Domine Ferramentas e Melhores Práticas de DevOps - Hub de Conhecimento DevOps Domine Ferramentas e Melhores Práticas de DevOps - Hub de Conhecimento DevOps

Configure Configurações Avançadas do Cliente SSH para Desempenho e Segurança Ideais

Configure `~/.ssh/config` para aliases, keepalives, chaves, cifras, compressão e acesso bastião com exemplos práticos de SSH.

Configure Configurações Avançadas do Cliente SSH para Desempenho e Segurança Ideais

Estabelecer uma conexão segura é frequentemente o primeiro passo na administração remota de sistemas, geralmente com um simples comando ssh usuario@host. Quando você gerencia vários servidores, as configurações do cliente SSH em ~/.ssh/config mantêm essas conexões estáveis, repetíveis e menos propensas a erros.

Você pode usar um único arquivo para definir aliases de host, arquivos de identidade, comportamento de keepalive, cifras, compressão e roteamento de bastião sem redigitar longas linhas de comando.

Entendendo o Arquivo de Configuração SSH

O centro de controle principal para o comportamento do cliente SSH é o arquivo de configuração localizado em ~/.ssh/config. Se este arquivo não existir, você pode criá-lo com segurança. Este arquivo permite definir configurações específicas para Host, ou seja, você pode ter uma configuração para seu servidor de produção e outra diferente para seu ambiente de teste.

Estrutura do Arquivo de Configuração

As configurações são estruturadas usando diretivas aplicadas globalmente (no topo) ou especificamente a um bloco Host. Configurações dentro de um bloco Host substituem as configurações globais.

# Configurações globais aplicadas a todas as conexões, a menos que substituídas
Host *
    ServerAliveInterval 60

# Configurações específicas para um servidor de desenvolvimento
Host devserver
    HostName 192.168.1.100
    User developer_user
    Port 2222
    IdentityFile ~/.ssh/id_rsa_dev

Otimizando Persistência de Conexão e Timeouts

Desconexões frequentes, especialmente em redes instáveis ou VPNs, podem prejudicar severamente a produtividade. Os clientes SSH usam mecanismos para manter a conexão ativa.

Mecanismos KeepAlive

Para evitar que conexões ociosas expirem devido a configurações de inatividade de firewall ou roteador, você pode configurar o cliente para enviar "pacotes nulos" periódicos.

  • ServerAliveInterval: Especifica um timeout em segundos após o qual o cliente envia uma mensagem ao servidor para manter a conexão ativa se nenhum dado for recebido. Um valor de 60 é comum.
  • ServerAliveCountMax: Especifica o número de tentativas do cliente sem resposta do servidor antes de desistir e desconectar.

Exemplo de Configuração para Estabilidade:

Host stable-server
    HostName production.example.com
    User sysadmin
    ServerAliveInterval 30
    ServerAliveCountMax 3

Esta configuração enviará um pacote nulo a cada 30 segundos. Se enviar este pacote 3 vezes sem resposta, o cliente desconectará.

Timeout de Conexão

Se uma tentativa de conexão ficar pendente indefinidamente quando um servidor estiver inativo ou inacessível, você pode definir um timeout para a fase inicial de conexão:

  • ConnectTimeout: Define o tempo máximo (em segundos) que o cliente SSH aguardará para que uma conexão seja estabelecida antes de abortar a tentativa.

Aumentando a Segurança Através do Reforço do Cliente

Embora a configuração do servidor determine grande parte da postura de segurança, o cliente pode impor preferências de segurança e simplificar a autenticação complexa.

Impondo Autenticação Baseada em Chave

Para servidores críticos, você deve sempre impor autenticação baseada em chave e desabilitar prompts de senha. A diretiva PreferredAuthentications controla a ordem e o tipo de métodos de autenticação que o cliente tenta.

Para priorizar a autenticação de chave pública:

Host critical-db
    HostName db.internal.net
    PreferredAuthentications publickey
    PubkeyAuthentication yes
    PasswordAuthentication no

Especificando Arquivos de Identidade

Se você usa vários pares de chaves (um para trabalho, outro para projetos pessoais, etc.), pode mapear chaves específicas para hosts específicos usando IdentityFile.

Host gitlab.work.com
    IdentityFile ~/.ssh/id_rsa_gitlab_work

Host github.com
    IdentityFile ~/.ssh/id_rsa_personal

Melhor Prática de Segurança: Certifique-se de que suas chaves privadas tenham permissões restritivas (ex.: chmod 600 ~/.ssh/id_rsa).

Otimizando o Desempenho: Cifras e Compressão

O desempenho do SSH pode ser afetado pelos algoritmos criptográficos usados para criptografia e pela sobrecarga da compressão de dados.

Seleção de Cifras

Clientes SSH modernos suportam uma ampla variedade de cifras. Você pode especificar uma lista preferida usando Ciphers para garantir o uso de algoritmos fortes e rápidos suportados tanto pelo cliente quanto pelo servidor, ou para impor padrões mais antigos se hardware legado exigir.

Cifras modernas e preferidas geralmente incluem implementações AES-GCM.

Host fast-connection
    HostName remote.fastlane.io
    Ciphers [email protected],[email protected],[email protected]

Compressão

A compressão de dados (Compression) pode acelerar sessões em links muito lentos, mas adiciona sobrecarga de CPU em ambas as extremidades. Geralmente está desabilitada em redes rápidas.

  • Compression no: (Padrão) Sem compressão.
  • Compression yes: Habilita compressão usando o algoritmo ZLIB.
Host slow-wan-link
    Compression yes

Simplificando Conexões com Aliases e ProxyJumps

Um dos recursos mais poderosos do ~/.ssh/config é simplificar caminhos de conexão complexos, como pular através de um host bastião (um "jumpbox").

Aliases de Host

Em vez de digitar o nome completo do servidor e usuário toda vez, você pode criar um alias simples:

Host web
    HostName 172.16.0.50
    User alice

Agora você pode conectar simplesmente usando: ssh web.

ProxyJump para Hosts Bastião

A diretiva ProxyJump (ou seu equivalente mais antigo, ProxyCommand) permite que o cliente faça túnel automaticamente através de um servidor intermediário antes de alcançar o destino final. Isso evita a necessidade de chamadas ssh separadas ou configurações nc (netcat).

Para conectar ao database via jumpbox:

Host jumpbox
    HostName 203.0.113.5
    User bastion_user

Host database
    HostName 10.0.0.5
    User db_user
    ProxyJump jumpbox

Agora, o comando ssh database conecta automaticamente ao jumpbox primeiro e, em seguida, encaminha a sessão para o servidor database.

Conclusão

O arquivo ~/.ssh/config é onde você transforma comandos SSH repetidos em perfis nomeados e claros. Comece com aliases, User, HostName, IdentityFile e ServerAliveInterval; depois adicione ProxyJump, preferências de cifra ou compressão apenas onde seu ambiente precisar. Antes de impor uma opção restritiva globalmente, teste-a em seus hosts mais antigos para não se bloquear de um servidor que suporte um conjunto de recursos SSH mais limitado.