Segurança de Webhooks com HMAC: Pare de Aceitar Qualquer POST Vestido de Integração
Aprenda a blindar webhooks com HMAC, timestamp anti-replay, idempotência, logs úteis e rate limit sem transformar sua integração em uma roleta pública.
-
-
Chaves FIDO2 SSH: Como Blindar o Acesso ao Servidor Sem Virar Refém de Senhas
chaves FIDO2 SSH parece nome de tecnologia que só entra na pauta quando alguém compra um token USB caro e quer justificar a nota fiscal. Só que, na prática, ela resolve um problema bem menos glamouroso: servidor exposto, chave SSH copiada para três notebooks, senha de emergência esquecida num cofre digital e aquela sensação de…
-
SSH Certificate Authentication: Substitua Senhas de Uma Vez por Todas
SSH Certificate Authentication: O Método Que Substitui Senhas e Funciona de Verdade Eu perdi três dias debugging um problema de SSH. Três dias. Tinha um script de deploy que funcionava perfeito em produção, mas no servidor de staging? “Permission denied (publickey)”. Mudei a chave, depois mudei de novo, verifiquei o authorized_keys, conferi as permissões do…
-
Auditoria Automatizada de Segurança Linux: Como Lynis + Bash Me Deram Sono Tranquilo
Se você acha que configurar UFW e Fail2ban deixa seu servidor “seguro”, tenho más notícias. Eu pensava assim também — até rodar minha primeira auditoria com Lynis e descobrir que meu VPS tinha 47 vulnerabilidades. Quarenta e sete. Incluindo permissões soltas em /etc/shadow, SSH permitindo login de root, e um kernel com patch desatualizado há…
-
WAF Caseiro com nftables: Como Bloqueei 340 IPs de Uma Botnet Sem Pagar Cloudflare
Na semana passada, acordei com 47 e-mails do UptimeRobot. Meu servidor tinha recebido 12.000 requisições em 40 minutos — todas vindas de um botnet que decidiu que meu blog era alvo de força bruta. O fail2ban padrão nem piscou. Por quê? Porque as requisições vinham de 340 IPs diferentes, cada um fazendo apenas 35 requests….
-
Zero Trust na Prática: Como Eliminei VPN Corporativa e Fiz Cada Servidor Se Autenticar Individualmente
Eu gastava 40 minutos por semana só mantendo uma VPN OpenVPN viva. Certificados expirados, rotas que sumiam depois de reboot, clientes que conectavam mas não acessavam nada — a clássica experiência de “tá conectado mas não funciona”. E o pior: quando alguém conseguia acessar a VPN, tinha acesso a tudo. Cada servidor, cada porta, cada…
-
Hardening de Servidor Linux: Como Transformei um VPS Pelado em Fortaleza Digital
Se você acabou de alugar um VPS e acha que o padrão da provedora é “seguro o suficiente”, tenho uma notícia: na primeira noite, já tinham 200 tentativas de login SSH. E isso é um dia tranquilo. Neste artigo, vou te mostrar como eu transformei um servidor Ubuntu pelado em algo que respira segurança —…
-
Como Montar um Honeypot SSH com Docker em 15 Minutos — e o Que Aprendi com 2.473 Tentativas de Invasão
Montei um honeypot SSH com Docker e em 7 dias capturei 2.473 tentativas de invasão de 14 países. Veja como configurar o Cowrie, analisar logs e bloquear atacantes automaticamente com Fail2Ban.
-
Pi-hole: Como Bloquear Anúncios em Toda a Sua Rede (Sem Instalar Nada nos Dispositivos)
Seu celular carrega uma página em 3 segundos. Mas 2 desses segundos são gastos baixando anúncios, rastreadores e pop-ups que você nunca pediu. O pior: isso acontece em todos os dispositivos da sua casa, simultaneamente. Seus filhos, seu smart TV, até a geladeira conectada — todos engordando a conta de dados de terceiros. E se…
-
Fiz um Audit Completo da Minha Vida Digital — e os Números Foram Um Soco na Cara
6h47 de tela por dia. 147 unlocks. Instagram como atividade principal. Fiz o raio-X, ajustei em 7 passos e reduzi 43% do tempo de tela em 30 dias. Sem radicalismo, só dados.
