Evite login como root; use um usuário dedicado e sudo. Restrinja SSH a chaves e limite regras sudo. Registre e audite ações privilegiadas. Em hospedagem gerenciada, root pode ser restrito por política.
Por que não root
- Ponto único de comprometimento: Se root for comprometido, acesso total. Um usuário dedicado com sudo limita o raio de impacto e deixa a auditoria mais clara.
- Erros: Rodar um comando destrutivo por acidente como root é mais arriscado. Sudo força um passo extra e pode exigir senha ou aprovação.
- Auditoria: Sudo registra quem rodou qual comando; atividade como root é mais difícil de atribuir a uma pessoa.
Boas práticas
- Desabilite login SSH como root (PermitRootLogin no). Use usuário normal e sudo para tarefas de admin.
- Apenas chaves SSH; desabilite autenticação por senha.
- Limite sudo: Conceda só os comandos necessários via sudoers. Prefira grupos (ex.: wheel, admin) a usuários individuais.
- Auditoria: Revise logs de auth e de sudo; use logging centralizado se tiver muitos servidores.
Hospedagem gerenciada
- Alguns provedores restringem root ou dão um usuário sudo por padrão. Siga o modelo deles.
Resumo
Não faça login como root; use usuário dedicado e sudo. Restrinja SSH a chaves; limite sudo; registre e audite. Reduz risco e melhora responsabilização.
