{"id":58,"date":"2026-06-11T21:01:27","date_gmt":"2026-06-11T21:01:27","guid":{"rendered":"https:\/\/shattered.io\/pt\/2026\/06\/11\/autenticacao-ssh-chaves\/"},"modified":"2026-06-11T21:03:49","modified_gmt":"2026-06-11T21:03:49","slug":"autenticacao-ssh-chaves","status":"publish","type":"post","link":"https:\/\/shattered.io\/pt\/2026\/06\/11\/autenticacao-ssh-chaves\/","title":{"rendered":"Autentica\u00e7\u00e3o SSH com Chaves Ed25519: 12 Passos [2026]"},"content":{"rendered":"\n

A palavra-passe \u00e9 o elo mais fraco de qualquer servidor exposto \u00e0 Internet. Bots automatizados testam milh\u00f5es de combina\u00e7\u00f5es por dia contra a porta 22, e basta uma credencial fraca para comprometer toda a m\u00e1quina. A autentica\u00e7\u00e3o SSH com chaves criptogr\u00e1ficas elimina esse risco: em vez de um segredo que se escreve (e que pode ser adivinhado ou interceptado), usa um par de chaves matem\u00e1ticas em que a parte privada nunca sai do seu computador.<\/p>\n\n\n\n

Neste tutorial pr\u00e1tico vai configurar autentica\u00e7\u00e3o SSH baseada em chaves Ed25519 do zero, copiar a chave p\u00fablica para o servidor, desativar por completo o login por palavra-passe e endurecer o servi\u00e7o sshd<\/code> contra ataques de for\u00e7a bruta. No fim ter\u00e1 um servidor Linux acess\u00edvel apenas com a sua chave, protegido por Fail2ban e, opcionalmente, por um segundo fator TOTP. S\u00e3o 12 passos, demoram cerca de 20 minutos e funcionam tanto em Linux e macOS como em Windows com OpenSSH ou PuTTY.<\/p>\n\n\n\n

Segundo dados da Okta de janeiro de 2025, a ado\u00e7\u00e3o de autentica\u00e7\u00e3o multifator na for\u00e7a de trabalho chegou a 70%, e os m\u00e9todos resistentes a phishing cresceram 63% num ano. Configurar chaves SSH corretamente coloca os seus servidores nesse grupo mais seguro. Vamos a isso.<\/p>\n\n\n\n

O que \u00e9 a autentica\u00e7\u00e3o SSH e porque usar chaves<\/h2>\n\n\n\n

O SSH (Secure Shell) \u00e9 o protocolo padr\u00e3o para administra\u00e7\u00e3o remota de servidores. Cifra todo o tr\u00e1fego entre o cliente e o servidor, protegendo comandos, ficheiros e credenciais de quem possa estar a observar a rede. O protocolo base est\u00e1 definido no RFC 4253 e a implementa\u00e7\u00e3o dominante \u00e9 o OpenSSH, presente em praticamente todas as distribui\u00e7\u00f5es Linux, no macOS e, desde 2018, no pr\u00f3prio Windows.<\/p>\n\n\n\n

Existem duas formas principais de provar a sua identidade ao servidor: por palavra-passe ou por chave p\u00fablica. A autentica\u00e7\u00e3o por palavra-passe envia um segredo que o servidor verifica contra a base de dados de utilizadores. A autentica\u00e7\u00e3o SSH por chave usa criptografia assim\u00e9trica: gera um par formado por uma chave privada (que guarda em segredo) e uma chave p\u00fablica (que coloca no servidor). O servidor lan\u00e7a um desafio que s\u00f3 pode ser resolvido por quem possui a chave privada, e essa chave nunca \u00e9 transmitida pela rede.<\/p>\n\n\n\n

A diferen\u00e7a de seguran\u00e7a \u00e9 enorme. Uma palavra-passe de 12 caracteres tem entropia limitada e pode ser alvo de for\u00e7a bruta ou de phishing. Uma chave Ed25519 oferece o equivalente a cerca de 128 bits de seguran\u00e7a, imposs\u00edvel de adivinhar com a tecnologia atual. A tabela seguinte resume porque \u00e9 que a autentica\u00e7\u00e3o SSH por chave venceu.<\/p>\n\n\n\n\n
Crit\u00e9rio<\/th>Palavra-passe<\/th>Chave SSH (Ed25519)<\/th><\/tr><\/thead>
Resist\u00eancia a for\u00e7a bruta<\/td>Baixa (depende do comprimento)<\/td>Praticamente total (~128 bits)<\/td><\/tr>\n
Vulner\u00e1vel a phishing<\/td>Sim<\/td>N\u00e3o (a chave privada nunca sai)<\/td><\/tr>\n
Transmitida pela rede<\/td>Sim (cifrada no t\u00fanel)<\/td>Nunca<\/td><\/tr>\n
Reutiliza\u00e7\u00e3o entre servi\u00e7os<\/td>Comum e perigosa<\/td>Cada par \u00e9 \u00fanico<\/td><\/tr>\n
Login automatizado (scripts, CI)<\/td>Dif\u00edcil e inseguro<\/td>Nativo e seguro<\/td><\/tr>\n
Pode ser protegida por frase-secreta<\/td>N\u00e3o aplic\u00e1vel<\/td>Sim (cifra a chave privada)<\/td><\/tr>\n<\/tbody><\/table>\n\n\n\n

H\u00e1 ainda uma vantagem operacional: pode autorizar v\u00e1rias chaves no mesmo servidor e revogar uma sem afetar as outras. Isto facilita gerir acessos de v\u00e1rios administradores ou pipelines de automa\u00e7\u00e3o sem partilhar segredos. Se quiser aprofundar como a cifragem em tr\u00e2nsito protege estas liga\u00e7\u00f5es, veja o nosso artigo sobre HTTPS e TLS<\/a>, que partilha os mesmos princ\u00edpios de criptografia assim\u00e9trica.<\/p>\n\n\n\n

Pr\u00e9-requisitos e vers\u00f5es necess\u00e1rias<\/h2>\n\n\n\n

Antes de come\u00e7ar, confirme que tem o software certo dos dois lados da liga\u00e7\u00e3o. O cliente \u00e9 a m\u00e1quina onde est\u00e1 sentado (o seu port\u00e1til), e o servidor \u00e9 a m\u00e1quina remota a que se quer ligar. Os passos foram testados com as vers\u00f5es abaixo, mas qualquer vers\u00e3o recente do OpenSSH funciona de forma equivalente.<\/p>\n\n\n\n\n
Componente<\/th>Vers\u00e3o recomendada<\/th>Onde corre<\/th><\/tr><\/thead>
OpenSSH (cliente e servidor)<\/td>9.0 ou superior<\/td>Cliente e servidor<\/td><\/tr>\n
Linux (servidor)<\/td>Ubuntu 24.04 LTS \/ Debian 12<\/td>Servidor<\/td><\/tr>\n
macOS<\/td>14 Sonoma ou superior<\/td>Cliente<\/td><\/tr>\n
Windows<\/td>10 (1809+) ou 11, com OpenSSH<\/td>Cliente<\/td><\/tr>\n
PuTTY (alternativa Windows)<\/td>0.81 ou superior<\/td>Cliente<\/td><\/tr>\n
Fail2ban<\/td>1.0 ou superior<\/td>Servidor<\/td><\/tr>\n
libpam-google-authenticator<\/td>\u00daltima vers\u00e3o dos reposit\u00f3rios<\/td>Servidor (opcional, 2FA)<\/td><\/tr>\n<\/tbody><\/table>\n\n\n\n

Precisa tamb\u00e9m de: acesso a um servidor com privil\u00e9gios sudo<\/code> (uma VPS, uma Raspberry Pi ou uma m\u00e1quina virtual servem), o endere\u00e7o IP ou nome de dom\u00ednio desse servidor, e um terminal no cliente. Recomenda-se vivamente manter uma segunda sess\u00e3o SSH aberta enquanto endurece a configura\u00e7\u00e3o, para n\u00e3o ficar trancado de fora caso algo corra mal. Vamos referir este conselho mais \u00e0 frente.<\/p>\n\n\n\n

Passo 1: Verificar a instala\u00e7\u00e3o do OpenSSH<\/h2>\n\n\n\n

Comece por confirmar que o cliente OpenSSH est\u00e1 instalado e ver a vers\u00e3o. No terminal do seu computador (Linux, macOS ou PowerShell no Windows), execute:<\/p>\n\n\n\n

ssh -V<\/code><\/pre>\n\n\n\n
A resposta dever\u00e1 ser semelhante a esta:<\/p>\n\n\n\n
OpenSSH_9.6p1, OpenSSL 3.0.13 30 Jan 2024<\/code><\/pre>\n\n\n\n
Se receber um erro a indicar que o comando n\u00e3o foi encontrado no Windows, instale o cliente abrindo o PowerShell como administrador e correndo Add-WindowsCapability -Online -Name OpenSSH.Client~~~~0.0.1.0<\/code>. Em Linux, instale com sudo apt install openssh-client<\/code> (Debian\/Ubuntu) ou sudo dnf install openssh-clients<\/code> (Fedora). No servidor, o servi\u00e7o chama-se openssh-server<\/code>; confirme que est\u00e1 ativo com sudo systemctl status ssh<\/code>.<\/p>\n\n\n\n
Passo 2: Escolher o algoritmo de chave certo<\/h2>\n\n\n\n
O OpenSSH suporta v\u00e1rios algoritmos para o par de chaves. A escolha afeta seguran\u00e7a, velocidade e compatibilidade. Em 2026, a recomenda\u00e7\u00e3o clara para m\u00e1quinas modernas \u00e9 Ed25519, uma curva el\u00edptica (EdDSA) r\u00e1pida, com chaves pequenas e resistente a v\u00e1rios ataques de implementa\u00e7\u00e3o. Reserve o RSA apenas para sistemas antigos que ainda n\u00e3o suportem Ed25519, e nesse caso use no m\u00ednimo 4096 bits.<\/p>\n\n\n\n\n
Algoritmo<\/th>Tamanho da chave<\/th>Seguran\u00e7a aproximada<\/th>Recomenda\u00e7\u00e3o 2026<\/th><\/tr><\/thead>
Ed25519<\/td>256 bits<\/td>~128 bits<\/td>Preferido para tudo<\/td><\/tr>\n
ECDSA (nistp256)<\/td>256 bits<\/td>~128 bits<\/td>Evitar (curvas NIST)<\/td><\/tr>\n
RSA 4096<\/td>4096 bits<\/td>~128 bits<\/td>S\u00f3 para compatibilidade<\/td><\/tr>\n
RSA 2048<\/td>2048 bits<\/td>~112 bits<\/td>Desaconselhado<\/td><\/tr>\n
DSA<\/td>1024 bits<\/td>Fraca<\/td>Removido do OpenSSH<\/td><\/tr>\n
Ed25519-sk (FIDO2)<\/td>256 bits + hardware<\/td>~128 bits + posse f\u00edsica<\/td>Ideal com chave f\u00edsica<\/td><\/tr>\n<\/tbody><\/table>\n\n\n\n
O sufixo -sk<\/code> (security key) liga a chave a um dispositivo f\u00edsico FIDO2, como uma YubiKey, exigindo a presen\u00e7a do token para cada autentica\u00e7\u00e3o. \u00c9 a forma mais resistente a phishing de fazer SSH, e voltaremos a ela nas dicas avan\u00e7adas. Por agora, vamos com Ed25519 normal.<\/p>\n\n\n\n
Passo 3: Gerar o par de chaves com ssh-keygen<\/h2>\n\n\n\n
Chegou o momento central. A ferramenta ssh-keygen<\/code> cria o par de chaves. Execute no cliente:<\/p>\n\n\n\n
ssh-keygen -t ed25519 -a 100 -C \"sam@portatil-2026\"<\/code><\/pre>\n\n\n\n
O que significa cada op\u00e7\u00e3o: -t ed25519<\/code> define o tipo de chave; -a 100<\/code> aplica 100 rondas de deriva\u00e7\u00e3o \u00e0 frase-secreta (KDF), tornando ataques offline \u00e0 chave privada muito mais lentos; -C<\/code> adiciona um coment\u00e1rio que ajuda a identificar a chave mais tarde. Use um coment\u00e1rio descritivo, como o utilizador e a m\u00e1quina de origem.<\/p>\n\n\n\n
O programa vai fazer duas perguntas. A primeira \u00e9 o caminho do ficheiro; aceite o padr\u00e3o pressionando Enter. A segunda \u00e9 a frase-secreta (passphrase), que cifra a chave privada no disco. Defina sempre uma frase-secreta forte.<\/strong> Se a sua chave privada for copiada por algu\u00e9m, a frase-secreta \u00e9 a \u00faltima linha de defesa.<\/p>\n\n\n\n
Generating public\/private ed25519 key pair.\nEnter file in which to save the key (\/home\/sam\/.ssh\/id_ed25519):\nEnter passphrase (empty for no passphrase):\nEnter same passphrase again:\nYour identification has been saved in \/home\/sam\/.ssh\/id_ed25519\nYour public key has been saved in \/home\/sam\/.ssh\/id_ed25519.pub\nThe key fingerprint is:\nSHA256:9zK2c... sam@portatil-2026<\/code><\/pre>\n\n\n\n
Pronto. Acabou de criar dois ficheiros: a chave privada e a chave p\u00fablica. Nunca partilhe a primeira. A documenta\u00e7\u00e3o completa das op\u00e7\u00f5es est\u00e1 no manual oficial do ssh-keygen<\/a> do projeto OpenBSD.<\/p>\n\n\n\n
Passo 4: Compreender os ficheiros de chave<\/h2>\n\n\n\n
Antes de avan\u00e7ar, vale a pena perceber o que tem na pasta ~\/.ssh<\/code>. Liste o conte\u00fado:<\/p>\n\n\n\n
ls -la ~\/.ssh<\/code><\/pre>\n\n\n\n
-rw-------  1 sam sam  464 jun 11 10:22 id_ed25519\n-rw-r--r--  1 sam sam  100 jun 11 10:22 id_ed25519.pub\n-rw-------  1 sam sam  978 jun 11 10:25 known_hosts<\/code><\/pre>\n\n\n\n
O ficheiro id_ed25519<\/code> \u00e9 a chave privada. Repare nas permiss\u00f5es -rw-------<\/code> (600): apenas o dono pode ler. O OpenSSH recusa-se a usar chaves privadas com permiss\u00f5es demasiado abertas, por motivos de seguran\u00e7a. O ficheiro id_ed25519.pub<\/code> \u00e9 a chave p\u00fablica, em texto, que pode partilhar livremente. O seu conte\u00fado \u00e9 uma \u00fanica linha:<\/p>\n\n\n\n
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIH8k...J2qd sam@portatil-2026<\/code><\/pre>\n\n\n\n
Do lado do servidor, esta linha ser\u00e1 adicionada ao ficheiro ~\/.ssh\/authorized_keys<\/code> da conta a que se quer ligar. O servidor consulta esse ficheiro para decidir quem pode entrar. J\u00e1 o ficheiro known_hosts<\/code>, no cliente, guarda as impress\u00f5es digitais dos servidores a que j\u00e1 se ligou, e \u00e9 o que o protege contra ataques de homem-no-meio: se a chave de um servidor mudar inesperadamente, o SSH avisa-o.<\/p>\n\n\n\n
Passo 5: Copiar a chave p\u00fablica para o servidor<\/h2>\n\n\n\n
Agora tem de colocar a chave p\u00fablica no servidor. A forma mais simples \u00e9 a ferramenta ssh-copy-id<\/code>, dispon\u00edvel em Linux e macOS. Esta primeira liga\u00e7\u00e3o ainda usa a palavra-passe da conta (que vamos desativar mais \u00e0 frente):<\/p>\n\n\n\n
ssh-copy-id -i ~\/.ssh\/id_ed25519.pub sam@192.0.2.50<\/code><\/pre>\n\n\n\n
Substitua sam<\/code> pelo nome de utilizador no servidor e 192.0.2.50<\/code> pelo IP ou dom\u00ednio. A ferramenta cria a pasta ~\/.ssh<\/code> no servidor com as permiss\u00f5es corretas, adiciona a sua chave ao authorized_keys<\/code> e ajusta as permiss\u00f5es. No fim ver\u00e1 uma mensagem a confirmar o n\u00famero de chaves adicionadas.<\/p>\n\n\n\n
Se estiver no Windows sem ssh-copy-id<\/code>, ou preferir o m\u00e9todo manual, copie a chave com um comando \u00fanico. No PowerShell:<\/p>\n\n\n\n
type $env:USERPROFILE\\.ssh\\id_ed25519.pub | ssh sam@192.0.2.50 \"mkdir -p ~\/.ssh && chmod 700 ~\/.ssh && cat >> ~\/.ssh\/authorized_keys && chmod 600 ~\/.ssh\/authorized_keys\"<\/code><\/pre>\n\n\n\n
Em Linux ou macOS, o equivalente manual \u00e9 cat ~\/.ssh\/id_ed25519.pub | ssh sam@192.0.2.50 \"mkdir -p ~\/.ssh && cat >> ~\/.ssh\/authorized_keys\"<\/code>. Seja qual for o m\u00e9todo, o objetivo \u00e9 o mesmo: a sua linha de chave p\u00fablica fica no authorized_keys<\/code> do servidor.<\/p>\n\n\n\n
Passo 6: Testar o login e usar o ssh-agent<\/h2>\n\n\n\n
Teste imediatamente a nova liga\u00e7\u00e3o por chave, ainda sem desativar nada:<\/p>\n\n\n\n
ssh sam@192.0.2.50<\/code><\/pre>\n\n\n\n
Se definiu uma frase-secreta, o sistema vai pedi-la. Se entrou sem que lhe pedissem a palavra-passe da conta, a autentica\u00e7\u00e3o por chave est\u00e1 a funcionar. Escrever a frase-secreta a cada liga\u00e7\u00e3o \u00e9 inc\u00f3modo, e \u00e9 a\u00ed que entra o ssh-agent<\/code>: um processo que guarda a chave desbloqueada em mem\u00f3ria durante a sess\u00e3o. Inicie-o e adicione a chave:<\/p>\n\n\n\n
eval \"$(ssh-agent -s)\"\nssh-add ~\/.ssh\/id_ed25519<\/code><\/pre>\n\n\n\n
No macOS, adicione --apple-use-keychain<\/code> para guardar a frase-secreta no porta-chaves do sistema. No Windows, o agente corre como servi\u00e7o; ative-o com Start-Service ssh-agent<\/code> e Set-Service ssh-agent -StartupType Automatic<\/code> no PowerShell de administrador, e depois ssh-add<\/code>. A partir daqui, as liga\u00e7\u00f5es usam a chave j\u00e1 desbloqueada, sem voltar a pedir a frase-secreta nesta sess\u00e3o.<\/p>\n\n\n\n
Passo 7: Endurecer o sshd_config no servidor<\/h2>\n\n\n\n
Este \u00e9 o passo mais importante para a seguran\u00e7a. Vamos editar a configura\u00e7\u00e3o do servidor SSH para desativar a autentica\u00e7\u00e3o por palavra-passe e o login direto do utilizador root. Mantenha a sua sess\u00e3o atual aberta<\/strong> e abra uma segunda liga\u00e7\u00e3o para testar, de modo a recuperar caso bloqueie o acesso. Edite o ficheiro no servidor:<\/p>\n\n\n\n
sudo nano \/etc\/ssh\/sshd_config<\/code><\/pre>\n\n\n\n
Localize e altere (ou acrescente) as seguintes diretivas. Remova o cardinal #<\/code> do in\u00edcio caso a linha esteja comentada:<\/p>\n\n\n\n
PubkeyAuthentication yes\nPasswordAuthentication no\nChallengeResponseAuthentication no\nKbdInteractiveAuthentication no\nPermitRootLogin no\nPermitEmptyPasswords no\nMaxAuthTries 3\nLoginGraceTime 30\nAllowUsers sam<\/code><\/pre>\n\n\n\n
A tabela seguinte explica o efeito de cada diretiva, todas documentadas no manual do sshd_config<\/a>.<\/p>\n\n\n\n\n
Diretiva<\/th>Valor<\/th>Efeito<\/th><\/tr><\/thead>
PubkeyAuthentication<\/td>yes<\/td>Permite login por chave<\/td><\/tr>\n
PasswordAuthentication<\/td>no<\/td>Desativa palavras-passe (chave obrigat\u00f3ria)<\/td><\/tr>\n
PermitRootLogin<\/td>no<\/td>Impede login direto como root<\/td><\/tr>\n
MaxAuthTries<\/td>3<\/td>Corta a liga\u00e7\u00e3o ap\u00f3s 3 tentativas<\/td><\/tr>\n
LoginGraceTime<\/td>30<\/td>Fecha sess\u00f5es n\u00e3o autenticadas em 30s<\/td><\/tr>\n
AllowUsers<\/td>sam<\/td>S\u00f3 estes utilizadores podem entrar<\/td><\/tr>\n
PermitEmptyPasswords<\/td>no<\/td>Bloqueia contas sem palavra-passe<\/td><\/tr>\n<\/tbody><\/table>\n\n\n\n
Guarde o ficheiro. Antes de reiniciar o servi\u00e7o, valide a sintaxe com sudo sshd -t<\/code>; se n\u00e3o devolver nada, est\u00e1 correto. Depois aplique com sudo systemctl restart ssh<\/code>. Agora abra uma nova janela e teste o login. S\u00f3 feche a sess\u00e3o original depois de confirmar que consegue entrar com a chave.<\/p>\n\n\n\n
Passo 8: Mudar a porta e configurar a firewall<\/h2>\n\n\n\n
Mudar a porta padr\u00e3o (22) para um n\u00famero alto n\u00e3o \u00e9 seguran\u00e7a real, mas reduz drasticamente o ru\u00eddo dos bots automatizados que s\u00f3 varrem a 22. Combinada com uma firewall, \u00e9 uma camada \u00fatil. Defina a nova porta no sshd_config<\/code> acrescentando, por exemplo, Port 2222<\/code>. De seguida, configure a firewall UFW (comum em Ubuntu) para permitir essa porta antes de reiniciar o servi\u00e7o:<\/p>\n\n\n\n
sudo ufw allow 2222\/tcp\nsudo ufw enable\nsudo ufw status<\/code><\/pre>\n\n\n\n
O comando ufw status<\/code> deve listar a porta 2222 como permitida. Reinicie o SSH e ligue-se indicando a porta com ssh -p 2222 sam@192.0.2.50<\/code>. Aten\u00e7\u00e3o:<\/strong> se n\u00e3o abrir a porta na firewall antes de reiniciar, fica trancado de fora. Por isso mantemos sempre uma sess\u00e3o de reserva aberta. N\u00e3o se esque\u00e7a tamb\u00e9m de atualizar regras na firewall do seu fornecedor de cloud, se existir.<\/p>\n\n\n\n
Para uma defesa de rede mais ampla em torno do servidor, vale a pena conhecer as op\u00e7\u00f5es de VPN. O nosso artigo WireGuard vs OpenVPN<\/a> compara duas formas de s\u00f3 expor o SSH dentro de um t\u00fanel privado, o que \u00e9 ainda mais seguro do que mudar a porta.<\/p>\n\n\n\n
Passo 9: Bloquear for\u00e7a bruta com Fail2ban<\/h2>\n\n\n\n
Mesmo com palavras-passe desativadas, os bots continuam a tentar ligar-se. O Fail2ban monitoriza os registos e bane temporariamente os endere\u00e7os IP com demasiadas tentativas falhadas. Instale-o no servidor:<\/p>\n\n\n\n
sudo apt install fail2ban -y<\/code><\/pre>\n\n\n\n
Crie um ficheiro de configura\u00e7\u00e3o local (nunca edite o jail.conf<\/code> diretamente, pois \u00e9 substitu\u00eddo nas atualiza\u00e7\u00f5es):<\/p>\n\n\n\n
sudo nano \/etc\/fail2ban\/jail.local<\/code><\/pre>\n\n\n\n
[sshd]\nenabled = true\nport = 2222\nmaxretry = 3\nfindtime = 600\nbantime = 3600\nbackend = systemd<\/code><\/pre>\n\n\n\n
Esta configura\u00e7\u00e3o bane um IP por uma hora (bantime = 3600<\/code>) ap\u00f3s 3 tentativas falhadas (maxretry<\/code>) em 10 minutos (findtime<\/code>). Ajuste a port<\/code> se mudou a porta no passo anterior. Ative e reinicie o servi\u00e7o, e verifique o estado:<\/p>\n\n\n\n
sudo systemctl enable --now fail2ban\nsudo fail2ban-client status sshd<\/code><\/pre>\n\n\n\n
O resultado mostra quantos IP est\u00e3o banidos e o total de tentativas detetadas. Pode consultar a documenta\u00e7\u00e3o oficial do projeto em fail2ban.org<\/a>. Esta camada n\u00e3o substitui a autentica\u00e7\u00e3o por chave, mas reduz o tr\u00e1fego malicioso e protege contra falhas de configura\u00e7\u00e3o futuras.<\/p>\n\n\n\n
Passo 10: Simplificar liga\u00e7\u00f5es com o ficheiro ~\/.ssh\/config<\/h2>\n\n\n\n
Escrever ssh -p 2222 sam@192.0.2.50<\/code> de cada vez \u00e9 cansativo. O ficheiro de configura\u00e7\u00e3o do cliente permite definir atalhos. Crie ou edite ~\/.ssh\/config<\/code> no seu computador:<\/p>\n\n\n\n
Host servidor-web\n    HostName 192.0.2.50\n    User sam\n    Port 2222\n    IdentityFile ~\/.ssh\/id_ed25519\n    IdentitiesOnly yes\n    AddKeysToAgent yes<\/code><\/pre>\n\n\n\n
A partir de agora basta escrever ssh servidor-web<\/code> para se ligar com todas as op\u00e7\u00f5es definidas. A diretiva IdentitiesOnly yes<\/code> garante que o cliente s\u00f3 oferece a chave indicada, evitando o erro comum de o servidor recusar a liga\u00e7\u00e3o por excesso de tentativas quando tem muitas chaves no agente. Pode definir quantos blocos Host<\/code> quiser, um por servidor.<\/p>\n\n\n\n
Verifique as permiss\u00f5es do ficheiro com chmod 600 ~\/.ssh\/config<\/code>. O OpenSSH ignora ficheiros de configura\u00e7\u00e3o com permiss\u00f5es demasiado abertas, tal como faz com as chaves privadas.<\/p>\n\n\n\n
Passo 11: SSH no Windows com PuTTY e OpenSSH<\/h2>\n\n\n\n
O termo PuTTY tem cerca de 2900 pesquisas mensais em Portugal, sinal de que muitos utilizadores Windows ainda recorrem a este cliente cl\u00e1ssico. Embora o Windows 10 e 11 j\u00e1 incluam OpenSSH nativo (que funciona igual aos comandos deste tutorial), o PuTTY continua popular pela sua interface gr\u00e1fica. A diferen\u00e7a est\u00e1 no formato das chaves.<\/p>\n\n\n\n
Gerar e converter chaves com PuTTYgen<\/h3>\n\n\n\n
O PuTTY usa o seu pr\u00f3prio formato (.ppk). Para gerar uma chave, abra o PuTTYgen, escolha “EdDSA” com a curva Ed25519, clique em “Generate” e mexa o rato para gerar entropia. Defina uma frase-secreta no campo “Key passphrase” e guarde a chave privada como ficheiro .ppk. A chave p\u00fablica no formato OpenSSH aparece na caixa de texto superior, pronta a colar no authorized_keys<\/code> do servidor.<\/p>\n\n\n\n
Se j\u00e1 tem uma chave Ed25519 gerada com ssh-keygen<\/code>, importe o ficheiro id_ed25519<\/code> no PuTTYgen atrav\u00e9s de “Conversions > Import key” e exporte-a como .ppk. No cliente PuTTY, indique o ficheiro .ppk em “Connection > SSH > Auth > Credentials”. O agente equivalente ao ssh-agent<\/code> chama-se Pageant e guarda a chave desbloqueada para todas as sess\u00f5es PuTTY.<\/p>\n\n\n\n
Quando preferir o OpenSSH nativo<\/h3>\n\n\n\n
Para quem trabalha com automa\u00e7\u00e3o ou prefere a linha de comandos, o OpenSSH nativo do Windows \u00e9 a op\u00e7\u00e3o mais simples: usa exatamente os mesmos comandos e ficheiros (~\/.ssh\/config<\/code>, id_ed25519<\/code>) deste tutorial, e integra-se com o Windows Terminal e o VS Code. Para a maioria dos casos novos em 2026, recomenda-se o OpenSSH em vez do PuTTY.<\/p>\n\n\n\n
Passo 12: Adicionar 2FA com TOTP ao SSH (opcional)<\/h2>\n\n\n\n
Para servidores de alto valor, pode combinar a chave SSH com um segundo fator TOTP, exigindo um c\u00f3digo de seis d\u00edgitos do Google Authenticator al\u00e9m da chave. Isto cria autentica\u00e7\u00e3o de dois fatores real ao n\u00edvel do SSH. Instale o m\u00f3dulo PAM no servidor:<\/p>\n\n\n\n
sudo apt install libpam-google-authenticator -y\ngoogle-authenticator<\/code><\/pre>\n\n\n\n
O assistente faz v\u00e1rias perguntas (responda “y” para tokens baseados em tempo) e mostra um c\u00f3digo QR para ler na aplica\u00e7\u00e3o autenticadora. Guarde os c\u00f3digos de recupera\u00e7\u00e3o num local seguro. De seguida, no sshd_config<\/code>, defina KbdInteractiveAuthentication yes<\/code> e adicione AuthenticationMethods publickey,keyboard-interactive<\/code>, que obriga a apresentar a chave e<\/em> o c\u00f3digo. Por fim, edite \/etc\/pam.d\/sshd<\/code> e acrescente a linha auth required pam_google_authenticator.so<\/code>.<\/p>\n\n\n\n
Reinicie o servi\u00e7o e teste numa segunda sess\u00e3o. Para perceber a fundo como funciona o TOTP e o padr\u00e3o RFC 6238 por tr\u00e1s destes c\u00f3digos, leia o nosso guia detalhado de autentica\u00e7\u00e3o de dois fatores em Node.js<\/a>. Os princ\u00edpios do segredo partilhado e da janela de tempo s\u00e3o exatamente os mesmos.<\/p>\n\n\n\n
Como funciona o handshake SSH por dentro<\/h2>\n\n\n\n
Perceber o que acontece nos bastidores ajuda a diagnosticar problemas e a confiar na seguran\u00e7a da autentica\u00e7\u00e3o SSH. Quando escreve ssh servidor-web<\/code>, o cliente e o servidor passam por tr\u00eas fases bem definidas antes de lhe darem uma shell.<\/p>\n\n\n\n
Na primeira fase, a negocia\u00e7\u00e3o do protocolo, ambos os lados anunciam as vers\u00f5es e os algoritmos que suportam (cifras, trocas de chave, MAC). \u00c9 aqui que diretivas como PubkeyAcceptedAlgorithms<\/code> entram em a\u00e7\u00e3o. Se o cliente e o servidor n\u00e3o tiverem nenhum algoritmo em comum, a liga\u00e7\u00e3o falha logo nesta etapa, com a mensagem de “no mutual signature algorithm” que aparece na tabela de resolu\u00e7\u00e3o de problemas.<\/p>\n\n\n\n
Na segunda fase, a troca de chaves, o cliente e o servidor usam um algoritmo Diffie-Hellman de curva el\u00edptica para acordar uma chave de sess\u00e3o secreta sem nunca a transmitir. \u00c9 tamb\u00e9m aqui que o servidor apresenta a sua chave de m\u00e1quina (host key), que o cliente compara com o known_hosts<\/code>. Se for a primeira liga\u00e7\u00e3o, o SSH mostra-lhe a impress\u00e3o digital e pergunta se confia nela. Confirmar esta impress\u00e3o por um canal seguro \u00e9 o que impede ataques de homem-no-meio. A partir deste ponto, todo o tr\u00e1fego segue cifrado.<\/p>\n\n\n\n
S\u00f3 na terceira fase, a autentica\u00e7\u00e3o do utilizador, \u00e9 que entra a sua chave. O servidor envia um desafio aleat\u00f3rio; o cliente assina-o com a chave privada (desbloqueada pela frase-secreta ou pelo agente) e devolve a assinatura. O servidor verifica-a com a chave p\u00fablica guardada no authorized_keys<\/code>. Se a assinatura for v\u00e1lida, est\u00e1 autenticado. Repare que a chave privada nunca \u00e9 enviada: apenas uma assinatura que prova a sua posse. \u00c9 por isso que a autentica\u00e7\u00e3o SSH por chave resiste a interce\u00e7\u00e3o, ao contr\u00e1rio da palavra-passe.<\/p>\n\n\n\n
Este modelo de prova por desafio \u00e9 o mesmo princ\u00edpio das assinaturas digitais usadas em certificados e em blockchain. Para uma explica\u00e7\u00e3o mais profunda do conceito de assinar e verificar com pares de chaves, o nosso pilar de ciberseguran\u00e7a<\/a> re\u00fane os fundamentos que sustentam o SSH, o TLS e muito mais.<\/p>\n\n\n\n
Criar um utilizador dedicado com sudo<\/h2>\n\n\n\n
Trabalhar sempre como root \u00e9 um risco desnecess\u00e1rio, e desativ\u00e1mos o login direto de root no passo 7. Antes disso, conv\u00e9m criar um utilizador normal com privil\u00e9gios sudo<\/code> e colocar a sua chave nessa conta. Se ainda estiver a usar a conta root, crie o utilizador no servidor:<\/p>\n\n\n\n
sudo adduser sam\nsudo usermod -aG sudo sam<\/code><\/pre>\n\n\n\n
O comando adduser<\/code> cria a conta e a pasta pessoal, pedindo uma palavra-passe (necess\u00e1ria apenas para o sudo<\/code>, j\u00e1 que o login remoto passar\u00e1 a usar a chave). O usermod -aG sudo<\/code> adiciona o utilizador ao grupo sudo<\/code>, dando-lhe poder administrativo controlado. Em distribui\u00e7\u00f5es como o CentOS ou o Fedora, o grupo chama-se wheel<\/code> em vez de sudo<\/code>.<\/p>\n\n\n\n
Depois, copie a sua chave p\u00fablica para esta nova conta (n\u00e3o para a do root) usando o ssh-copy-id sam@192.0.2.50<\/code> do passo 5. Confirme que consegue entrar como sam<\/code> e executar sudo whoami<\/code>, que deve devolver root<\/code> ap\u00f3s pedir a palavra-passe da conta. S\u00f3 depois de validar este fluxo \u00e9 que deve desativar o login de root e a autentica\u00e7\u00e3o por palavra-passe.<\/p>\n\n\n\n
Esta separa\u00e7\u00e3o segue o princ\u00edpio do menor privil\u00e9gio: o utilizador normal trata das tarefas do dia a dia e s\u00f3 eleva privil\u00e9gios quando necess\u00e1rio, deixando um rasto de auditoria nos registos do sudo<\/code>. \u00c9 uma defesa simples mas eficaz, alinhada com as recomenda\u00e7\u00f5es de gest\u00e3o de contas que abordamos no guia de seguran\u00e7a de palavras-passe<\/a>.<\/p>\n\n\n\n
Gerir v\u00e1rias chaves e rota\u00e7\u00e3o de credenciais<\/h2>\n\n\n\n
\u00c0 medida que acumula servidores e servi\u00e7os, vai querer mais do que uma \u00fanica chave. A boa pr\u00e1tica \u00e9 segmentar: uma chave para acessos pessoais, outra para automa\u00e7\u00e3o, outra para clientes ou projetos espec\u00edficos. Se uma for comprometida, revoga apenas essa, sem afetar o resto. Gere cada par com um nome distinto:<\/p>\n\n\n\n
ssh-keygen -t ed25519 -f ~\/.ssh\/id_trabalho -C \"sam@trabalho\"\nssh-keygen -t ed25519 -f ~\/.ssh\/id_pessoal -C \"sam@pessoal\"<\/code><\/pre>\n\n\n\n
Depois associe cada chave ao servidor certo no ~\/.ssh\/config<\/code>, indicando o IdentityFile<\/code> correspondente em cada bloco Host<\/code>. Assim, o cliente apresenta sempre a chave certa, sem tentativas falhadas. Para listar as impress\u00f5es digitais de todas as suas chaves de uma vez, use:<\/p>\n\n\n\n
for k in ~\/.ssh\/id_*; do ssh-keygen -lf \"$k\"; done<\/code><\/pre>\n\n\n\n
A rota\u00e7\u00e3o de chaves \u00e9 t\u00e3o importante quanto a rota\u00e7\u00e3o de palavras-passe. Defina um calend\u00e1rio (por exemplo, anual) para gerar pares novos, distribu\u00ed-los e remover os antigos do authorized_keys<\/code> dos servidores. Quando um colaborador sai da equipa, a primeira a\u00e7\u00e3o deve ser apagar a sua chave p\u00fablica de todas as m\u00e1quinas. Uma auditoria peri\u00f3dica ao conte\u00fado do authorized_keys<\/code> evita que chaves esquecidas se tornem portas dos fundos.<\/p>\n\n\n\n
Para ver de imediato quem tem acesso a um servidor, basta inspecionar o ficheiro: cat ~\/.ssh\/authorized_keys<\/code> lista cada chave autorizada, com o coment\u00e1rio que adicionou ao gerar (por isso \u00e9 \u00fatil usar coment\u00e1rios descritivos). Em ambientes maiores, ferramentas de gest\u00e3o de configura\u00e7\u00e3o como o Ansible automatizam a distribui\u00e7\u00e3o e remo\u00e7\u00e3o de chaves em dezenas de m\u00e1quinas a partir de uma fonte \u00fanica de verdade, eliminando o erro humano.<\/p>\n\n\n\n
Erros comuns e como evit\u00e1-los<\/h2>\n\n\n\n
Estes s\u00e3o os trope\u00e7\u00f5es mais frequentes ao configurar autentica\u00e7\u00e3o SSH por chave. Conhec\u00ea-los poupa horas de frustra\u00e7\u00e3o.<\/p>\n\n\n\n