README.pt.md

March 7, 2026 · View on GitHub

ssh-audit-kit

Auditoria de seguranca SSH, hardening e relatorios em um unico script shell.
Um script. Um comando. Visibilidade total.

English | 한국어 | 日本語 | Deutsch | Français | Español | Português | Italiano

License Bash Deps Single File


O que e o ssh-audit-kit?

O ssh-audit-kit analisa sua configuracao SSH, logs de ataque, sistemas de defesa e forca dos algoritmos -- e entrega um relatorio com pontuacao (A+ ate F) com recomendacoes praticas. Quando estiver pronto, um unico comando aplica o hardening com backup automatico e rollback.

Funcionalidades

  • Analise da configuracao do sshd -- analisa o arquivo de configuracao principal + arquivos drop-in, detecta conflitos e sobreposicoes
  • Analise de logs de ataque -- tentativas com falha, IPs mais frequentes, nomes de usuario tentados, padroes temporais (ultimos 7 dias)
  • Status do fail2ban -- atividade das jails, IPs banidos, configuracao
  • Integracao com ssh-audit -- forca dos algoritmos, deteccao de cifras fracas
  • Verificacao de CVEs do OpenSSH -- CVE-2024-6387 (regreSSHion), CVE-2023-48795 (Terrapin)
  • Pontuacao de seguranca -- escala de 100 pontos em 5 categorias, classificacao de A+ ate F
  • Hardening automatico -- hardening seguro com um unico comando, com backup e rollback
  • Saida em JSON -- relatorio legivel por maquina para automacao

Inicio Rapido

curl -fsSL https://raw.githubusercontent.com/deep-on/ssh-audit-kit/main/ssh-audit-kit.sh -o ssh-audit-kit
chmod +x ssh-audit-kit

./ssh-audit-kit check          # verificacoes de seguranca (somente leitura)
./ssh-audit-kit report         # relatorio com pontuacao
./ssh-audit-kit report --json  # saida em JSON
sudo ./ssh-audit-kit harden    # aplicar hardening

Exemplo de Relatorio

╔══════════════════════════════════════════════════╗
║           ssh-audit-kit  v1.0.0                  ║
║           SSH Security Report                    ║
╚══════════════════════════════════════════════════╝

System: Ubuntu 22.04 | OpenSSH 8.9p1

── Authentication Security ─────────────── [28/30]
  ✔ PasswordAuthentication no
  ✔ PermitRootLogin no
  ✔ PubkeyAuthentication yes
  ✔ MaxAuthTries 3
  △ KbdInteractiveAuthentication not explicitly set

── Network Security ────────────────────── [20/20]
  ✔ Non-standard port (51022)
  ✔ AllowTcpForwarding no
  ✔ X11Forwarding no
  ✔ Compression no

── Algorithm Strength ──────────────────── [20/20]
  ✔ No weak algorithms detected
  ✔ ssh-audit: 0 fail, 0 warn

── Defense System ──────────────────────── [15/15]
  ✔ fail2ban active (sshd jail enabled)
  ✔ MaxStartups 10:30:100
  ✔ MaxAuthTries 3

── Logging & Monitoring ────────────────── [13/15]
  ✔ LogLevel VERBOSE
  △ No remote logging configured

══════════════════════════════════════════════════
  Score: 96/100    Grade: A+
  "Excellent SSH security configuration"
══════════════════════════════════════════════════

Sistema de Pontuacao

CategoriaMaxO que verifica
Autenticacao30Autenticacao por chave, login root, senhas vazias, restricoes de acesso
Rede20Porta, encaminhamento, compressao
Forca dos Algoritmos20Cifras/MACs/KEX fracos via ssh-audit
Defesa15fail2ban, MaxStartups, configuracoes de client alive
Logs15LogLevel, acessibilidade dos logs, analise de ataques
NotaPontuacaoDescricao
A+95-100Excelente
A85-94Forte
B70-84Bom, algumas melhorias recomendadas
C50-69Moderado, melhorias necessarias
D30-49Fraco, acao imediata necessaria
F0-29Critico, acao urgente necessaria

Hardening

ssh-audit-kit harden escreve em /etc/ssh/sshd_config.d/hardening.conf (nunca altera o arquivo de configuracao principal):

  • Desabilita autenticacao por senha, login root, encaminhamento e compressao
  • Define limites rigorosos de sessao e timeouts de client alive
  • Valida com sshd -t antes de aplicar
  • Rollback automatico em caso de falha na validacao
  • Backups com timestamp antes de cada alteracao

Requisitos

  • Bash 4.0+
  • Servidor OpenSSH (sshd)
  • Opcional: ssh-audit -- para analise de algoritmos
  • Opcional: fail2ban -- para status de defesa

Sistemas Suportados

  • Ubuntu 20.04 / 22.04 / 24.04
  • Debian 11 / 12
  • RHEL / CentOS / Rocky / Alma 8 / 9

Licenca

MIT