servidor
5 artigos com esta tag
Inventário de segurança — 7 verificações que quem roda vários servidores ignora
Para operadores solo/pequenos, incidentes vêm menos de controles ausentes do que de estado não rastreado. A fronteira é o PC que guarda suas chaves. Escalone o 2FA pela raiz de confiança, faça a matriz das chaves SSH para eliminar duplicatas/sem uso/órfãs, remova senhas em texto puro da nuvem, remedie de forma reversível uma de cada vez e mantenha segredos fora do registro. Inventarie antes de adicionar ferramentas.
Você deixou um arquivo de segredo em um diretório público? Audite seu webroot
Qualquer coisa no seu webroot pode ser baixada pela URL por qualquer um. Um JSON de token/credenciais esquecido, um .env ou um backup significam exposição instantânea — e se veio de um template compartilhado, todo site tem o mesmo buraco. Correção: coloque no diretório público só o que pode ser compartilhado, mantenha segredos fora do webroot com permissão 600 e, ao achar um, audite todos os sites e hosts.
Git auto-hospedado vs. GitHub: qual é de fato mais seguro?
Auto-hospedar o Git não te torna 'mais seguro' — realoca o risco. A classe de exposição pública acidental desaparece, mas aplicar patches no servidor, backups e detecção de segredos pré-commit passam para você. A escolha certa se você paga o preço; pior que o GitHub se você o negligencia. A visão deste site: a auto-hospedagem só funciona junto com seus controles compensatórios.
Não dê chaves de root a ambientes que podem ser comprometidos: menor privilégio para chaves SSH
Cadastrar uma chave de root em produção a partir de um ambiente efêmero e comprometível (pod de GPU, runner de CI, VM descartável) significa que, no momento em que o ambiente é comprometido, produção é tomada com root. Correção: sem chaves de root em ambientes efêmeros; remova chaves quando não usadas; se precisar de novo, use um usuário sem root mais uma chave restrita a comando que limita a chave a uma operação. Uma chave reutilizada é seu ativo mais crítico — nunca construa um cenário de 'um vazamento, tudo'.
Mantendo o .env fora da web pública em hospedagem compartilhada
A correção real: corpo do app fora do docroot, só public/ exposto. Estanque o sangramento com .htaccess, torne-o permanente reestruturando e então autoverifique. A visão deste site: isto não é o deslize de uma pessoa, mas um mau padrão padronizado pelo setor — corrija com processo, não com vigilância. bootstrap-redirect vence o symlink.