docs: add Pilar 5 for terminal history wiping security to seguranca_deploy_user
This commit is contained in:
@@ -165,3 +165,29 @@ systemctl --user restart meu-servico.service
|
|||||||
| **Gerenciar Containers** | `sudo docker compose restart` | `docker compose restart` (Membro do grupo `docker`) |
|
| **Gerenciar Containers** | `sudo docker compose restart` | `docker compose restart` (Membro do grupo `docker`) |
|
||||||
| **Reiniciar Nginx** | `sudo systemctl restart nginx` | `sudo systemctl restart nginx` (Autorizado via Sudoers Cirúrgico) |
|
| **Reiniciar Nginx** | `sudo systemctl restart nginx` | `sudo systemctl restart nginx` (Autorizado via Sudoers Cirúrgico) |
|
||||||
| **Atualizar Código (Git)** | Roda `git pull` como root | Roda `git pull` usando suas chaves SSH do usuário |
|
| **Atualizar Código (Git)** | Roda `git pull` como root | Roda `git pull` usando suas chaves SSH do usuário |
|
||||||
|
|
||||||
|
---
|
||||||
|
|
||||||
|
## 🧹 Pilar 5: Hardening de Terminal e Wiping de Histórico (SecOps)
|
||||||
|
|
||||||
|
Para evitar o vazamento acidental de credenciais passadas inline (como senhas, chaves de API, segredos do banco de dados) e proteger o buffer visual do console em acessos públicos, todas as VPSs do enxame contam com a **limpeza automática de sessão e apuramento de logs no logout**.
|
||||||
|
|
||||||
|
### Prática:
|
||||||
|
Configuramos o arquivo `/home/deploy/.bash_logout` do usuário `deploy` em todas as máquinas para disparar a seguinte rotina de segurança ao encerrar a conexão:
|
||||||
|
|
||||||
|
```bash
|
||||||
|
# ~/.bash_logout: executado pelo bash quando a sessão do terminal termina.
|
||||||
|
|
||||||
|
# Hardening de Segurança (SecOps) - Limpeza automática de histórico e console
|
||||||
|
if [ "$SHLVL" = 1 ]; then
|
||||||
|
# 1. Limpa o histórico em memória e apaga o arquivo do disco para evitar vazamento
|
||||||
|
history -c
|
||||||
|
rm -f ~/.bash_history
|
||||||
|
|
||||||
|
# 2. Limpa visualmente o console para o próximo login (anti shoulder-surfing)
|
||||||
|
[ -x /usr/bin/clear_console ] && /usr/bin/clear_console -q
|
||||||
|
clear
|
||||||
|
fi
|
||||||
|
```
|
||||||
|
|
||||||
|
**Resultado**: Sempre que um administrador humano ou agente de IA desconectar do SSH ou fechar o terminal, todos os comandos executados em memória são permanentemente apagados do disco (`.bash_history`), mantendo os segredos totalmente protegidos contra leitores indesejados.
|
||||||
|
|||||||
Reference in New Issue
Block a user