---
title: "Proteger um VPS"
description: "Saiba como implementar medidas básicas de segurança para proteger o seu VPS de ataques e acessos não autorizados"
url: https://docs.ovhcloud.com/pt/guides/bare-metal-cloud/virtual-private-servers/secure-your-vps
lang: pt
lastUpdated: 2026-01-21
---
# Proteger um VPS

## Objetivo

Quando encomendar o seu VPS, pode escolher uma distribuição ou um sistema operativo a pré-instalar. O servidor está pronto para ser utilizado após a entrega. No entanto, cabe-lhe a si, enquanto administrador, implementar medidas que garantam a segurança e a estabilidade do seu sistema.

**Este manual fornece-lhe alguns conselhos gerais para proteger um servidor baseado em GNU/Linux.**

:::warning
A OVHcloud fornece-lhe serviços pelos quais é responsável em termos de configuração e gestão. Assim, é responsável pelo seu bom funcionamento.

Se encontrar dificuldades para realizar estas ações, contacte um fornecedor de serviços especializado e/ou discuta o problema com a nossa comunidade de utilizadores em [https://community.ovh.com/en/](https://community.ovh.com/en/). A OVHcloud não lhe pode fornecer apoio técnico a este respeito.
:::

## Requisitos

- Um [VPS](https://www.ovhcloud.com/pt/vps/) na sua conta OVHcloud
- Ter acesso de administrador (sudo) ao seu servidor através de SSH

## Instruções

:::info
Tenha em conta que se trata de um guia geral baseado nos sistemas operativos Ubuntu, Debian e CentOS. Algumas encomendas precisam de ser adaptadas à distribuição que utiliza e certos truques convidam-no a utilizar ferramentas de terceiros. Consulte a documentação oficial destas aplicações caso necessite de ajuda.

Se configurar o primeiro VPS da OVHcloud, recomendamos que consulte primeiro o nosso manual sobre [a implementação de um VPS](/pt/guides/bare-metal-cloud/virtual-private-servers/starting-with-a-vps.md).
:::

Os exemplos abaixo pressupõem que está ligado enquanto [utilizador com autorizações elevadas](/pt/guides/bare-metal-cloud/dedicated-servers/changing-root-password-linux-ds.md).

**Índice:**

- [Atualizar o sistema operativo](#os-update)
- [Criar e utilizar uma chave SSH](#sshkey)
- [Modificar a porta de escuta SSH](#changesshport)
- [Criar um utilizador com direitos restritos](#createuser)
- [Configurar firewall interna (iptables)](#iptables)
- [Instalar o Fail2ban](#fail2ban)
- [Configuração da Network Firewall OVHcloud](#networkfirewall)
- [Proteger o sistema e os dados](#backup)

### Atualizar o sistema operativo [](#)
Os programadores de distribuições e de sistemas operativos propõem atualizações frequentes de pacotes, muitas vezes por razões de segurança.

Assegurar a atualização da sua distribuição ou sistema operativo é um ponto essencial para proteger o seu VPS.

**Ubuntu**

Esta atualização será realizada em duas etapas:
- Atualização da lista dos pacotes:
```bash
sudo apt update
```
- Atualização dos pacotes reais:
```bash
sudo apt upgrade
```


**Debian**

```bash
sudo apt update && sudo apt upgrade
```
O comando é idêntico ao Ubuntu porque Debian e Ubuntu utilizam o `apt`.


**CentOS**

```bash
sudo yum update
```
No CentOS, o comando de atualização do sistema operativo utiliza `yum` or `dnf`, conforme a versão.


Esta operação deve ser efetuada regularmente para manter um sistema atualizado.

### Criar e utilizar uma chave SSH [](#)
A autenticação com chave SSH é uma das formas mais eficazes de proteger o acesso ao seu VPS.

Ao contrário da autenticação com palavra-passe, esta baseia-se num par de chaves criptográficas e permite reduzir significativamente os riscos de ataques por força bruta.
Recomendamos vivamente que configure uma chave SSH logo na primeira ligação ao seu servidor e que depois prefira esta metodologia para os seus acessos de administrador.

Consoante o seu ambiente e a ferramenta utilizada para se ligar ao seu VPS, consulte um dos seguintes guias:

- [Como criar e utilizar chaves de autenticação para ligações SSH aos servidores OVHcloud](/pt/guides/bare-metal-cloud/dedicated-servers/creating-ssh-keys.md)
- [Tutorial - Como utilizar o PuTTY para ligações SSH e autenticação](/pt/guides/web-cloud/web-hosting/ssh-using-putty-on-windows.md)

Estes guias detalham as etapas para:

- gerar um par de chaves SSH;
- implementar a chave pública no seu servidor;
- ligar-se de forma segura através de SSH.

Depois de configurada e funcional a autenticação com chave SSH, pode ir mais longe reforçando a configuração do serviço SSH, por exemplo alterando a porta de escuta ou desativando a autenticação com palavra-passe.

### Modificar a porta de escuta SSH [](#)
Antes de qualquer modificação do serviço SSH, certifique-se de ter um acesso funcional através de uma chave SSH para evitar a perda de acesso ao seu servidor.

:::info
Para esta secção, as seguintes linhas de comando são as mesmas para Ubuntu, Debian e CentOS.
:::

Uma das primeiras ações a realizar no seu servidor é a configuração da porta de escuta do serviço SSH. Por predefinição, este é definido na **porta 22**, pelo que as tentativas de hack do servidor por robots vão direcionar esta porta prioritariamente.
A alteração deste parâmetro, em benefício de uma porta diferente, é uma medida simples para reforçar a proteção do seu servidor contra ataques automatizados.

Para isso, altere o ficheiro de configuração do serviço com o editor de texto à sua escolha (`nano` é utilizado neste exemplo):

```bash
sudo nano /etc/ssh/sshd_config
```

Deve encontrar as seguintes linhas ou equivalentes:

```console
#Port 22
#AddressFamily any
#ListenAddress 0.0.0.0
```

Substitua o número **22**
 pelo número de porta à sua escolha.

**No entanto, certifique-se de que não indica um número de porta já utilizado no seu sistema**
.
Para uma maior segurança, utilize um número entre 49152 e 65535.

Você também pode visualizar as portas atribuídas ao seu sistema usando o seguinte comando:

```bash
sudo cat /etc/services
```

Se a linha estiver "comentada" (ou seja, precedida por um "#") como no exemplo acima, certifique-se de que remove o "#" antes de guardar o ficheiro para que a alteração seja tida em conta. Exemplo:

```console
Port 49152
#AddressFamily any
#ListenAddress 0.0.0.0
```

:::warning
Se estiver configurado um firewall no seu sistema operativo (UFW ou iptables), terá de ajustar as suas definições para autorizar o tráfego na nova porta antes de reiniciar o serviço. Se estiver a utilizar o iptables, consulte este guia: [Configurar a firewall em Linux com iptables](/pt/guides/bare-metal-cloud/dedicated-servers/firewall-linux-iptable.md). Se não estiver configurado nenhum firewall por predefinição, reinicie o serviço.
:::

Guarde e saia do ficheiro de configuração.

Reinicie o serviço:

```bash
sudo systemctl restart sshd
```

Isto deveria ser suficiente para aplicar as alterações. Caso contrário, reinicie o VPS (`sudo reboot`).

**Para Ubuntu 24.04 e versões posteriores**

Para as últimas versões de Ubuntu, a configuração SSH é agora gerida no ficheiro `ssh.socket`.

Para atualizar a porta SSH, edite a linha `Listenstream` no ficheiro de configuração com um editor de texto à sua escolha (`nano` utilizado neste exemplo):

```bash
sudo nano /lib/systemd/system/ssh.socket
```

O seu ficheiro deve ser semelhante aos exemplos a seguir, dependendo da versão do Ubuntu que você instalou:

```console
[Socket]
ListenStream=49152
Accept=no
```

ou

```console
[Socket]
ListenStream=0.0.0.0:49152
ListenStream=[::]:22
BindIPv6Only=ipv6-only
Accept=no
FreeBind=yes
```

Guarde as alterações e execute os seguintes comandos:

```bash
sudo systemctl daemon-reload
```

Reinicie o serviço:

```bash
sudo systemctl restart ssh.socket
```

Lembre-se de que deve indicar a nova porta a cada pedido de [ligação SSH ao seu servidor](/pt/guides/bare-metal-cloud/dedicated-servers/ssh-introduction.md):

```bash
ssh username@IPv4_VPS -p NewPortNumber
```

Exemplo:

```bash
ssh ubuntu@203.0.113.100 -p 49152
```

Se você estiver bloqueado fora do seu sistema, pode usar o nosso ambiente [modo rescue](/pt/guides/bare-metal-cloud/virtual-private-servers/rescue.md) para anular as suas alterações.

### Criar um utilizador com direitos restritos [](#)
Em geral, as tarefas que não exijam privilégios root devem ser realizadas através de um utilizador standard. Para mais informações consulte [este guia](/pt/guides/bare-metal-cloud/dedicated-servers/changing-root-password-linux-ds.md).

### Configurar firewall interna (iptables) [](#)
As distribuições GNU/Linux comuns são fornecidas com um serviço de firewall designado iptables. A configuração inicial não tem nenhuma regra predefinida (ativa). Para confirmar o tipo de configuração, deverá executar o comando:

```bash
iptables -L
```

Para mais informações sobre iptables, consulte o nosso [guia dedicado](/pt/guides/bare-metal-cloud/virtual-private-servers/firewall-linux-iptable.md).

Recomendamos que crie e adapte regras de firewall à sua utilização. Para mais informações sobre as várias operações, consulte a documentação oficial da distribuição utilizada.

### Instalar o Fail2ban [](#)
Fail2ban é um framework de prevenção contra as intrusões cujo objetivo é bloquear os endereços IP a partir dos quais bots ou atacantes tentam penetrar no seu sistema.

Este pacote é recomendado, ou mesmo indispensável em certos casos, para proteger o seu servidor contra ataques do tipo _Brute Force_
 ou _Denial of Service_
.
Para instalar o pacote de software, utilize o seguinte comando:


**Ubuntu e Debian**

```bash
sudo apt install fail2ban
```


**CentOS**

Em CentOS 7 e CentOS 8 (ou RHEL), instale primeiro o repositório EPEL (**E**xtra **P**ackages for **E**nterprise **L**inux), e depois em Fail2ban:
```bash
sudo yum install epel-release
sudo yum install fail2ban
```


Pode personalizar os ficheiros de configuração Fail2ban para proteger os serviços expostos à Internet pública contra as tentativas de ligações repetidas.

Como recomendado pelo Fail2ban, crie um ficheiro de configuração local dos seus serviços copiando o ficheiro "jail.conf":

```bash
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
```

A seguir, abra o ficheiro com um editor de texto:

```bash
sudo nano /etc/fail2ban/jail.local
```

Leia as informações no topo do ficheiro, nomeadamente as observações em `[DEFAULT]`.

Os parâmetros `[DEFAULT]` são globais e aplicar-se-ão a todos os serviços definidos para serem ativados (`enabled`) neste ficheiro.

É importante saber que os parâmetros globais só serão tidos em conta se não existirem valores diferentes definidos nas secções de serviços (`JAILS`) mais abaixo do ficheiro.

Tomemos como exemplo estas linhas em `[DEFAULT]`:

```console
bantime = 10m
maxretry = 5
enabled = false
```

Isto significa que um endereço de IP a partir do qual um host tenta conectar-se será bloqueado durante dez minutos após a quinta tentativa de abertura de sessão falhada.

Além disso, todos os parâmetros especificados pela `[DEFAULT]`
 e nas secções seguintes permanecem desativados, exceto se a linha `enabled = true`
 for adicionada para um serviço (listada abaixo `# JAILS`
).
A título de exemplo de utilização, o facto de ter as seguintes linhas na secção `[sshd]` só ativará restrições para o serviço OpenSSH:

```console
[sshd]
enabled = true
port = ssh
filter = sshd
maxretry = 3
findtime = 5m
bantime  = 30m
```

Neste exemplo, se uma tentativa de ligação SSH falhar três vezes em cinco minutos, o período de interdição dos IP será de 30 minutos.

Pode substituir "ssh" pelo número de porta real se o alterou.

A melhor abordagem consiste em ativar o Fail2ban apenas para os serviços que são realmente executados no servidor. Cada parâmetro personalizado adicionado sob `# JAILS` será então prioritário relativamente aos valores predefinidos.

Depois de finalizar as suas modificações, registe o ficheiro e feche o editor.

Reinicie o serviço para se certificar de que ele é executado com as personalizações aplicadas:

1\. Comando recomendado com `systemctl`:

```bash
sudo systemctl restart fail2ban
```

2\. Comando com  `service` (método antigo, ainda compatível):

```bash
sudo service fail2ban restart
```

Fail2ban dispõe de numerosos parâmetros e filtros de personalização, bem como de opções pré-definidas, por exemplo quando deseja adicionar uma camada de proteção a um servidor web Nginx.

Para mais informações e recomendações sobre o Fail2ban, não hesite em consultar [a documentação oficial](https://www.fail2ban.org/wiki/index.php/Main_Page) desta ferramenta.

### Configuração da Network Firewall OVHcloud [](#)
As soluções da OVHcloud incluem a possibilidade de ativar uma firewall no ponto de entrada da infraestrutura, designada Network Firewall. Uma configuração correta desta firewall permite bloquear as ligações antes mesmo que estas cheguem ao seu servidor.

Consulte o guia "[Configurar a Network Firewall](/pt/guides/bare-metal-cloud/dedicated-servers/firewall-network.md)" se desejar ativá-la.

### Proteger o sistema e os dados [](#)
O conceito de segurança não se limita à proteção de um sistema contra ataques.

A segurança dos seus dados é um elemento chave. É por isso que a OVHcloud oferece-lhe várias opções de backup enquanto serviços:

- A opção `Snapshot` que lhe permite criar uma imagem manual.
- A opção de `Backup automático` permite-lhe conservar os backups regulares do seu VPS (à exceção dos discos suplementares).

Na [página do produto](https://www.ovhcloud.com/pt/vps/options/) e nos respetivos [guias](/pt/guides/bare-metal-cloud/virtual-private-servers/overview.md), poderá encontrar todas as informações sobre as soluções de backup disponíveis para o seu serviço.

## Quer saber mais?

[VPS: primeira utilização](/pt/guides/bare-metal-cloud/virtual-private-servers/starting-with-a-vps.md)

[Criar e utilizar chaves SSH](/pt/guides/bare-metal-cloud/dedicated-servers/creating-ssh-keys.md)

[Configurar a firewall em Windows](/pt/guides/bare-metal-cloud/virtual-private-servers/activate-port-firewall-soft-win.md)

[Configurar a firewall em Linux com iptables](/pt/guides/bare-metal-cloud/virtual-private-servers/firewall-linux-iptable.md)

[Configurar a Network Firewall](/pt/guides/bare-metal-cloud/dedicated-servers/firewall-network.md)

Fale com nossa [comunidade de utilizadores](https://community.ovhcloud.com/).