diff --git a/global/seguranca_deploy_user.md b/global/seguranca_deploy_user.md index b9ec4e5..795f2d7 100644 --- a/global/seguranca_deploy_user.md +++ b/global/seguranca_deploy_user.md @@ -165,3 +165,29 @@ systemctl --user restart meu-servico.service | **Gerenciar Containers** | `sudo docker compose restart` | `docker compose restart` (Membro do grupo `docker`) | | **Reiniciar Nginx** | `sudo systemctl restart nginx` | `sudo systemctl restart nginx` (Autorizado via Sudoers Cirúrgico) | | **Atualizar Código (Git)** | Roda `git pull` como root | Roda `git pull` usando suas chaves SSH do usuário | + +--- + +## 🧹 Pilar 5: Hardening de Terminal e Wiping de Histórico (SecOps) + +Para evitar o vazamento acidental de credenciais passadas inline (como senhas, chaves de API, segredos do banco de dados) e proteger o buffer visual do console em acessos públicos, todas as VPSs do enxame contam com a **limpeza automática de sessão e apuramento de logs no logout**. + +### Prática: +Configuramos o arquivo `/home/deploy/.bash_logout` do usuário `deploy` em todas as máquinas para disparar a seguinte rotina de segurança ao encerrar a conexão: + +```bash +# ~/.bash_logout: executado pelo bash quando a sessão do terminal termina. + +# Hardening de Segurança (SecOps) - Limpeza automática de histórico e console +if [ "$SHLVL" = 1 ]; then + # 1. Limpa o histórico em memória e apaga o arquivo do disco para evitar vazamento + history -c + rm -f ~/.bash_history + + # 2. Limpa visualmente o console para o próximo login (anti shoulder-surfing) + [ -x /usr/bin/clear_console ] && /usr/bin/clear_console -q + clear +fi +``` + +**Resultado**: Sempre que um administrador humano ou agente de IA desconectar do SSH ou fechar o terminal, todos os comandos executados em memória são permanentemente apagados do disco (`.bash_history`), mantendo os segredos totalmente protegidos contra leitores indesejados.