Introdução
Você acabou de contratar uma VPS Linux na Hostinger — parabéns! Mas antes de subir sua aplicação, configurar seu servidor web ou publicar qualquer coisa, existe uma etapa que muitos desenvolvedores ignoram (e se arrependem depois): proteger o servidor.
Uma VPS recém-criada é, por padrão, um alvo fácil. Ela fica exposta à internet com configurações genéricas, porta SSH padrão aberta e sem nenhuma barreira contra tentativas de acesso não autorizado. Em minutos após a criação, bots já estão tentando invadir seu servidor.
Neste post você vai aprender, passo a passo, como aplicar as principais boas práticas de segurança em uma VPS Linux na Hostinger, cobrindo desde o primeiro acesso até a configuração de firewall via painel e monitoramento básico.
Pré-requisitos
- Uma VPS Linux ativa na Hostinger (Ubuntu 20.04 ou 22.04 LTS recomendado)
- Acesso root via SSH (credenciais enviadas pela Hostinger no e-mail de boas-vindas)
- Terminal no seu computador (Linux/macOS nativo, Windows via PuTTY ou Windows Terminal)
- Acesso ao painel hPanel da Hostinger
- Conhecimento básico de comandos Linux
Passo a Passo
1. Primeiro Acesso e Atualização do Sistema
Antes de qualquer coisa, conecte-se à sua VPS como root e atualize todos os pacotes. Sistemas desatualizados possuem vulnerabilidades conhecidas e publicamente documentadas.
# Conecte-se à sua VPS
ssh root@SEU_IP_DA_VPS
# Atualize a lista de pacotes e o sistema
apt update && apt upgrade -y
# Remova pacotes desnecessários
apt autoremove -y
Dica: Configure atualizações automáticas de segurança com o pacote
unattended-upgradespara não depender de intervenção manual.
apt install unattended-upgrades -y
dpkg-reconfigure --priority=low unattended-upgrades
2. Crie um Usuário Comum (Nunca Opere como Root)
Trabalhar sempre como root é uma das maiores falhas de segurança. Se um invasor comprometer sua sessão, ele terá controle total da máquina. Crie um usuário comum com privilégios administrativos via sudo.
# Cria o usuário (substitua "deltaops" pelo nome desejado)
adduser deltaops
# Adiciona o usuário ao grupo sudo
usermod -aG sudo deltaops
# Testa o acesso — abra um novo terminal e faça login com o novo usuário
ssh deltaops@SEU_IP_DA_VPS
Explicação linha a linha:
adduser deltaops— cria o usuário e solicita senha e dados básicosusermod -aG sudo deltaops— adiciona o usuário ao gruposudo, permitindo executar comandos administrativos comsudona frente- A partir de agora, nunca mais faça login direto como root
3. Configure Autenticação por Chave SSH (Abandone Senhas)
Senhas podem ser adivinhadas por ataques de força bruta. Chaves SSH são criptograficamente superiores e eliminam esse vetor de ataque.
No seu computador local, gere o par de chaves:
# Gera uma chave ED25519 (mais moderna e segura que RSA)
ssh-keygen -t ed25519 -C "deltaops-vps"
# O par de chaves será salvo em:
# ~/.ssh/id_ed25519 (chave privada - NUNCA compartilhe)
# ~/.ssh/id_ed25519.pub (chave pública - vai para o servidor)
Copie a chave pública para o servidor:
# Substitua pelo seu usuário e IP
ssh-copy-id deltaops@SEU_IP_DA_VPS
Caso o ssh-copy-id não esteja disponível (Windows), copie manualmente:
# No servidor, logado como deltaops
mkdir -p ~/.ssh
chmod 700 ~/.ssh
nano ~/.ssh/authorized_keys
# Cole o conteúdo do arquivo id_ed25519.pub aqui
chmod 600 ~/.ssh/authorized_keys
4. Fortaleça a Configuração do SSH
Agora edite o arquivo de configuração do SSH para fechar as brechas mais comuns:
sudo nano /etc/ssh/sshd_config
Localize e altere (ou adicione) as seguintes linhas:
# Muda a porta padrão (22) para dificultar varreduras automáticas
Port 2222
# Desativa login direto como root via SSH
PermitRootLogin no
# Desativa autenticação por senha (usa apenas chaves)
PasswordAuthentication no
# Limita tentativas de autenticação
MaxAuthTries 3
# Desativa autenticação por senhas em branco
PermitEmptyPasswords no
# Apenas o protocolo SSH versão 2 (mais seguro)
Protocol 2
⚠️ Atenção: Só desative a autenticação por senha depois de confirmar que o acesso por chave SSH está funcionando. Caso contrário, você pode perder acesso à sua VPS.
Aplique as mudanças:
sudo systemctl restart sshd
Teste em um novo terminal antes de fechar o atual:
ssh -p 2222 deltaops@SEU_IP_DA_VPS
Lembrete importante: Se você alterar a porta do SSH aqui, lembre-se de também liberar essa nova porta no firewall do painel da Hostinger (veja o próximo passo). Caso contrário, você perderá o acesso ao servidor.
5. Configure o Firewall pelo Painel da Hostinger (hPanel)
A Hostinger oferece um firewall gerenciado diretamente pelo hPanel, o que significa que você controla as regras de entrada sem precisar instalar ou gerenciar ferramentas de firewall dentro do próprio servidor. Essa é a abordagem recomendada para VPS na plataforma.
Como acessar:
- Acesse o hPanel da Hostinger
- Vá até a sua VPS e clique em Gerenciar
- No menu lateral, procure por Firewall (ou Segurança > Firewall)
Regras que você deve configurar:
- Bloquear todo tráfego de entrada por padrão — libere apenas as portas que sua aplicação realmente usa
- Liberar a porta SSH — use a nova porta que você configurou (ex:
2222), não mais a22 - Liberar porta 80 (HTTP) — somente se você for rodar um servidor web
- Liberar porta 443 (HTTPS) — somente se você for rodar um servidor web com SSL
- Bloquear a porta 22 (SSH padrão) — após confirmar acesso pela nova porta, bloqueie a porta original
Dica: O firewall do hPanel atua na borda da rede, antes mesmo do tráfego chegar ao sistema operacional da sua VPS. Isso é ainda mais eficiente do que um firewall interno, pois bloqueia conexões indesejadas antes de consumirem qualquer recurso do servidor.
6. Instale e Configure o Fail2Ban
O Fail2Ban monitora os logs do sistema e bane automaticamente IPs que fazem muitas tentativas de login fracassadas — proteção efetiva contra ataques de força bruta que chegam antes do firewall de borda agir.
# Instala o Fail2Ban
sudo apt install fail2ban -y
# Cria um arquivo de configuração local (não edite o .conf original)
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
# Edita as configurações
sudo nano /etc/fail2ban/jail.local
Dentro do arquivo, localize e ajuste a seção [sshd]:
[sshd]
enabled = true
port = 2222
filter = sshd
logpath = /var/log/auth.log
maxretry = 5
bantime = 3600
findtime = 600
Explicação dos parâmetros:
maxretry = 5— após 5 tentativas falhas…bantime = 3600— …o IP fica banido por 1 hora (3600 segundos)findtime = 600— …dentro de uma janela de 10 minutos
# Inicia e habilita o Fail2Ban
sudo systemctl enable fail2ban
sudo systemctl start fail2ban
# Verifica os banimentos ativos
sudo fail2ban-client status sshd
7. Monitore Logins e Atividades Suspeitas
Mesmo com todas as proteções acima, é importante saber o que está acontecendo no seu servidor.
# Veja os últimos logins realizados com sucesso
last -n 20
# Veja tentativas de login com falha
sudo lastb -n 20
# Monitore logs de autenticação em tempo real
sudo tail -f /var/log/auth.log
# Verifique quais processos estão escutando em portas abertas
sudo ss -tulpn
Dica: Considere integrar o servidor com uma ferramenta de monitoramento como Netdata ou Grafana + Prometheus para ter dashboards visuais de uso de CPU, memória e alertas de anomalias.
8. Desative Serviços Desnecessários
Cada serviço em execução é uma superfície de ataque potencial. Liste e desative o que não utiliza:
# Lista todos os serviços ativos
sudo systemctl list-units --type=service --state=running
# Desabilita um serviço desnecessário (exemplo: bluetooth)
sudo systemctl disable bluetooth
sudo systemctl stop bluetooth
Conclusão
Aplicando essas práticas, sua VPS Linux na Hostinger passa de um servidor genérico e vulnerável para um ambiente consideravelmente mais seguro e resistente aos ataques mais comuns na internet.
Resumo do que fizemos:
- Atualizamos o sistema operacional e ativamos atualizações automáticas de segurança
- Criamos um usuário dedicado e eliminamos o uso direto do root
- Implementamos autenticação por chave SSH e desativamos login por senha
- Alteramos a porta padrão do SSH e endurecemos sua configuração
- Configuramos as regras de firewall diretamente pelo painel da Hostinger (hPanel)
- Instalamos o Fail2Ban para bloquear ataques de força bruta no nível do sistema
- Aprendemos a monitorar logins e atividades suspeitas em tempo real
Próximos passos recomendados:
- Configure backups automáticos pela própria Hostinger no hPanel
- Implemente HTTPS com certificado SSL gratuito via Let’s Encrypt
- Considere colocar o Cloudflare na frente da sua aplicação como camada extra de proteção (WAF + DDoS mitigation)
- Explore o CrowdSec como alternativa mais moderna e colaborativa ao Fail2Ban
Precisa de Ajuda para Estruturar ou Gerenciar sua Infraestrutura?
Seguir esse guia é um ótimo ponto de partida — mas em ambientes de produção, segurança vai além de configurações iniciais. Envolve monitoramento contínuo, gestão de acessos, políticas de atualização, resposta a incidentes e documentação técnica consistente.
Na DeltaOps, apoiamos times técnicos e empresas na estruturação de ambientes Linux seguros, escaláveis e bem documentados — desde a configuração inicial de servidores até a implementação de pipelines de segurança e observabilidade.
Se o seu time está crescendo, migrando para nuvem ou quer ter mais controle e visibilidade sobre a infraestrutura, podemos analisar o cenário atual e indicar o melhor caminho.
