Centro de Conhecimento DevOps
Centro de Conhecimento DevOps

Como Transferir Arquivos com Segurança Usando SCP e SFTP com SSH

Domine a arte da transferência segura de arquivos usando SSH. Este guia abrangente detalha as diferenças, prós e contras do Protocolo de Cópia Segura (SCP) e do Protocolo de Transferência de Arquivos SSH (SFTP). Aprenda a sintaxe essencial da linha de comando para ambos os métodos, incluindo exemplos para transferências de local para remoto e de remoto para local. Também abordamos práticas recomendadas cruciais de segurança, como autenticação por chave SSH e restrição de usuário, garantindo que seus dados permaneçam criptografados e protegidos durante cada transferência.

38 visualizações

Como Transferir Arquivos de Forma Segura Usando SCP e SFTP com SSH

Transferir arquivos entre sistemas locais e remotos é um requisito fundamental da administração de sistemas e do desenvolvimento. No entanto, o uso de protocolos não criptografados, como o FTP padrão ou comandos R, expõe dados sensíveis à intercepção e ataque. O protocolo Secure Shell (SSH) oferece dois métodos robustos e criptografados para transferência de arquivos: o Protocolo de Cópia Segura (SCP) e o Protocolo de Transferência de Arquivos SSH (SFTP).

Este guia detalha como SCP e SFTP aproveitam a criptografia SSH para garantir a integridade e confidencialidade dos dados em trânsito. Exploraremos as forças e fraquezas de cada protocolo, forneceremos exemplos práticos de linha de comando e descreveremos as melhores práticas de segurança críticas para o gerenciamento seguro de arquivos.

Entendendo a Base: SSH

Ambos, SCP e SFTP, utilizam SSH (geralmente em execução na porta 22) como a camada de transporte subjacente. Ao iniciar uma transferência usando qualquer um dos protocolos, o SSH primeiro estabelece um túnel seguro e criptografado entre o cliente e o servidor. Todos os dados, incluindo credenciais de autenticação e o conteúdo do arquivo, são transmitidos por esse túnel, tornando ambos os métodos alternativas altamente seguras aos protocolos legados de transferência de arquivos.

Principais recursos fornecidos pela base SSH:

  • Criptografia: Todos os dados são criptografados de ponta a ponta.
  • Autenticação: Suporta tanto a autenticação por senha quanto a autenticação por par de chaves pública/privada, que é muito mais segura.
  • Integridade: Usa hashing criptográfico para garantir que os arquivos não sejam alterados durante a transferência.

Protocolo de Cópia Segura (SCP)

SCP é um protocolo de rede baseado no protocolo de cópia remota (rcp), mas envolto na segurança do SSH. Ele é projetado para simplicidade e velocidade, tornando-o ideal para transferências rápidas e não interativas, especialmente em scripting ou automação.

Recursos e Características do SCP

  1. Simplicidade: Usa uma sintaxe muito semelhante ao comando cp padrão do Unix.
  2. Velocidade: Geralmente mais rápido que o SFTP porque não requer confirmações interativas ou configuração de sessão, dependendo apenas do túnel SSH subjacente.
  3. Não Interativo: Uma vez iniciada, a transferência é executada até a conclusão sem a capacidade de gerenciar a sessão ou interromper o estado da transferência.

Comandos SCP Práticos

A sintaxe geral para SCP é scp [opções] [origem] [destino].

1. Copiando um Arquivo do Servidor Local para o Remoto

Para enviar um arquivo local para o diretório inicial de um usuário remoto:

scp /caminho/do/arquivo/local.txt usuario@host_remoto:/home/usuario/destino/

2. Copiando um Arquivo do Servidor Remoto para o Sistema Local

Para baixar um arquivo do servidor para seu diretório atual:

scp usuario@host_remoto:/var/log/system.log . 
# Nota: O '.' indica o diretório local atual

3. Copiando um Diretório Inteiro (Recursivo)

Use a flag -r (recursivo) para copiar diretórios e todo o seu conteúdo:

scp -r /caminho/da/pasta/local/ usuario@host_remoto:/data/backups/

4. Especificando uma Porta Não Padrão

Se o seu daemon SSH estiver rodando em uma porta diferente de 22, use a flag -P (observe o P maiúsculo):

scp -P 2222 arquivo_local.zip usuario@host_remoto:/tmp/

Nota sobre a Depreciação do SCP: Embora muito útil, o SCP é considerado um protocolo legado. Sistemas modernos recomendam cada vez mais o uso de SFTP ou Rsync sobre SSH devido a vulnerabilidades conhecidas no design do protocolo SCP, particularmente relacionadas à manipulação de nomes de arquivos.

Protocolo de Transferência de Arquivos SSH (SFTP)

SFTP é um subsistema do SSH que oferece um ambiente mais rico e interativo para gerenciamento de arquivos. Diferente do SCP, que é puramente uma ferramenta de cópia, o SFTP é um protocolo com estado que permite controle detalhado da sessão, listagem de arquivos, exclusão, renomeação e criação de diretórios — semelhante a uma sessão FTP aprimorada, mas inteiramente segura.

Recursos e Características do SFTP

  1. Sessão Interativa: As transferências ocorrem dentro de uma sessão de shell dedicada e interativa.
  2. Robustez: Suporta busca, retomada e gerenciamento de transferências individuais dentro da sessão.
  3. Gerenciamento Completo: Permite listar (ls), mudar diretórios (cd) e manipular arquivos remotos e locais usando comandos de sessão (put, get, lcd, lmkdir).
  4. Segurança: Altamente confiável e considerado o padrão para transferências seguras de arquivos modernas.

Comandos SFTP Práticos

1. Iniciando uma Conexão SFTP

Inicie uma sessão interativa para o servidor remoto:

sftp usuario@host_remoto

Se estiver usando uma porta específica:

sftp -P 2222 usuario@host_remoto

2. Comandos Interativos SFTP

Uma vez conectado, você opera no ambiente remoto por padrão. Use comandos para gerenciar transferências e diretórios:

Comando Descrição Exemplo
ls Listar arquivos remotos ls -l
cd Mudar diretório remoto cd /var/www/html
put Fazer upload de arquivo (Local para Remoto) put dados_locais.zip
get Fazer download de arquivo (Remoto para Local) get backup_servidor.tar.gz
lcd Mudar diretório local lcd /Usuarios/eu/downloads
lpwd Imprimir diretório de trabalho local lpwd
mkdir Criar diretório remoto mkdir novo_projeto
quit Sair da sessão SFTP quit

Exemplo: Upload e Download Dentro de uma Sessão SFTP

$ sftp [email protected]
sftp> cd /data/backups
sftp> lcd /home/local/reports
sftp> put daily_report.csv  # Faz upload do arquivo
Uploading daily_report.csv to /data/backups/daily_report.csv
daily_report.csv                                      100% 512KB   4.3MB/s   00:00    
sftp> get configuration.yaml  # Faz download de um arquivo
Fetching /data/backups/configuration.yaml to configuration.yaml
configuration.yaml                                    100% 20KB    1.1MB/s   00:00    
sftp> quit

SCP vs. SFTP: Escolhendo a Ferramenta Certa

Embora ambos os protocolos sejam seguros, eles atendem a diferentes necessidades operacionais:

Característica Protocolo de Cópia Segura (SCP) Protocolo de Transferência de Arquivos SSH (SFTP)
Mecanismo Protocolo de cópia simples (Não Interativo) Protocolo de gerenciamento de arquivos interativo (Com Estado)
Caso de Uso Transferências rápidas de arquivo único; scripting/automação. Transferências complexas; gerenciamento de diretórios; sessões interativas.
Velocidade Geralmente mais rápido devido à menor sobrecarga. Um pouco mais lento devido a handshakes interativos.
Retomada Mal suportado ou inexistente. Suporta totalmente a retomada de transferência e busca.
Status de Segurança Legado (Algumas vulnerabilidades de protocolo). Padrão moderno e robusto.

Quando usar SCP: Use SCP quando precisar de velocidade máxima para uma simples transferência de arquivo e estiver executando o comando dentro de um script onde a não-interatividade é preferida.

Quando usar SFTP: Use SFTP para praticamente todas as transferências manuais de arquivos, quando precisar gerenciar vários arquivos, mudar diretórios ou exigir robustez de sessão e recursos de segurança modernos.

Melhores Práticas para Transferências Seguras de Arquivos

Usar SCP ou SFTP é apenas o primeiro passo. A configuração de segurança adequada no servidor SSH é essencial para proteger o ambiente remoto.

1. Priorize a Autenticação por Chave SSH

A autenticação baseada em senha é vulnerável a ataques de força bruta. Sempre use pares de chaves SSH pública/privada para autenticar transferências de arquivos. O uso de chaves elimina o risco de comprometimento de senha durante transferências automatizadas ou manuais.

Gerando Chaves (se necessário):

ssh-keygen -t rsa -b 4096

Usando uma chave específica para transferência:

scp -i ~/.ssh/minha_chave_transferencia arquivo.txt usuario@host_remoto:/tmp/
# ou
sftp -i ~/.ssh/minha_chave_transferencia usuario@host_remoto

2. Desative o Login como Root

Nunca permita transferências diretas de arquivos usando o usuário root. As transferências devem sempre ser realizadas por uma conta de usuário dedicada e de baixo privilégio. Se o acesso administrativo for necessário, os arquivos podem ser movidos para o local apropriado após a transferência usando sudo localmente na máquina remota.

3. Restrinja o Acesso usando ChrootDirectory (SFTP)

Para sistemas que fornecem acesso SFTP a usuários externos ou não confiáveis, implemente restrições ChrootDirectory dentro do arquivo sshd_config. Isso prende o usuário SFTP em um diretório específico, impedindo-o de navegar pelo restante do sistema de arquivos.

Exemplo de trecho de configuração em /etc/ssh/sshd_config:

Match User sftp_external_user
  ForceCommand internal-sftp
  ChrootDirectory /var/sftp/%u
  AllowTcpForwarding no
  X11Forwarding no

4. Limite as Permissões

Garanta que a conta de usuário usada para transferências tenha apenas as permissões mínimas necessárias para sua tarefa (Princípio do Menor Privilégio). Se um usuário precisar apenas fazer upload de arquivos para /data/uploads, garanta que ele não possa excluir arquivos em /etc/config.

Conclusão

O SSH fornece a camada de segurança essencial necessária para operações remotas confiáveis. Enquanto o SCP continua sendo uma opção rápida e direta para cópias via script, o SFTP oferece um conjunto de recursos superior, controle interativo e a robustez moderna exigida para um gerenciamento abrangente de arquivos. Ao alavancar a autenticação baseada em chave e a configuração adequada do lado do servidor, os administradores de sistema podem garantir que suas transferências de arquivos não sejam apenas funcionais, mas totalmente seguras.