resfriamento

5

Atualização periódica

Habilita atualização automática de segurança, ou pelo menos faz apt upgrade manual uma vez por semana.

🚨 nunca bota API Key direto no código ou docker-compose.yml。Usa variável de ambiente ou Docker Secrets. Uma vez que bota no GitHub, bot automatizado acha em segundos e rouба sua Key.

Quer saber mais sobre comparação de segurança? Lê esse:comparação de segurança entre plataforma

MOLILI integra solução de segurança em nível empresarial, firewall, gerenciamento de chave, atualização automática tudo pré-configurado, pronto para usar fora da caixa. conhece MOLILI →
Esse artigo vai desde o zero, guia bem passo a passo desde comprar servidor até terminar implantação. Mesmo sem nunca ter mexido com servidor em nuvem, copiando consegue.